"A proeminência da ciber-segurança cresceu na última década e tornou-se uma das principais prioridades em muitas políticas nacionais. Isto deve-se principalmente à sobreposição com outras esferas de segurança e também a incidentes que deram notoriedade a este conceito e forçaram o público em geral a pensar sobre a necessidade de segurança no ciberespaço. Ligado a isto está a necessidade de proteger o ciberespaço para que a segurança abrangente da República Checa seja preservada tanto quanto possível, bem como o direito dos indivíduos à autodeterminação informativa".[1]

A definição de ciber-segurança pode ser algo problemática. Para muitas pessoas, a ciber-segurança é uma área que é essencialmente tratada exclusivamente pelos departamentos de tecnologias de informação e comunicação.

Esta premissa está errada desde o início porque a ciber-segurança diz respeito a cada um de nós que utiliza qualquer elemento das TIC na nossa vida diária. Se não nos apercebemos de que somos um elemento chave, e em muitos casos crucial, da cibersegurança (seja na nossa vida privada ou no trabalho), então estamos de facto a aumentar a probabilidade de ciberataques bem sucedidos.

Actualmente, a ciber-segurança não pode ser subestimada ou subestimada. É uma área crucial para muitas organizações, mas também para indivíduos, pelo que deve ser abordada de uma forma sistemática e a longo prazo.

"A gestão organizacional deve compreender e aceitar que a gestão da cibersegurança recai muito mais sobre outras áreas da segurança e da gestão de crises. Afinal, mesmo os ataques sofisticados de hoje em dia são frequentemente multidisciplinares e combinam as áreas das TIC, engenharia social, pessoal e segurança de objectos".[2]

Voltando ao próprio conceito de ciber-segurança, é apropriado partir de uma análise deste termo. A palavra cibersegurança representa uma interconexão com elementos das tecnologias da informação e da comunicação e do ciberespaço enquanto tal.

Segurança

Existem muitas definições de segurança[3] , mas não existe uma única, geralmente aceite. A maioria das definições do termo segurança são dadas na literatura e não na própria legislação. [4]

Marés define segurança como "um Estado em que as ameaças a uma instalação (geralmente um Estado, ou mesmo organizações internacionais) e os seus interesses são limitados ao nível mais baixo possível, e esta instalação está efectivamente equipada e disposta a cooperar na eliminação de ameaças existentes e potenciais".[5]

Pozár define "segurança como uma característica de uma instalação ou entidade que determina o grau, nível da sua protecção contra potenciais danos e ameaças".[6]

Esta definição foi especificada com mais pormenor no Výkladový slovník kybernetické bezpečnosti (Cybersecurity Glossary):

Segurança

Uma característica de um elemento (por exemplo, um sistema de informação) que é protegido contra perdas a um determinado nível, ou também o estado de protecção (a um determinado nível) contra perdas. A segurança informática inclui a protecção da confidencialidade, integridade e acessibilidade no processamento, armazenamento, distribuição e apresentação da informação. [7]

É de notar que a segurança não é actualmente apenas uma preocupação do Estado, que, no entanto, ainda desempenha um papel primordial na garantia da segurança, mas que é um processo implementado por outras entidades (entidades jurídicas e pessoas singulares), que recentemente foram forçadas a lidar mais com a questão da segurança, ou mais precisamente a garantir as suas actividades contra ataques.

Dada esta expansão do âmbito da segurança, é necessário abordar, entre outras, as seguintes questões:

·       De quem é a segurança (organização internacional, Estado, organização, indivíduo, etc.)?

·       Que valores são protegidos (organização, pessoas, dados, etc.)?

·       Quais são (devem ser) estes valores protegidos contra (ataques físicos, cibernéticos, ataques combinados, etc.)?

·       Que recursos devem ser despendidos para proteger estes valores? [8]

O objectivo ideal da segurança é criar um estado de "segurança absoluta". Contudo, este estado é uma utopia, porque não pode ser realisticamente alcançado,[9] uma vez que haverá sempre uma ameaça ou risco que não foi considerado no conceito de criação de segurança ou foi intencionalmente negligenciado.

Contudo, o objectivo da segurança não é cobrir todos os riscos reais, menos reais ou completamente imprevisíveis e improváveis em todas as circunstâncias, uma vez que tal implementação criaria um complexo completamente disfuncional, que essencialmente negaria ou mesmo eliminaria completamente a aplicação e implementação da segurança.

Exemplo: Na vida quotidiana, também lhe pode acontecer, por exemplo, que se feche fora do seu apartamento. Se tiver considerado esta possibilidade, provavelmente tem chaves sobresselentes com a sua família, amigos, ou noutro lugar. No entanto, se não tiver chaves sobresselentes, provavelmente chamará um serralheiro ou arrombará a porta.

Ciber-segurança

Tal como com o conceito de segurança, a ciber-segurança não tem uma única definição geralmente aceite. A ciber-segurança é um subconjunto da segurança enquanto tal.

Ao definir a ciber-segurança, é apropriado partir de definições já estabelecidas. Aqui estão algumas destas definições:

1.          Ciber-segurança é um conjunto de medidas tomadas para proteger um sistema informático contra acesso ou ataque não autorizado. [10]

2.          O Dicionário Oxford afirma que a ciber-segurança é o estado de protecção contra a utilização criminosa ou não autorizada de dados electrónicos. A ciber-segurança deve então incluir as medidas que têm de ser tomadas para o conseguir.[11]

3.          Segundo Jirásek et al., cybersecurity é "um conjunto de instrumentos jurídicos, organizacionais, técnicos e educativos concebidos para assegurar a protecção do ciberespaço. ”[12]

4.          De uma forma relativamente semelhante, a cibersegurança é definida em "Národní strategie kybernetické bezpečnosti České republiky na období let 2015 až 2020". (A Estratégia Nacional de Cibersegurança da República Checa para 2015-2020). Esta estratégia afirma que: "Cybersecurity é um conjunto de medidas e ferramentas organizacionais, políticas, jurídicas, técnicas e educativas destinadas a garantir um ciberespaço seguro, protegido e resiliente na República Checa, tanto para entidades do sector público e privado como para o público checo em geral".[13]

Embora estas definições procurem definir o conceito de ciber-segurança, são um pouco imprecisas.

A primeira definição centra-se apenas no computador e no sistema informático e na sua protecção contra dois tipos de ciberataques, enquanto que o espectro de ambos os alvos dos ataques e especialmente dos próprios ataques é muito mais diversificado.[14]

A segunda definição protege então apenas os dados electrónicos e não os sistemas informáticos enquanto tal.

A terceira definição centra-se na adopção de meios para proteger os elementos das TIC no ciberespaço. Esta definição é relativamente precisa, mas a sua restrição ao ciberespaço só pode ser enganadora uma vez que a cibersegurança também pode ser aplicada aos elementos das TIC que não estão envolvidos no ciberespaço ou que criam o seu próprio "ciberespaço fora de linha".[15]

A última das definições é então explicitamente limitada ao ciberespaço na República Checa, ignorando completamente a possibilidade de proteger os interesses dos cidadãos da República Checa ou outras entidades que não estejam estabelecidas na República Checa. Acreditamos que o estreitamento da ciber-segurança ao ciberespaço na República Checa é compreensível do ponto de vista da implementação da Lei de Ciber-segurança, mas inadequado do ponto de vista da implementação da ciber-segurança.

Outra definição de cibersegurança pode ser encontrada, por exemplo, na Definição de Cibersegurança - Lacunas e sobreposições na normalização[16] pela ENISA, a Agência Europeia para a Segurança Cibernética[17] : "Cybersecurity" refere-se à segurança do ciberespaço, onde o ciberespaço se refere a um conjunto de ligações e relações entre objectos acessíveis através de uma rede geral de telecomunicações e a um conjunto de objectos cujas interfaces permitem o seu controlo remoto, acesso remoto a dados, ou a sua ligação a acções de gestão dentro do ciberespaço. A cibersegurança incluirá o paradigma "CIA" da tríade de relações e objectos no ciberespaço, e será alargada para assegurar a protecção da privacidade das entidades (pessoas singulares e colectivas) e a resiliência [recuperação de um ataque]".

Dado o esforço para definir o conceito de ciber-segurança, é apropriado proceder a partir das regras processuais que cobrem a ciber-segurança.

A Directiva (UE) 2016/1148 do Parlamento Europeu e do Conselho, de 6 de Julho de 2016, relativa a medidas destinadas a assegurar um elevado nível comum de segurança das redes e sistemas de informação em toda a União, declara[18] no n.º 2 do artigo 4.º que "segurança das redes e sistemas de informação significa a capacidade de as redes e sistemas de informação resistirem, com um determinado nível de confiança, a qualquer acção que comprometa a disponibilidade, autenticidade, integridade ou confidencialidade dos dados armazenados ou transmitidos ou processados ou dos serviços conexos oferecidos ou acessíveis através dessas redes e sistemas de informação".

A definição de Ciber-segurança pela lei polaca é - resistência dos sistemas de informação a actividades que violem a confidencialidade, integridade, disponibilidade e autenticidade dos dados processados ou serviços relacionados oferecidos por estes sistemas (Lei de 5 de Julho de 2018 sobre o sistema nacional de ciber-segurança Journal of Laws de 2018, item 1560).

As definições acima procuram de várias formas definir o leque de relações, interesses e entidades contra as quais a ciber-segurança é aplicada. Ao mesmo tempo, definem também o ciberespaço como o ambiente em que a cibersegurança é aplicada.

Devido a uma certa inconsistência nas opiniões sobre o que é e o que não é ciber-segurança, é apropriado apresentar a nossa própria definição de ciber-segurança, que surgiu tanto com base numa análise das definições anteriores como com base na nossa própria experiência.

A ciber-segurança pode ser definida como:

•   um conjunto de instrumentos jurídicos, organizacionais, técnicos e educativos destinados a assegurar a protecção dos sistemas informáticos e outros elementos das TIC, aplicações, dados e utilizadores,
•   a capacidade dos sistemas e serviços informáticos utilizados para responder a ameaças ou ataques cibernéticos e suas consequências, bem como o planeamento da restauração da funcionalidade dos sistemas informáticos e serviços relacionados.

A ciber-segurança é implementada tanto dentro como fora do ciberespaço. Não é adequado limitar a aplicação dos meios e princípios acima referidos, geolocamente, de qualquer forma (seja no território de um determinado Estado, da União ou do próprio ciberespaço).