Esta semana verificaram-se três situações que envolvem a destreza tecnológica e a sua manipulação abusiva, dignas de reflexão e que, a continuarem negligenciadas, podem ferir o estado das democracias: O tratamento e proteção de dados pessoais e organizacionais; dos danos monetários envolvidos e da legislação de segurança inerente.
- Soube-se pela voz de uma cidadã de origem russa e depois corroborada pelo presidente da Câmara Municipal de Lisboa (CML), Fernando Medina, que, há seis meses, os dados de 3 ativistas russos (dois deles também com nacionalidade portuguesa) e que organizaram uma manifestação pro-oposição russa, foram enviados para a embaixada da Federação Russa em Portugal e para o Ministério Russo dos Negócios Estrangeiros.
Divulgada esta delação suscetível de colocar em causa os direitos dos cidadãos e a segurança física dos mesmos – que levou o presidente do município de Lisboa a pedir desculpas públicas por “um erro que não devia ter acontecido” relacionando o facto à aplicação de uma lei antiga – surgem agora dúvidas sobre a eventual partilha de outros dados que envolvem outros países, nomeadamente informações relativas a ativistas palestinianos.
Segundo os media Expresso e Observador, a troca de emails entre a CML e o Comité para a Solidariedade com a Palestina, com data de 2019, levou a autarquia a assumir ter enviado informação para Israel, China e Venezuela.
- Do outro lado do Atlântico, a empresa JBS, a maior processadora de carne do mundo, confirmou que pagou um resgate de US $ 11 milhões a piratas informáticos russos (9.071.700 Euros).
O CEO, André Nogueira, da JBA USA, considerou que foi «uma decisão muito difícil de tomar» e explicou que essa decisão teve de ser tomada para, disse, “evitar qualquer risco potencial para os nossos clientes. A JBS está sediada no Brasil, mas o hack da semana passada teve como alvo servidores nos Estados Unidos e Austrália. O FBI diz que o grupo pirata REvil foi o responsável.
- A agência antitrust da União Europeia, através da principal autoridade, Margrethe Vertager, manifestou esta semana a sua preocupação com potenciais práticas anti concorrenciais no mercado, face à rápida expansão de dispositivos conectados, atualmente liderado por gigantes tecnológicos incluindo Google, Apple e Amazon.
Um dos problemas identificados é o controlo sobre grandes conjuntos de dados que ajudam as empresas dominantes a manter o seu poder de mercado.
Democracia e o poder dos dados
A vigilância coletiva deve questionar-se.
Ora, estes três exemplos evidenciam uma ação coletiva de preocupação e verificação ao controlo sobre dados e o resultado é claro: Falhas na gestão de informações potencialmente sensíveis.
- No primeiro caso, relativo à CML, já decorre o processo de averiguações pela Comissão de Proteção de Dados com um inquérito sobre a partilha de dados de nomes, moradas e contactos de três manifestantes russos, além da opinião pública a exigir saber se houve outras delações relativas a outras manifestações.
O Parlamento português vai ouvir o presidente do município e o Ministro português dos Negócios Estrangeiros.
- No segundo, o FBI (Ransomware and Digital Extortion Task Force) e outras autoridades nos EUA, já estão a analisar este incidente.
- E, no terceiro, a Comissão Europeia também está a avaliar os seus efeitos.
Os três casos merecem um olhar atento e crítico.
Já passou mais de uma década desde que a indústria tecnológica emergiu da crise financeira, como uma influência dominante nas economias e na forma como vivemos e percebemos o mundo.
Há razões para envolver dados nestas ações, mas o que nos deve fazer questionar é sobre o poder que as mesmas detêm.
Tais poderes se utilizados sem regras ou sem cuidados éticos, podem colocar em perigo as próprias democracias.
No contexto deste artigo, inserido na newsletter «A melhor informação da semana», destaco também uma recorrência, o cibercrime, que envolve hackers que invadem as redes informáticas e bloqueiam informação digital até a vítima pagar pela sua libertação.
O cibercrime
Nos últimos meses, os gangues criminosos atingiram grandes empresas, escolas e universidades, governos locais, hospitais e a polícia. E estão a ficar mais descarados.
Acrescentaram uma nova ameaça, ou seja, a divulgação pública de dados das organizações, se estas não pagarem. E esta modalidade criminosa tem vindo a aumentar, com pedidos de com pedidos de resgate até às dezenas de milhões de euros.
Recentemente um departamento de polícia na Florida (EUA), alvo de um destes ataques, viu e divulgados registos, incluindo uma pasta rotulada «morto» com fotografias de corpos de cenas de crime. No mês passado, a Colonial Pipeline pagou aos hackers $4,4 milhões de dólares de resgate.
A Europa tem sido pioneira nas exigências e as autoridades optam repetidamente por arriscar fazer demasiadas regras para a tecnologia, em detrimento da sua agilização.
Esta abordagem europeia, tanto pode ser visionária, como pode matar a inovação útil no berço. É definitivamente um laboratório do mundo real.
Recentemente surgiram novas regras propostas para regular a utilização da inteligência artificial, incluindo em carros autoconduzidos, empréstimos bancários, pontuação de testes e justiça criminal.
Alguns usos da Inteligência Artificial (IA) seriam proibidos, com exceções como software de reconhecimento facial ao vivo em espaços públicos. Noutras áreas, o projeto de regras exigiria que as empresas avaliassem os riscos da sua tecnologia, documentassem a forma como esta toma decisões e, em geral, fossem abertas ao público sobre o que se passa sob o capuz da IA.
Mas as autoridades europeias estão a mostrar que querem prever o que pode correr mal com a tecnologia e tentar travar eventuais malefícios – em alguns casos antes de a IA estar a ser amplamente utilizada.
A escolha de regular primeiro não é tipicamente a forma de atuação nos Estados Unidos.
Algumas jurisdições dos EUA proibiram ou limitaram o uso do reconhecimento facial pela aplicação da lei, e muitos estados estabeleceram regras de segurança para empresas que querem testar carros sem condutor nas estradas públicas. Aqui a tendência é esperar os seus resultados e se algo correu mal, tentar fazer algo a esse respeito.
A abordagem ao estilo americano de esperar para ver a regulamentação significa que as novas ideias têm menos barreiras para se tornarem realidade.
Proteção de dados
O que deve ser feito?
Não há bala de prata, mas há algumas medidas que podem ajudar.
Os governos podem designar o resgate como uma ameaça à segurança nacional a par do terrorismo, o que iria canalizar mais recursos de inteligência para o combater. Países que são portos seguros para gangues poderiam ser sujeitos a sanções ou restrições às viagens para Europa e Estados Unidos. Esta medida vai pressionar os países a perseguir os criminosos no próprio país.
A maioria dos gangues de «ransomware» exige o pagamento em Bitcoin, o que poderia ajudar a localizar os criminosos se as regras da indústria bancária e as leis contra o branqueamento de capitais fossem aplicadas com trocas de divisas criptográficas.
Poderíamos também exigir que as empresas e agências governamentais que são atingidas por ataques, os divulgassem publicamente.
Precisamos de uma linha direta do tipo 112 para as vítimas de pirataria informática/dados usurpados/extorsão informática. As organizações, muitas vezes, não sabem a quem ligar quando são visadas.
Qual o papel das organizações alvo de ataques?
Se as empresas, agências e organizações governamentais exigissem que todos os empregados e outros que acedem às suas redes informáticas utilizassem palavras-passe fortes, gestores de palavras-passe e autenticação em várias etapas, seria um caminho para evitar ciberataques.
Os resgates e outros ciberataques vão piorar.
Mas o problema central é a falta de urgência e investimento para proteger os sistemas digitais.
E é esta questão de investimento na proteção, fundamental do ponto de vista do desenvolvimento tecnológico e transversal a muitas outras situações, obviamente também ao caso que envolve a Câmara Municipal de Lisboa. O Presidente da República, Marcelo Rebelo de Sousa, considerou que há procedimentos administrativos, porventura em toda a administração pública portuguesa, que não acompanharam a evolução da aplicação legal referente a dados pessoais e direitos fundamentais.
Será crescente a problemática da concentração de poder e do crescimento da tecnologia em múltiplos dispositivos com acesso à internet.
Educação é poder.