Nesta
modernidade política qual será o significado real e abrangente da expressão
“Jamming” ?
Será
possível (e normal) aplicar a abrangência técnica funcional do “jargão X” (no
seu sentido mais amplo) à “vivência” política, económica e social deste pequeno
Estado chamado Portugal ?
E
admitindo que “Tal” poderá ser verdade o que pode ser feito para anular ou
reduzir o “espectro electromagnético” da Ameaça ?
Parece
haver muitas respostas imediatas mas poucas pessoas credenciadas e capazes (em
sentido real e pragmático) para dar as respostas certas e adequadas, eficientes
e eficazes para o resultado político e social necessário.
Naturalmente
que estas questões apresentam-se inocentes (embora assumidamente tendenciosas),
mas extremamente vorazes no tecido político e social de uma comunidade antiga e
rústica que tem conseguido manter um padrão aparente de modernidade social
estruturante à custa de um Esforço Político
Anaeróbio.
Importa,
pois, conhecer este “problema” com profundidade técnica e saber qual será o
cenário político e estratégico envolvente a toda a “ameaça” e às “problemáticas
políticas envolvidas”.
(….)
E
como é que se poderá fazer “Isso” ?
Quais
serão as “Medidas de Ataque Electrónico”, as “Medidas de Apoio de Guerra
Electrónica” e as “Medidas de Protecção Electrónica” (aplicando a linguagem
técnica da especialidade militar) a considerar neste (descrito) universo (…)
???
E
quanto à nossa amostra de Economia e Finanças (de um pequeno Estado “antigo”
como é o caso de Portugal) quais serão as implicações potenciais
???...
[para
este efeito, ocorre-me (de repente) a questão paradigmática e “mal contada” das
famosas “Deslocalizações” de problemas políticos, económicos e sociais
desnecessários à Vida Empresarial de quem sendo de fora investe em Portugal,
embora (na verdade dos factos) tenha consciência premeditada da sua má
compreensão e “alergia” à tecnologia apurada dos problemas políticos lusitanos]
Portanto,
sabendo todos nós o que se passa na nossa “Aldeia Global” alguém quererá (se
puder, claro) dar uma resposta séria, pronta e capaz sobre esta “Questão
Emblemática” ??...
(tanto
do nosso coração…)
Porque
[na perspectiva complexa da conjuntura
política em curso (…)] parece ter chegado a Altura de “Alguém” dar respostas
públicas relativas ao controlo desta “ameaça”, e talvez (na ocasião escolhida)
considerar qual será a melhor solução para este (nosso) “problema global”,
Que
pode (perfeitamente) vir a ter uma dimensão grave e tornar-se numa calamidade
pública passível de ameaçar todos os países da Europa Ocidental
(…).
(….)
§§§§§§§§
// §§§§§§§§
ANEXO
– ILUSTRAÇÃO TEMÁTICA:
………………..
“…
de:
sexta-feira, 20 novembro 2009
Guerra
electrónica:
Então
e se fosse mesmo a sério?
Miguel Almeida
Consultor
Independente Serviços de Segurança da Informação
Tenho
lido alguns artigos, por aqui e por ali, que parecem insistir uma vez mais, no
tema dos bits à chapada.
Exemplos?
Dou-vos
dois, que são recentes: na McAfee
(via Segurança Informática), Virtually Here: The Age of Cyberwarfare, e na CSO, Cyber Mercenaries — Avatar
Forces.
Numa
primeira análise, é muito fácil pensar que nada disto é real, que nada disto é a
sério.
Que
são campanhas que visam espalhar o medo e, com isso, arranjar novas formas de
convencer os Governos, de convencer as empresas, a largar (mais) umas lecas — e
o medo pode ser, como todos bem sabemos, muito eficaz nessa
cruzada.
E
o resultado desse trabalho, se houver uma corrida às armas, pode ser bem
complicado: Ever heard of self fulfilling
prophecies?
Pois
é...
(Faz-me
lembrar aquela situação caricata, em que dois cães começam na brincadeira, na
palhaçada, até que começam a desconfiar um do outro e, a partir desse momento,
já fica o caldo entornado. Well, sort of)
Então
e se fosse mesmo a sério?
Estaremos nós preparados, aqui nas terras da Lusitânia, para ficar sem sistemas, sem redes de comunicação?
Conseguiríamos funcionar nesse cenário?
E
o que significa para a população, neste tempo em que vivemos,
funcionar?
A
primeira questão que me ocorre, assim caída do espaço, é a
seguinte:
O
que é um ataque electrónico?
Será uma inundação das redes de dados, ligadas à Internet, que nos impeçam de comunicar com o exterior?
Será um fluxo de pacotes dirigidos a uma colecção específica de serviços?
Será uma sabotagem interna, que provoque a paralisação dos postos de trabalho e servidores, de uma forma generalizada?
Será um ataque sub-reptício à informação retida em bases de dados, que destrua a consistência e a integridade dos dados?
Ou
uma combinação disto tudo?...
E mesmo sem saber as respostas a estas perguntas, a questão que me ocorre a seguir é, provavelmente, a mais óbvia:
Já
alguém pensou nisto?
Deixando
de lado estas questões, que têm um carácter pseudo-existencial, pensando agora
em questões mais pragmáticas, parece-me que alguém, não sei quem, deve começar a
pensar no seguinte:
_
Se houver uma paragem nas comunicações,
uma paragem generalizada, ou se forem paralisados vários sistemas internos,
públicos ou privados, de que forma é que são
afectados:
* O fornecimento de energia eléctrica, gás, água, e combustíveis?
E notem que mesmo que o ataque não vá entupir as torneiras, nem os contadores dos postos de gasolina, pode afectar os sistemas de controlo e contabilização dos consumos.
As empresas conseguem viver bem com isso?
Durante quanto tempo?
E depois?
Vão
parar o fornecimento?
* As empresas financeiras, e as operações interbancárias, nacionais e internacionais?
Conseguimos estar isolados das bolsas internacionais, durante quanto tempo?
E
se forem afectadas as estações de trabalho, ou os postos multibanco, ao longo de
todo o País, por quanto tempo é que suportamos o caos
interno?
* Os transportes aéreos e terrestres?
Se não for possível controlar os acessos, se não for possível contabilizar as passagens, tal como fazemos agora, como vamos fazer então?
Ninguém passa?
Passa como?
E
quem é que autoriza e paga a conta?
* As telecomunicações?
Conseguimos lidar com os telemóveis e os telefones em off?
For
how long?
Eepaah...
Mas
estas coisas são prováveis?
A
verdade é que ninguém, se for minimamente honesto, consegue dizer se é (ou não
é) provável um cenário deste calibre.Sobretudo, não consegue avaliar o risco.
E porquê?
Por
várias razões, das quais destaco as seguintes:
_
Não existe uma entidade central que regule os requisitos de segurança
necessários para cada classe de serviços;
_ Como primeiro corolário, não existem regras bem definidas que permitam identificar e realizar, em cada organização, os controlos mínimos necessários para evitar os desastres;
_ Como segundo corolário, também não podem ser realizadas, em abono da verdade, auditorias que possam avaliar, em face de regras que não existem, os controlos de segurança activos — podem ser feitas revisões e testes de segurança
—
podem, e devem ser feitas! — mas não são obrigatórias, nem constituem auditorias
contras regras estabelecidas;
_ A tecnologia utilizada nos sistemas e aplicações reais, na sua esmagadora maioria, não é controlada por nós — é externa.
_ A tecnologia utilizada nos sistemas e aplicações reais, na sua esmagadora maioria, não é controlada por nós — é externa.
_ E não temos qualquer controlo sobre o código nem sobre os componentes.
Mais,
O leque de empresas que produz software e hardware é alargado e contam-se pelos dedos aquelas que têm alguma certificação de segurança, em relação aos produtos, ou aos processos de desenvolvimento.
E
nem sequer é um requisito na maior parte dos cadernos de encargo dos sistemas
que são adquiridos; e
A tónica nos recursos atribuídos aos sistemas de informação tem sido posta, desde sempre, no desenvolvimento e (alguma) gestão de sistemas e aplicações de negócio;
A
componente da segurança tem vindo a ser mais considerada, mas não é claro que
seja suficiente.
É evidente que não existe uma resposta do tipo 'chave-na-mão' para estas questões.
Não
existe, nem vai existir tão cedo.
Mas
é importante ter presente que não há uma avaliação clara do risco que
corremos.
Dada
a natureza distribuída das redes e dos sistemas, o facto, é que não há uma forma
simples de saber, portanto, ninguém sabe.
Mas
para não fechar este artigo com um rol de perguntas sem resposta, para não ser
um exercício completamente balofo, ficam algumas recomendações (sugestões) para
quem for, seja quem for, pensar mais um bocado nesta matéria.
O
País devia ter:
_ Um conjunto de regras mínimas de segurança comuns, a nível nacional, para os sistemas de informação.
Regras
contextualizadas para diferentes classes de actividade;
_
Uma entidade que regulasse e fiscalizasse os controlos de segurança que são
realizados, no mínimo, num conjunto de serviços críticos para o
País;
_
Sistemas e canais de comunicação alternativos — nacionais e internacionais —
prioritários para as operações mais críticas, para fazer face a uma paralisação
generalizada;
_
Capacidade para filtrar ou isolar as redes do País, em caso de necessidade
extrema, para garantir que conseguimos funcionar
internamente;
_
Capacidade para funcionar offline, se fosse necessário, num conjunto de serviços
críticos para o funcionamento do País.
_
Segregar de forma clara, as componentes operacionais, as comunicações, e os
elementos administrativos dos sistemas de informação;
_
Constituir um organismo especializado e com competência para investigação de
ameaças informáticas, nacionais e internacionais;
_ Manter um sistema nacional de monitorização e alerta de segurança nacional;
e,
_
Planos de contingência para fazer face a eventuais
ataques.
Podia
continuar mais um bocado mas, parece-me, os pontos principais já estão
vincados.
Não
estão cá todos mas, novamente, estão alguns dos
importantes.
Por
agora ficam as ideias.
(…)
…”
………………..
Sem comentários:
Enviar um comentário