1. Introdução

1.4. Ameaças cibernéticas, eventos, incidentes e ataques

Lidar com a questão dos "fenómenos cibernéticos negativos" pode ser algo problemático, uma vez que literatura científica diferente, bem como regras processuais, utilizam frequentemente sinónimos diferentes, o que deveria significar a mesma coisa, para definir o fenómeno negativo específico.

A razão para a persistência da terminologia é, por um lado, o tempo relativamente curto que temos lidado com ameaças, ataques e incidentes cibernéticos, e, por outro lado, a tradução nem sempre idêntica do inglês, que é utilizada principalmente em TI.

1.4.1        Ameaça cibernética

Uma ameaça pode muito simplesmente ser definida como algo que é capaz de perturbar o estado normal ou ordenado e interferir com os direitos de outras entidades. Este é um efeito negativo que pode ou não ser levado a cabo. É suficiente para a própria definição que a possibilidade de um estado negativo ameace e seja real.

De acordo com o Ministério do Interior da República Checa, "qualquer fenómeno que tenha o potencial de prejudicar os interesses e valores protegidos pelo Estado é considerado uma ameaça. A gravidade de uma ameaça é determinada pela magnitude dos possíveis danos e pela escala temporal (geralmente expressa em probabilidade ou risco) da possível aplicação dessa ameaça. [1]

O Cybersecurity Glossary define vários termos que estão directamente relacionados com as ameaças cibernéticas.

A ameaça é definida como "a causa potencial de um incidente indesejado que poderia resultar em danos para um sistema ou organização. " [2]

Directamente relacionado com este conceito básico está o conceito de ameaça à segurança da informação[3] , que é definido como "uma causa potencial de um evento adverso que pode resultar em danos ao sistema e aos seus activos, tais como destruição, divulgação indesejada (compromisso), modificação de dados ou indisponibilidade de serviços" [4]

Além dos dois termos acima mencionados, os autores definem também ameaça activa, ameaça passiva e ameaça avançada e permanente no glossário . [5]

O dicionário de Oxford afirma que uma ameaça cibernética é a possibilidade de uma tentativa maliciosa de danificar ou perturbar uma rede ou sistema informático.[6] Neste contexto, um sistema informático é considerado como um sistema.

A ameaça cibernética também pode ser definida como um acto destinado a modificar[7] informação, aplicações ou o próprio sistema.

Jirovský define quatro grupos de ameaças básicas e, ao mesmo tempo, caracteriza a sua relação:[8]

1.     O vazamento de informação é uma condição em que a informação protegida é vazada a uma entidade não autorizada.

2.     A violação da integridade representa dano, alteração ou eliminação de dados.

3.     A supressão de um serviço significa obstruir intencionalmente o acesso à informação, às aplicações, ou ao sistema.[9]

4.     A utilização não autorizada é a utilização de informação por uma entidade não autorizada ou de uma forma não autorizada.[10]

Classificação das ameaças cibernéticas

Há uma série de classificações de ameaças cibernéticas, e na maioria das vezes estas ameaças são divididas de acordo com elas:

1.     Fonte de ameaça

a)     Ameaças feitas pelo homem. No caso de uma ameaça ser causada por uma pessoa, é apropriado concentrar-se na forma de culpa que levou ao início da ameaça. Deste ponto de vista, é possível distinguir as ameaças causadas:

·         intencionalmente,

As ameaças cibernéticas intencionalmente causadas incluem, por exemplo:

o   eliminação intencional de dados, configuração do sistema, etc..,

o   danos físicos a um sistema informático ou outro elemento das TIC,

o   roubo de dados e informações,

o   ciberataques (malware, DoS, DDoS, phishing, espionagem não autorizada, etc.).[11]

·         por negligência.

As ameaças cibernéticas causadas por negligência incluem, por exemplo:

o   dados apagados acidentalmente,

o   danos físicos a um sistema informático ou outro elemento das TIC (por exemplo, por queda, tropeçar em cablagem estruturada, etc.),

o   danos de dados, sistemas ou outros elementos devido à não familiarização com actos internos (legais ou técnicos),

o   outro erro do utilizador.

b)    Erros técnicos (por exemplo, erro de software ou hardware).

c)     Força maior.

            As ameaças cibernéticas causadas por força maior incluem, por exemplo:

·      falha de energia não planeada (a menos que se trate de uma ameaça de negligência por parte do homem),

·      acontecimentos naturais (trovoadas, tempestades, etc.) ou catástrofes (inundações, terramotos, etc.),

·      fogo (a menos que seja uma ameaça feita pelo homem).

2.     Fonte de acção

a)     ameaças internas (a origem da ameaça está localizada dentro da organização)

b)    ameaças externas (a fonte da ameaça está fora da organização)[12]

3.     Alvo da ameaça

a)    Ataque à tríade da CIA.

·     Confidencialidade - por exemplo, roubo de dados, dados de acesso e chaves, hardware, etc.

·     Integridade - erros nas bases de dados, definições de permissões, etc.

·     Disponibilidade - por exemplo, ataques DoS e DDoS; ataques físicos a servidores e cablagem estruturada; falhas de energia, etc.

b)    Ataque a qualquer um dos elementos da ciber-segurança.

·     Pessoas - ataques por engenharia social (no mundo real, mas também no ciberespaço), phishing, malware, roubo, etc.

·     Tecnologias - todas as ameaças enumeradas no ponto 1 desta classificação. Tipicamente, as ameaças podem afectar:

o   hardware (sistemas de computadores endpoint, servidores, controladores de rede, IoT, etc.),

o   bases de dados,

o   rede e infra-estrutura de rede,

o   software (sistema operativo ou outras aplicações),

o   informação e dados armazenados em sistemas informáticos.

·     Processos - testes não autorizados de segurança ou funcionalidade de processos estabelecidos na organização, etc.

4.     Motivação

Se uma ameaça for causada por comportamento humano intencional, é apropriado lidar com a sua motivação ao abordar a ameaça. Com base na análise da motivação de tal comportamento, é possível criar medidas correctivas no âmbito do processo de resposta à ameaça, para que não haja incentivos para essa motivação no futuro.  

Com base na motivação, pode controlar:

·       ameaças, a fim de obter ganhos financeiros,

·       ameaças, a fim de ganhar uma vantagem competitiva,

·       ameaças, a fim de demonstrar as capacidades de alguém,

·       ameaças de retaliação,

·       ameaças devidas ao não cumprimento de obrigações.[13]

5.     Tipo de ameaça

·       engenharia social,

·       botnet,

·       malware,

·       resgate,  

·       spam/scam,

·       ofertas fraudulentas,

·       phishing, pharming, spear phishing, vishing, smishing,

·       hacking,

·       farejar,

·       DoS, DDoS, DRDoS ataca,

·       distribuição de conteúdos defeituosos,

·       roubo de identidade,

·       APT (Ameaça Persistente Avançada),       

·       ciberterrorismo,

·       extorsão cibernética.

O Decreto sobre Ciber-segurança no Apêndice 3 lista algumas das ameaças como exemplo. De acordo com este decreto, uma ameaça é:

1.     uma violação da política de segurança, execução de actividades não autorizadas, utilização indevida de permissões por utilizadores e administradores,

2.     danos ou falhas de hardware ou software,

3.     fraude de identidade,

4.     utilização de software em violação das condições da licença,

5.     código malicioso (tais como vírus, spyware, trojans),

6.     violação da segurança física,

7.     interrupção da prestação de serviços de comunicações electrónicas ou do fornecimento de electricidade,

8.     utilização indevida ou modificação não autorizada de dados,

9.     perda, roubo ou dano de um bem,

10.  não cumprimento da obrigação contratual por um fornecedor,

11.  uma falha por razões imputáveis aos empregados,

12.  uso indevido de meios internos, sabotagem,

13.  interrupção a longo prazo na prestação de serviços de comunicações electrónicas, fornecimento de electricidade ou outros serviços importantes,

14.  escassez de empregados com um nível profissional exigido,

15.  ciberataque direccionado utilizando engenharia social, utilização de técnicas de espionagem,

16.  utilização indevida de suportes de dados electrónicos amovíveis,

17.  ataque à comunicação electrónica (escuta, modificação).

1.4.2        Evento de ciber-segurança

Prosise e Mandiva caracterizam "evento de segurança informática" (que pode ser entendido como um ataque informático ou crime informático), como uma acção ilegal, não autorizada e inaceitável que envolve um sistema informático ou uma rede informática. Tal acção pode centrar-se, por exemplo, no roubo de dados pessoais, spam ou outro tipo de assédio, desvio de fundos, divulgação ou posse de pornografia infantil, etc.[14]

Jirásek et al. definem um evento de segurança como: "um evento que possa causar ou conduzir a uma violação dos sistemas e tecnologias de informação e das regras definidas para a sua protecção (política de segurança)".[15]

A definição de um evento de segurança também pode ser encontrada no artigo 3.5 da ISO/IEC 27001, que estabelece que tal evento é: "um estado identificável de um sistema, serviço ou rede, indicando uma possível violação da política de segurança ou falha das medidas de segurança". Pode também ser outra situação que não tenha acontecido anteriormente que possa ser importante do ponto de vista da segurança da informação".

Uma definição semelhante pode ser encontrada em NIST, 800-61 Computer Security Incident Handling Guide, que afirma que um evento de segurança é um evento de segurança: "um evento desfavorável com um efeito negativo, tal como falhas do sistema, inundação de pacotes, utilização não autorizada dos privilégios do sistema, acesso não autorizado a dados sensíveis ou execução de código malicioso que destrói os dados". " [16]

Um evento de ciber-segurança é também definido pela Lei sobre Ciber-segurança na Secção 7 (1) como "um evento que possa causar uma violação da segurança da informação nos sistemas de informação ou uma violação da segurança dos serviços ou da segurança e integridade das redes de comunicações electrónicas".

De facto, é um acontecimento sem uma consequência negativa real para um determinado sistema de comunicação ou informação. No fundo, é apenas uma ameaça, mas deve ser real.

Ao mesmo tempo, os autores utilizam as tautologias, explicando um evento como um evento.

Acreditamos que seria mais apropriado e provavelmente mais compreensível rotular e interpretar o termo "incidente de cibersegurança" como uma ameaça cibernética, porque na realidade só existe uma causa potencial que pode causar um evento adverso.

Exemplo: Uma mensagem de correio electrónico contendo código malicioso (malware) é entregue ao correio interno da empresa de um utilizador. Contudo, este malware é comprimido (por exemplo, utilizando WinZip) e não pode ser instalado sem uma acção adicional do utilizador. Tal evento não significa necessariamente uma quebra de segurança em si mesmo, mas é, em certas circunstâncias, capaz de a violar.

1.4.3        Incidente cibernético (segurança)

Jirásek et al. definem um incidente de segurança como "uma violação ou ameaça iminente de uma violação das políticas de segurança, dos princípios de segurança, ou das regras normais de segurança para o funcionamento das tecnologias de informação e comunicação". [17]

A norma ISO/IEC 27001 fornece a sua própria definição de um incidente de segurança da informação. No artigo 3.6 desta norma, um incidente de segurança da informação é definido como: "um ou mais eventos de segurança indesejados ou inesperados em que existe uma elevada probabilidade de comprometer uma organização e de comprometer a segurança da informação".

Uma definição muito semelhante de incidente de segurança informática pode também ser encontrada no manual do NIST, Guia de Tratamento de Incidentes de Segurança Informática 800-61, que afirma que se trata de "uma violação ou ameaça iminente de violação de políticas de segurança, políticas de utilização aceitável (sistema, serviço) ou prática padrão de segurança".[18]

Um incidente de ciber-segurança é também definido na Secção 7 (2) da Lei sobre Ciber-segurança como "uma violação da segurança da informação nos sistemas de informação ou uma violação da segurança da prestação de serviços ou uma violação da segurança e integridade das redes de comunicações electrónicas devido a um evento de ciber-segurança".

Decorre da redacção do acto que um incidente pode ser causado tanto por acções intencionais como por negligência de uma pessoa, mas também por força maior. É essencial que a segurança da informação, ou dos serviços e sistemas de informação e comunicação a eles associados, seja comprometida.

Um incidente de cibersegurança representa assim uma verdadeira violação da segurança da informação nos sistemas de informação ou uma violação da segurança dos serviços ou da segurança e integridade das redes de comunicações electrónicas, ou seja, uma violação de um sistema de informação ou de comunicação com um impacto negativo.

Acidentes, erros de hardware e software, erros cometidos pelos administradores durante a configuração, erros dos utilizadores do sistema, etc. são também responsáveis por uma certa parte dos incidentes de cibersegurança.

Exemplo: Se nos basearmos no exemplo anterior, então quando o utilizador executa código malicioso no computador, já estamos a referir-nos à ocorrência de um incidente de segurança.

1.4.4        Cyberattack

Jirásek et al. definem um ciberataque como: "Um ataque a uma infra-estrutura informática para causar danos e obter informação sensível ou estrategicamente importante". É mais frequentemente utilizado no contexto de ataques de motivação política ou militar".[19]

Uma tal definição de ataque cibernético reduziria significativamente e não afectaria todas as actividades negativas dos utilizadores do ciberespaço[20] , espesialmente porque combina cumulativamente as condições de danos informáticos e de recuperação de informação. Um ciberataque pode também incluir acções sob a forma de engenharia social, onde o único objectivo é obter informação, ou, inversamente, um ataque DoS ou DDoS, onde o único objectivo pode ser suprimir (ou seja, não danificar) a funcionalidade de um ou mais sistemas ou serviços informáticos.

A diferença entre um incidente de ciber-segurança e um ataque cibernético reside principalmente na questão da culpa. Como mencionado anteriormente, um incidente de cibersegurança pode ser causado tanto por comportamento humano intencional como por negligência, ou por força maior. No entanto, um ataque cibernético é um acto intencional de uma pessoa.

Com base no acima exposto, um ataque cibernético[21] pode, portanto, ser definido como qualquer conduta intencional de um agressor no ciberespaço que seja dirigida contra os interesses de outra pessoa.

Um ciberataque também pode ser definido como as acções de um atacante ou grupo de atacantes que utilizam tecnologias de informação e comunicação para atacar outra infra-estrutura de informação e comunicação, quer para comprometer a disponibilidade, confidencialidade, ou integridade dos dados.

1.4.5        Cibercriminalidade

No final da discussão dos incidentes e ataques informáticos, consideramos necessário definir, pelo menos em termos gerais, a relação entre estes ataques ou incidentes e a cibercriminalidade.

Ao definir o conteúdo do conceito de cibercrime, é necessário perceber que, juntamente com o crescimento das possibilidades de utilização de ferramentas de informação e comunicação, a possibilidade da sua utilização (abuso) para cometer crimes está também a crescer. Por conseguinte, não existe praticamente nenhuma definição universal, geralmente aceite, que afecte plenamente o âmbito e a profundidade deste conceito.

De um modo geral, o cibercrime pode ser definido como uma conduta dirigida contra um sistema informático, rede informática, dados ou utilizadores, ou uma conduta em que um sistema informático é utilizado como uma ferramenta para cometer um crime. Um critério indispensável para a aplicação da definição de crime cibernético é o facto de a rede informática, ou ciberespaço, ser então o ambiente em que esta actividade tem lugar.

O cibercrime representa o conjunto mais amplo para todos os crimes que ocorrem no ambiente das tecnologias de informação e comunicação. O "crime clássico" é muitas vezes transferido para o ciberespaço, uma vez que é possível cometer crimes mais rápida e eficazmente (por exemplo, fraude, disseminação de material sobre abuso de crianças, etc.). Para além desta transferência de crimes familiares, existem até agora novos ataques muitas vezes não abrangidos pela lei.

É de notar que nem todos os ciberataques devem ser um crime, mas todos os crimes cibernéticos devem ser um ciberataque ao mesmo tempo. Muitos ciberataques, mesmo devido à ausência de uma norma de direito penal, podem ser subsumidos a uma conduta que terá a natureza de delito civil ou administrativo, ou não pode ser uma conduta punível por qualquer norma legal (pode ser, por exemplo, apenas uma conduta imoral ou intolerável).


[1] Hrozba. [online]. [cit. 28/07/2018]. Disponível em: http://www.mvcr.cz/clanek/hrozba.aspx

[2] JIRÁSEK, Petr, Luděk NOVÁK e Josef PO`ÁR. Výkladový slovník kybernetické bezpečnosti. [online]. 3ª edição actualizada. Praga: AFCEA, 2015. p. 52. Disponível em: https://nukib.cz/download/aktuality/container-nodeid-665/slovnikkb-cz-en-1505.pdf

[3] Neste caso, há um problema com a tradução de alguns termos do inglês e vice-versa. Se quisermos traduzir consistentemente o termo ameaça à segurança da informação, então o equivalente checo correcto é, por exemplo, "hrozba pro bezpečnost informací; hrozba zabezpečení informací" etc.

[4] Ibidem, p. 25.

[5] Ibidem, p. 16, 81 a 87

[6] Ameaça cibernética. [online]. [cit. 06/07/2018]. Disponível em: https://en.oxforddictionaries.com/definition/cyberthreat  

[7] A alteração também significa o roubo de informação, a sua destruição, ou a frustração da sua utilização.

[8] Cf. JIROVSKÝ, Václav. Kybernetická kriminalita nejen o hackingu, crackingu, virech a trojských koních bez tajemství. Praga: Grada Publishing, a. s., 2007. p. 21 et seq.

[9] Estes ataques são, por exemplo, DoS - Denial of Service, DDoS - Distributed Denial of Service, etc. Para mais detalhes, ver KOLOUCH, Jan. CyberCrime. Praga: CZ.NIC, 2016, p. 295 e seguintes.

[10] Por exemplo, um sistema cobrado será atacado e os seus serviços utilizados sem pagamento por serviços.

[11] Para ciberataques individuais, ver por exemplo: KOLOUCH, Jan. CyberCrime. Praga: CZ.NIC, 2016, p. 181 e seguintes.

[12] Para mais detalhes, ver, por exemplo, PO`ÁR, Josef. Vybrané hrozby informační bezpečnosti organizace. [online]. [cit. 06/07/2018]. Disponível em: https://www.cybersecurity.cz/data/pozar2.pdf

[13] Před čím chránit? - Bezpečnostní hrozby, události, incidenty. [online]. [cit. 06/07/2018]. Disponível a partir de: https://www.kybez.cz/bezpecnost/pred-cim-chranit

[14] PROSISE, Chris e Kevin MANDIVA. Resposta a incidentes & forense informática, segunda edição. Emeryville: McGraw-Hill, 2003, p. 13

Ver também: CASEY, Eoghan. Evidência Digital e Crime Informático: Forensic Science, Computers, and the Internet, Segunda Edição. Londres: Academic Press, 2004, p. 9 e seguintes.

[15] JIRÁSEK, Petr, Luděk NOVÁK e Josef PO`ÁR. Výkladový slovník kybernetické bezpečnosti. [online]. 3ª edição actualizada. Praga: AFCEA, 2015. p. 28. Disponível em: https://nukib.cz/download/aktuality/container-nodeid-665/slovnikkb-cz-en-1505.pdf

[16] Guia de Tratamento de Incidentes de Segurança Informática [online]. [cit. 13/08/2018], p. 6. Disponível a partir de: https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf

[17] JIRÁSEK, Petr, Luděk NOVÁK e Josef PO`ÁR. Výkladový slovník kybernetické bezpečnosti. [online]. 3ª edição actualizada. Praga: AFCEA, 2015. p. 25. Disponível em: https://nukib.cz/download/aktuality/container-nodeid-665/slovnikkb-cz-en-1505.pdf

[18] Guia de Tratamento de Incidentes de Segurança Informática [online]. [cit. 17/02/2018], p. 6. Disponível em: https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf

[19] JIRÁSEK, Petr, Luděk NOVÁK e Josef PO`ÁR. Výkladový slovník kybernetické bezpečnosti. [online]. 3ª edição actualizada. Praga: AFCEA, 2015. p. 71. Disponível em: https://nukib.cz/download/aktuality/container-nodeid-665/slovnikkb-cz-en-1505.pdf

[20] A definição acima carece especialmente de uma definição de qualquer motivação do atacante que não seja a de... causar danos ou ganhar para informações estrategicamente importantes. Um exemplo não abrangido por esta definição pode ser os ataques motivados economicamente, que estão a crescer dramaticamente no presente.

[21] É necessário distinguir o conceito de ciberataque do conceito de incidente de segurança, que representa uma violação da segurança SI/TI e das regras definidas para a sua protecção (política de segurança).