Aprendendo com a abordagem multissetorial do Gana à segurança cibernética

À medida que a penetração da Internet cresceu exponencialmente, os países africanos tornaram-se mais expostos a ameaças relacionadas com a cibersegurança. Atores mal-intencionados cada vez mais organizados implantam formas cada vez mais sofisticadas de malware que ameaçam a infraestrutura marítima e energética crítica, causam milhares de milhões de dólares em perdas anuais, interrompem o acesso à Internet e roubam informações confidenciais de governos, políticos, empresários, cidadãos e ativistas em todo o continente. A maioria dos países africanos já experimentou pelo menos uma campanha de desinformação documentada publicamente, a maioria das quais é patrocinada por atores externos.

Infelizmente, a maioria dos países africanos ainda não estabeleceu políticas fundamentais de cibersegurança para enfrentar essas ameaças. A maioria ainda não elaborou uma estratégia nacional de cibersegurança, para criar instituições capazes de responder a grandes incidentes de cibersegurança ou para definir uma abordagem para a cooperação internacional no ciberespaço.

O Gana não é a maioria dos países africanos. É 1 de apenas 12 nações na África a possuir uma estratégia nacional de segurança cibernética e capacidades nacionais de resposta a incidentes. É também um dos únicos quatro a ter ratificado as Convenções de Budapeste e Malabo, dois grandes tratados destinados a abordar as dimensões internacionais das ameaças relacionadas com a cibersegurança.

De forma igualmente impressionante, o Gana colocou uma abordagem multissetorial centrada no cidadão no centro dos seus esforços para enfrentar os desafios de segurança cibernética do país. Os civis estão em papéis de liderança na formação da maioria dos aspetos da política e estratégia de segurança cibernética, desde a definição de responsabilidades interagências até ao desenvolvimento de capacidades de resposta a incidentes. Outros países em todo o continente têm muito a aprender com a abordagem do Gana, que trouxe um tremendo crescimento nas capacidades cibernéticas, permitiu que o Gana tomasse medidas para enfrentar as crescentes ameaças e reforçou a confiança entre o governo e os cidadãos.

Uma abordagem à estratégia cibernética liderada por civis

Em muitos países do mundo, uma agência de segurança nacional serve como a principal autoridade de um país encarregada da segurança cibernética. Embora o envolvimento do setor da segurança na segurança cibernética seja essencial, os atores de segurança podem não ser suficientemente versáteis para administrar eficazmente o ecossistema de informações de um país. Além disso, pode ser dispendioso, ineficaz e minar a confiança entre as partes interessadas públicas, privadas e civis.

A experiência do Gana ilustra os méritos de uma abordagem liderada por civis para a estratégia e a política de segurança cibernética. Quando assumiu o cargo em 2017, o presidente Nana Addo Dankwah Akufo-Addo herdou a implementação da Política e Estratégia Nacional de Segurança Cibernética (NCPS) de 2015. Embora os Ministérios de Segurança Nacional e Relações Exteriores do Gana tenham procurado a responsabilização pela implementação do NCPS, Akufo-Addo selecionou o Ministério das Comunicações do Gana e nomeou um Conselheiro Nacional de Segurança Cibernética dentro do ministério para servir como o principal responsável de segurança cibernética do país. A decisão foi tomada por uma série de razões:

• As ameaças à segurança cibernética eram difundidas e envolviam quase todos os cidadãos do país.
• Benefícios percebidos para o setor de Tecnologias de Informação e Comunicação do país de uma postura aprimorada de segurança cibernética
• A elaboração da estratégia e da política foi feita no Ministério das Comunicações, colocando-o na melhor posição para liderar a implementação.
• Preocupações de que uma infraestrutura de segurança cibernética dominada por autoridades de segurança nacional reduziria a confiança pública e tornaria a cooperação interagências mais difícil

Sob a liderança do Conselheiro Nacional de Segurança Cibernética, o Gana estabeleceu uma estrutura de governança de três níveis com as principais partes interessadas civis, do setor de segurança e não governamentais. Primeiro, um Conselho Nacional de Segurança Cibernética de nível ministerial, presidido pelo Ministro das Comunicações, foi estabelecido para tomar decisões de segurança cibernética de alto nível.

O Conselho Nacional de Segurança Cibernética foi apoiado por um Comitê Conjunto de Segurança Cibernética (JCC) que supervisiona a implementação diária da estratégia nacional de segurança cibernética do Gana. O CCM é composto por departamentos e agências governamentais de nível subministerial e aconselhado por atores não governamentais, cada um com autoridade para impor a implementação do NCPS nas suas respetivas agências.

Finalmente, um Centro Nacional de Segurança Cibernética (NCSC) foi estabelecido para supervisionar e coordenar todas as atividades nacionais de segurança cibernética do dia-a-dia. Renomeada Autoridade de Segurança Cibernética (CSA) em 2021, abriga a Equipa Nacional de Resposta a Emergências Computacionais do Gana (CERT-GH), serve como centro nervoso de inteligência de ameaças cibernéticas do governo e ajuda a coordenar a resposta a grandes incidentes de segurança cibernética.

Arquitetura de governança de segurança cibernética de três níveis do Gana

Esses esforços construíram rapidamente as instituições de segurança cibernética de Gana, definindo papéis e responsabilidades interagências claras. Tanto as linhas de comunicação horizontais como as verticais e a responsabilização permitem que as decisões sejam rapidamente tomadas a um nível adequado e pela agência adequada.

Como resultado, o Gana emergiu como líder regional em segurança cibernética. Em apenas 3 anos, subiu mais de 40 posições no Índice Global de Segurança Cibernética da União Internacional de Telecomunicações, de 89º para 43º, tornando-se 1 de apenas 7 países africanos entre os 50 primeiros lugares (incluindo Maurício, Egito, Tanzânia, Tunísia, Nigéria e Marrocos). Também se envolveu ativamente no fortalecimento da capacidade cibernética em países vizinhos, incluindo Serra Leoa e Gâmbia.

Desenvolvendo os principais recursos de resposta a incidentes

A abordagem inclusiva e liderada por civis do Gana à segurança cibernética permitiu que o país desenvolvesse rapidamente as capacidades de resposta a incidentes. Esses recursos são cruciais para ajudar o governo, o setor privado ou instituições civis a identificar ameaças cibernéticas maliciosas e a preparar-se e recuperar de ataques.

A arquitetura de resposta a incidentes do Gana data de 2014, com o estabelecimento da Equipa Nacional de Resposta a Emergências Informáticas do Gana (CERT-GH) sob a autoridade do Ministério das Comunicações (agora Ministério das Comunicações e Digitalização). O CERT-GH serve como ponto focal do país para a resposta a incidentes de segurança informática. Ele possui a capacidade de visualizar o cenário de ameaças à segurança cibernética do Gana em tempo real. Também opera uma plataforma de partilha de informações para partilhar inteligência de ameaças e resposta a incidentes de segurança em coordenação com partes interessadas internacionais, locais e do setor privado.

O Gana também criou uma rede robusta de CERTs a nível setorial. As CERTs de nível setorial baseiam-se em conhecimentos técnicos, autoridades específicas de domínio e relações estreitas com o setor privado para ajudar a proteger as infraestruturas críticas nos seus setores contra ciberataques. Até ao momento, o Gana estabeleceu CERTs de nível setorial efetivos nos setores bancário, governamental, de telecomunicações e de segurança nacional. Essas capacidades colocam o Gana muito à frente da maioria dos países africanos. Apenas 21 dos 54 países africanos estabeleceram o equivalente a uma CERT nacional e 9 têm CERTs a nível setorial.

Essa arquitetura robusta de resposta a incidentes ajudou a melhorar a resiliência do Gana a ataques cibernéticos, particularmente em setores vulneráveis, como o setor bancário. No meio do aumento dos ataques cibernéticos no setor financeiro do Gana, a CERT do Banco do Gana criou um centro de operações de segurança que lhe permitiu monitorizar incidentes de segurança cibernética em tempo real e facilitar a partilha de informações sobre ameaças. Em 2018, o Banco emitiu uma Diretiva de Segurança Cibernética e da Informação que incentivou os bancos comerciais a estabelecer mecanismos de comunicação de incidentes e dedicar recursos humanos e físicos para melhorar a sua postura de segurança cibernética. O Banco do Gana e representantes da indústria atribuíram declínios significativos na fraude cibernética, de 174 casos em 2018 para 28 em 2020, à aprovação da diretiva.

Alavancagem de Parcerias Externas

O Gana conseguiu construir a sua infraestrutura de segurança cibernética de forma relativamente rápida, em parte por causa das parcerias externas que forjou. Essas parcerias foram alavancadas pelos líderes do país para construir capacidade cibernética em alinhamento com os objetivos e interesses do Gana.

As principais organizações sem fins lucrativos de gestão de incidentes, incluindo o Fórum de Equipas de Resposta a Incidentes e Segurança (FIRST) e o AfricaCERT, ajudaram a estabelecer a primeira CERT (CERT-GH) do Gana e permitiram que os membros da CERT recebessem formação e acesso a redes globais de monitorização de ameaças cibernéticas. A inteligência recebida através da participação nessas redes permitiu que a CERT-GH identificasse e ajudasse as operadoras de rede a recuperarem de vários incidentes significativos de segurança cibernética. A assistência que o Gana recebeu através da Iniciativa de Governança de Segurança dos EUA apoiou a elaboração da estratégia nacional de segurança cibernética do Gana e informou o desenvolvimento das CERTs setoriais do Gana. O Banco Mundial ajudou a fornecer aos socorristas do Gana equipamentos de última geração.

O Ministério das Comunicações solicitou que a Universidade de Oxford realizasse uma avaliação do modelo de maturidade da capacidade de segurança cibernética para o Gana em 2018. Após essa avaliação, o Gana tomou medidas para melhorar os mecanismos de cooperação informais e formais para responder ao cibercrime e treinar juízes e promotores sobre como lidar com evidências forenses digitais. Essas melhorias permitiram que o Gana aderisse à Convenção de Budapeste sobre Cibercrime, patrocinada pela União Europeia, em 2018, e ratificasse a Convenção de Malabo, patrocinada pela União Africana, em 2021. O Gana é apenas um dos quatro países africanos a ter ratificado ambas as convenções, e a sua adesão a esses importantes tratados ajudou a solidificar a reputação do Gana como um dos líderes de segurança cibernética do continente.

Mas a adesão do Gana a estes tratados fez muito mais do que isso. Tanto as Convenções de Budapeste quanto as de Malabo fornecem aos estados ratificantes uma série comum de protocolos, padrões e procedimentos para fornecer assistência jurídica, recolher e trocar evidências e responsabilizar os cibercriminosos. Num mundo onde atores mal-intencionados baseados em Lagos, Praga ou Moscovo rotineiramente atacam redes em Acra, a adesão de mais países africanos a esses importantes tratados será essencial para coordenar uma resposta às ameaças globalizadas.

A experiência do Gana ilustra o grau em que o desenvolvimento da capacidade cibernética nacional pode ser nutrido através de parcerias externas experientes e como o desenvolvimento da capacidade cibernética nacional pode, por sua vez, melhorar a resiliência cibernética global.

Uma abordagem multissetorial e orientada para os direitos para a segurança cibernética

Um benefício final da liderança civil é que o Gana resistiu aos ventos crescentes do autoritarismo digital. Ocupa o terceiro lugar entre os países africanos em termos de liberdade geral na Internet. Além disso, ao contrário de muitos países em todo o continente, o governo é impedido de censurar conteúdo da Internet, organização política ou liberdade de expressão. Isso permitiu que o Gana construísse capacidade cibernética de maneira transparente que ajudou a reforçar a confiança entre o governo e os cidadãos.

A sociedade civil no Gana assumiu um papel de maior destaque nos últimos anos para garantir a responsabilidade do governo e elevar a atenção sobre a segurança cibernética. Organizações não governamentais como a Africa Cybersecurity and Digital Rights Organisation, a Media Foundation for West Africa e a Child Online Africa organizaram eventos, aumentaram a conscientização e informaram diretamente o desenvolvimento e a implementação da estratégia e da política nacional de segurança cibernética do Gana. A Autoridade de Segurança Cibernética do Gana trabalha em estreita colaboração com a sociedade civil e instituições do setor privado em campanhas durante o Mês Nacional de Conscientização Cibernética anual do Gana, em outubro.

Será necessária uma vigilância contínua. Uma Lei de Segurança Cibernética, aprovada pela legislatura em 2020, dá às forças de segurança poderes de vigilância e autoridades legais que preocupam alguns defensores dos direitos. Garantir que essas preocupações sejam mitigadas dependerá do judiciário independente do Gana, de uma sociedade civil bem organizada, dos direitos constitucionais à liberdade de expressão e acesso à informação e de fortes leis de proteção de dados.

Conclusões

O Gana ainda enfrenta desafios cibernéticos significativos. As suas políticas nacionais de segurança cibernética podem por vezes ser excessivamente ambiciosas e não refletem as realidades no terreno. Por exemplo, apenas 35% dos bancos do Gana cumpriram integralmente a Diretiva de Segurança Cibernética e da Informação do Banco do Gana (em grande parte por causa de demandas onerosas que tentam alinhar o setor bancário do Gana com os padrões internacionais de segurança cibernética). Mesmo que a segurança cibernética no setor bancário tradicional tenha melhorado, novas vulnerabilidades surgiram no setor bancário móvel, onde o Gana está entre os líderes da África e os reguladores estão a lutar para recuperar o atraso.

As autoridades de segurança cibernética no Gana também poderiam fazer mais para aproveitar as inovações, como sistemas de relatórios anónimos de ameaças, que poderiam promover mais confiança entre as autoridades dos setores público e privado, permitindo que as entidades do setor privado divulguem incidentes com menos risco de reputação. E eles também podem tomar medidas adicionais para garantir que os atores do governo e do setor de segurança permaneçam transparentes e responsáveis, mesmo que busquem promover a confiança e a segurança online.

No entanto, o Gana colocou-se numa excelente posição para limitar os riscos e aproveitar os benefícios da digitalização. O Gana mostra como uma abordagem inclusiva à segurança cibernética pode levar ao desenvolvimento de instituições de segurança cibernética robustas e multissetoriais. Isto demonstra como essas instituições são informadas e, em última análise, servem para reforçar a capacidade de todas as nações de monitorizar, prevenir e responder a ataques cibernéticos. Talvez ainda mais importante, mostra que os esforços para melhorar a segurança cibernética não precisam de vir às custas da democracia.

Embora as ameaças cibernéticas continuem a representar desafios significativos para a segurança nacional, o Gana demonstrou como uma resposta em toda a sociedade pode abordá-las eficamente.

Kenneth Adu-Amanfoh é o Presidente da Organização Africana de Segurança Cibernética e Direitos Digitais. Anteriormente, ele atuou como Diretor de TIC e Segurança Cibernética da Autoridade Nacional de Comunicações do Gana, onde estabeleceu uma Divisão de Segurança Cibernética e facilitou o desenvolvimento da Política e Estratégia Nacional de Segurança Cibernética do Gana.

Nate D.F. Allen é Professor Associado de Estudos de Segurança do Centro África de Estudos Estratégicos.