António Gameiro Marques exerce desde Setembro de 2016 o cargo de director-geral do Gabinete Nacional de Segurança (GNS), sendo, por inerência, a Autoridade Nacional de Segurança, estando o Centro Nacional de Cibersegurança na estrutura do GNS. À margem da conferência C-Days, no Porto, avançou à Security Magazine que “temos de saber usar as ferramentas tecnológicas para melhorar a nossa qualidade de vida e não para degradar a forma como nos relacionamos”. Como apontou, “defendo que a segurança no ciberespaço, feita com um propósito estratégico, pode ser uma ferramenta para salvaguardar a saúde das democracias porque cria confiança e dá confiança aos cidadãos (…)”
Security Magazine – Acompanha com grande atenção o que acontece no C-Days a cada edição. Que balanço faz desta edição e como olha para esta trajectória deste evento?
António Gameiro Marques – O C-Days mostra a maneira como a sociedade portuguesa está cada vez mais a colocar os assuntos da segurança da informação, participialmente a segurança da informação no ciberespaço, no seu dia a dia. Cada vez temos mais pessoas a participar e mais parceiros a associarem-se a esta iniciativa. O balanço que faço é uma edição muito gratificante.
Estou no GNS desde Setembro de 2016 e acompanho o C-Days desde esse momento. Inicialmente, o evento realizava-se em Lisboa. Posteriormente, passamos a realizá-lo noutras cidades em Portugal Continental alternadamente e, mais recentemente, nas ilhas.
Existe a possibilidade de o evento ser levado a outras zonas do país?
Somos solicitados a pensar nesses termos. No entanto, um evento desta dimensão tem uma carga enorme para ser organizado. Duas semanas depois de terminarmos esta edição já estaremos a pensar na próxima, nomeadamente no tema, o qual tem de fazer coerência com os temas das edições anteriores. Poderemos organizar eventos de um dia em determinadas zonas do país, mas nunca com a envergadura deste evento.
Temos 308 autarquias, 22 comunidades intermunicipais e duas áreas metropolitanas que podem fazer muito pela sociedade e o CNCS está a ajudar muito nessa matéria. Considero que a aposta nas autarquias, através das comunidades intermunicipais, necessita de muito da nossa energia.
Falando da importância da confiança, tema em destaque nesta edição do C-Days. Que confiança é esta e como se ganha?
Nas conferências que faço, mostro uma figura de uma trapezista a lançar-se no ar, confiando que o seu par não a deixará cair. Se não conseguirmos saber a definição de confiança, esta figura é muito representativa.
No ano passado, a “Foreign Affairs” publicou numa edição dedicada à segurança do ciberespaço um artigo focado no tema do mundo sem confiança (A world without trust) em que estamos cada vez mais a viver. Estamos a perder confiança nas instituições e em alguns países, o que é mau para a sociedade e corrói a sociedade.
E ameaça as democracias?
Sim. Defendo que a segurança no ciberespaço, feita com um propósito estratégico, pode ser uma ferramenta para salvaguardar a saúde das democracias porque cria confiança e dá confiança aos cidadãos no uso dos meios digitais, permitindo-lhes saber que existe um conjunto de políticas públicas, regras e mecanismos que protegem o essencial dos valores das democracias, nomeadamente a privacidade, direitos, liberdades e garantias na internet ou que jornalistas, por exemplo, possam fazer o seu trabalho sem serem censurados e deturpados. Para mim, esse é o grande propósito da cibersegurança, além de todos os outros que aqui falamos.
No C-Days tocamos várias nuances do tema e, neste sentido, abordamos a questão da geopolítica, tecnologia, comportamentos, regulação, entre outros. Esta é a única forma de sermos eficientes e eficazes na abordagem ao tema, ou seja, não podemos abordá-lo verticalmente. É por isso também que estamos colocados na dependência do primeiro-ministro, através do secretário de Estado da Digitalização e Modernização Administrativa, tal como estivemos da ministra da Presidência.
No que toca à confiança nos produtos e fornecedores de serviços de cibersegurança. Como se garante essa confiança?
Temos mecanismos instituídos que as organizações devem usar mais. Existem em Portugal cerca de 440 empresas de várias actividades económicas que são credenciadas pela Autoridade Nacional de Segurança (ANS). Para tal é necessário investigar um conjunto de características, incluindo a sua estrutura accionista e órgãos sociais que, não sendo uma medida 100% segura, é de alguma forma atestador da idoneidade da empresa e da sua estrutura governativa.
Porque é que as empresas que precisam de produtos ou serviços, quando os mesmos são de alto risco, não solicitam à ANS informação sobre que empresas com determinados códigos de actividade económica são credenciadas pela ANS? Nós temos essa informação numa base de dados que, mediante um pedido, é fornecida.
E muitas vezes não fazem esse pedido?
Muitas vezes, não fazem. Nós divulgamos essa possibilidade. Em Portugal, temos 30.000 pessoas credenciais e 15.000 frequentaram o curso online na parte de informação classificada. Dentro de pouco tempo será obrigatório frequentar o curso para se credenciar. Depois vemos em tudo o que se está a passar que há pessoas que deveriam saber e não sabem. Como a culpa nunca morre solteira, se isso acontece, apesar dos nossos esforços, é porque estamos a fazer algo que pode melhorar. Por isso, estamos a desenvolver uma formação específica para determinados cargos de duas horas que iremos oferecer, mas não poderemos obrigar ninguém a fazê-lo.
Portanto, todas as entidades que queiram contratar um produto ou serviço podem contactar a ANS e solicitar mais informações sobre determinada empresa?
Por exemplo, uma entidade pública que pretenda fazer um concurso público e quer saber que empresas com determinado código de actividade económica estão credenciadas pela ANS, poderá solicitar essa informação, a qual lhe será fornecida. Há empresas que podem até estar aptas para fornecer determinado serviço, mas se quiserem blindar quanto a um escrutínio a que aquela empresa foi sujeita, podem perguntar ao ANS.
Esse será um garante para determinadas situações num mundo tão desafiante como o que temos hoje…
Mitiga riscos.
Gostaria de voltar ao artigo que referi sobre um mundo sem confiança, no qual é apontado que não podemos deixar de criar redes entre pessoas e comunidades de interesses com pessoas, por muita tecnologia que exista. Como referiu Gerd Leonhard num evento em 2018, em Lisboa, “precisamos de tecnologia para viver como vivemos, mas não devemos deixar que sejam as tecnologias, leia-se tecnológicas, a ditar a forma como queremos viver ou socializar”. Pode ser uma visão filosófica, mas consubstancia-se com a nossa capacitação de fazer escolhas. A natureza tem-nos mostrado que depois de uma tendência para um lado, há algo que nos faz tender para outro. Temos de procurar humanizar a forma como nos relacionamos, no sentido de dar mais espaço a nós, como seres sociais que somos. Não quero dizer que devemos abolir as tecnológicas, contra mim falaria, pois, estou ligado às tecnologias e comunicações desde 1982. Porém, reconheço que temos de saber usar as ferramentas tecnológicas para melhorar a nossa qualidade de vida e não para degradar a forma como nos relacionamos.
Como vê os próximos temos na cibersegurança, tendo em conta todas as alterações que irão ser implementadas no próximo ano.
Teremos a nova Estratégica Nacional de Segurança do Ciberespaço, a qual será uma continuação da anterior e terá uma grande colaboração da sociedade civil. Além disso, teremos a NIS 2 que terá um impacto grande, pelo que teremos a responsabilidade de fazer alguma guidance de ajudar os organismos que de repente irão deparar-se com determinadas obrigações. Se não for o CNCS, na qualidade de autoridade nacional de cibersegurança, a guiar estas entidades, estas poderão ficar à merce de determinadas situações e avultadas quantias que alguns organismos que poderão pagar. Enquanto entidade pública teremos esse serviço público a fazer.
Além destas duas alterações, existirão outras situações que não sabemos que irão acontecer. Por exemplo, quando a guerra terminar, o que acontecerá a todos os que desenvolveram skills de hackers e que de repente ficarão sem um propósito, desregulados e sem estarem inseridos numa organização? Este é um assunto que está a ser pensado e muito alto na agenda de algumas pessoas. Desde 2020 parece que vivemos numa montanha-russa e que não sabemos para que lado irá rolar, sabemos, porém, que há duas curvas perigosas – a Estratégia Nacional de Segurança do Ciberespaço 3.0 e a NIS 2.
Temos de ter um plano para sabermos se estamos no bom caminho e não ficarmos à merce dos ventos e dos mares. Como alguém dizia, “se quer antecipar o futuro contribua para a sua criação”. Temos de ser pró-activos e não reactivos, ver cenários, planear e fazer planos de mitigação. Porém, há coisas que não conseguimos controlar e que terão reflexos em todas as dimensões do nosso mundo, incluindo na dimensão digital.
