sysblog

Riscos para Portugal da sua total desindustrialização em tecnologias da informação e de comunicações

Os efeitos da globalização fizeram-se sentir, entre outros, na alteração dos locais de fabricação de componentes core das tecnologias de informação e comunicações (adiante TIC) do eixo americano-britânico-franco-alemão para vários países do eixo ásia-pacífico. Complementarmente, e em associação com fragilidades económicas e estruturais de Portugal, este viu-se vítima de uma total desindustrialização nestes domínios, estando totalmente dependente do fornecimento de tecnologias por empresas estrangeiras.

Tal situação, fruto da convergência neste sector de práticas de criminalidade informática organizada, cyber-intelligence, ciber-guerra e outras formas de controlo de informação por múltiplos actores, nomeadamente estados-nações com agendas próprias, gera riscos múltiplos para as demais nações, seus cidadãos, empresas e instituições.

Esta monografia pretende, de forma sumária e simplificada, ilustrar riscos e apontar vias de mitigação para Portugal, vias essas que poderão ser também consideradas por outros países em situação similar.

Um pouco de história

Alguns apontamentos sobre a indústria das TIC em Portugal

Entre o início e meados da década de 70, Portugal tinha a central electro-mecânica de comunicações de voz mais automatizada e avançada do mundo. Eventualmente fruto do “orgulhosamente sós”, e independentemente da motivação patriótica ou de gestão de risco, toda a tecnologia subjacente a tal equipamento era desenhada por portugueses, produzida em Portugal, operada e mantida por equipas próprias dos CTT/TLP e tinha direito a um edifício que, não só mas também, tinha sido concebido para albergar tal “monstro” em Picoas, Lisboa[1].

De fábricas no Carregado sairam para casas em todo o Portugal um milhão de telefones especificamente preparados para interoperar com tal solução.

Nesse mesmo período, e independentemente da casa-mãe ser norte-americana, a Standard Eléctrica, presente em Portugal desde 1932, produzia neste país equipamentos rádio de campanha para o Exército Português[2], desenhados e projetados por professores universitários do Instituto Superior Técnico que acumulavam funções técnicas nessa empresa.

Alguns anos depois um outro projecto, desconhecido da vastíssima maioria dos portugueses, permite afirmar que Portugal foi efetivamente um país onde as tecnologias de informação e de comunicações viveram, ou tentaram viver, uma dinâmica industrial: “Nascido em 1979 na Faculdade de Ciências e Tecnologia da Universidade de Coimbra, o projecto do primeiro computador português seria dado como definitivamente concluído no Verão de 1982, na altura em que se procedia à adaptação industrial do projecto, assegurada por uma empresa com sede na Figueira da Foz.[3].

Notavelmente, Portugal chegou inclusivamente a ser um país exportador de tecnologia made in Portugal. A Timex Portugal, sob licença da Sinclair Spectrum, produziu para exportação mais de um milhão de computadores pessoais[4].

Muitas outras instituições nacionais tentaram trilhar esta via, com mais ou menos sucesso: Centrel (spin-off da Standard Eléctrica), EID (Empresa de Investigação e Desenvolvimento), LED (do Porto), RIMA, Datamatic e Infomatic (de Braga) sendo que estas últimas chegaram mesmo a desenhar e produzir micro-controladores[5].

Em tempos mais recentes, a única empresa portuguesa com protagonismo mundial no domínio das TIC de base – a Chipidea – foi comprada pela norte-americana MIPS por 146MUS$ (em cash)[6].

Hoje em dia, pouco mais de 30 anos depois, nenhum equipamento informático ou de comunicações digno desse nome é produzido, ou desenhado, em Portugal.

Ascenção e queda da indústria das TIC no E.U.A.

Embora não se possa estabelecer um paralelo entre as realidades norte-americana e portuguesa, também este país tem sofrido uma acentuada desindustrialização das TIC.

Os semi-condutores, posicionados no centro de todos os artefactos tecnológicos, criados nos E.U.A. na década de 50 do século XX, foram durante anos principalmente desenvolvidos nesse país e exportados para o resto do mundo.

Devido aos efeitos da globalização, analisados adiante, a quota mundial de produção deste país desceu de 50% em 1980 para 15% em 2012[7]. O movimento de relocação de tal produção deu-se a oriente, estando esta localizada no hub de semicondutores e electrónica de consumo da Ásia-Pacífico.

Embora existam ainda empresas com capacidades de integração vertical (desenho e fabrico) neste domínio, nomeadamente a IBM e a Intel, que mantêm relações de fornecimento preferenciais para semicondutores específicos e exclusivos para a indústria de defesa americana, a vasta maioria dos domínios de utilização destes dispositivos está hoje dependente do fornecimento por empresas estrangeiras.

O universo dos semicondutores é apenas uma instância desta tendência, resultante dos movimentos de outsourcing e offshoring que a globalização nas recentes três décadas gerou.

O eixo asiático industrial das TIC

Sendo uma ilustração de movimentos similares na mesma região, no início da década de 80 do séc. XX, agências Taiwanesas criaram programas de incentivo ao investimento em foundries (fábricas de produção de semicondutores para terceiros). O custo estimado para a criação de uma fábrica desta natureza é de cerca de 3 a 4Bi US$[8] o que claramente limita as geografias e economias dispostas a tal, para não mencionar as motivações de desenvolver e implementar tal estratégia.

Um jogador tardio desta estratégia foi também a China que apostou na escolha preferencial de fornecedores locais além da oferta de incentivos e subsídios (financiamento a custos controlados, reduções fiscais, etc.) aos investidores industriais. Tais esforços tiveram como objectivos atrair investimento estrangeiro e o estabelecimento de uma economia TIC chinesa forte[9].

As últimas décadas provam claramente que a China conseguiu tornar-se um player importante no sector das TIC mundiais. Duas das suas empresas-estrela são líderes mundiais nos seus sectores específicos: a Lenovo (definiticamente após a aquisição da área de negócio de PCs da IBM) e a Huawei no que respeita a computadores pessoais e telecomunicações, respectivamente.

O caso da Huawei é particularmente notável pois, ao contrário da Lenovo, o seu crescimento foi eminentemente orgânico, sendo hoje o maior fornecedor mundial de soluções de comunicações, seguido de próximo apenas pela Ericsson em gross sales.

A globalização e a mudança do eixo industrial das TIC

A mudança do eixo industrial americano-britânico-franco-germânico para a ásia-pacífico surgiu como consequência natural do contexto proporcionado pela globalização: desejo da redução de custos pelo recurso a mão-de-obra (muito) mais barata, possibilidade de utilização de meios de comunicação mais eficientes para a gestão à distância das necessidades de fabricação, evolução dos meios logísticos internacionais (nomeadamente os marítimos) em rapidez e capacidade de carga e acesso a recursos humanos locais com competências técnicas para a interpretação e operação dos processos de fabricação.

Porém, todos os elementos acima não seriam suficientes para a migração tão drástica (em termos de geografia e dos regimes políticos em questão) dos processos de fabrico. Duas situações proporcionaram tal (nomeadamente no que respeita à migração da fabricação dos semicondutores) e que, eventualmente, geraram a criação de toda uma economia TIC circundante.

Em primeiro lugar, em 1978 dois investigadores norte-americanos (Mead e Conway) redefiniram a micro-electrónica, possibilitando como uma das muitas consequências do seu trabalho seminal, o decoupling entre o desenho dos circuitos integrados e a sua fabricação. Este ponto específico permitiu aos fabricantes clássicos deste tipo de elementos aspirar a eficiências onde o offshoring ganhou um lugar primordial. A ideia subjacente é que o desenho manter-se-ia no local onde antes a integração vertical era realizada e apenas a fabricação seria relocalizada.

Em segundo lugar, as potências asiáticas emergentes (China, Índia, entre outras) consideraram esta situação como uma oportunidade dupla: dinamizar a economia local, mesmo considerando que o fabrico nunca seria a fatia de leão da margem gerada, e ganhar visibilidade sobre o funcionamento interno de componentes críticos de sistemas que também nesses países são relevantes para a sua Segurança Nacional e a para a própria indústria de defesa.

“China’s efforts to build an IT industry began with the idea that its national security would improve if it could rely on domestic production.”[10]. Não tendo um mercado interno, à data, suficientemente grande para suportar o investimento em R&D de base, todos estes países consideraram o offshoring e outsourcing proporcionado pelos países do 1º mundo como a via mais lógica, barata e imediata de conseguirem acesso a informação e tecnologia, tendo-o efetivamente obtido.

O crescimento explosivo das suas economias gerou então um movimento igualmente explosivo de demanda dos próprios produtos originalmente produzidos para exportação para os países ocidentais, criando condições finalmente propícias para a edificação de esforços de R&D próprios. O resultado é evidente, não sendo mais possível considerar o ocidente como claramente superior ao oriente em inovação tecnológica.  A Huawei investe 10% da sua facturação em R&D sendo hoje uma das organizações com mais patentes registadas na Europa[11].

As TIC como vector de ataque

As TIC como motor do mundo

Independentemente dos recursos energéticos, a água potável e a produção agro-pecuária serem claramente os ativos fundamentais à independência e bem-estar das nações, as TIC são absolutamente fundamentais para outros domínios de atuação não desprezáveis no contexto das ameaças e do equilíbrio de forças entre nações.

Efetivamente, pouca atividade nos dias de hoje não depende total ou parcialmente, das TIC para funcionar. Mobilidade (aviação, ferrovia e até circulação rodoviária), comunicações interpessoais de dados e voz, comunicação social (televisão, radio e imprensa escrita) e serviços hospitalares são exemplos de contextos que assentam hoje substancialmente das TIC para operarem. Planos de contingência certamente existirão em determinados players destes sectores mas na ausência de suporte tecnológico, a operação será sempre realizada em cenários de contingência extrema.

O sistema financeiro mundial assenta também ele nos sistemas de trading electrónico e nas comunicações de dados, estando a economia de nações dependente do correcto funcionamento de todo um ecossistema vulnerável a oscilações, mesmo que momentâneas, do funcionamento destes para não mencionar do seu abuso e manipulação criminosa.

Contextos mais críticos e onde failovers deficientes seriam catastróficos são os das infra-estruturas críticas[12] onde falhas severas seriam disruptivas para a vida em sociedade e geradoras de caos e eventuais mortes em larga escala.

No extremo da cadeia de importância das TIC para a segurança das nações encontra-se a própria indústria de defesa e armamento, hoje em dia totalmente dependente de meios informáticos e electrónicos para operar.

A American Manufacturing Association identifica[13] sete ramos industriais fundamentais para o esforço de defesa militar americana, tanto no contexto internos (homeland security) como externo: fasteners, semiconductors, copper-nickel tubing, lithium-ion batteries, hellfire missile propellant, advanced fabrics and telecommunications. Notavelmente, entre estes encontram-se os dois pilares da indústria das TICs, os semicondutores e os equipamentos de telecomunicações em si.

Ameaças à Segurança Nacional

Independentemente da definição de Segurança Nacional, dos ativos críticos que uma país deve proteger e de todas as práticas que medeiam os segundos da primeira, a transversalidade da presença e criticidade operacional das TIC é indubitável e incontornável. Consequentemente, é imperativo que a confiabilidade[14] das TIC que suportam processos e atividades críticas de um país esteja assegurada.

Entre todas as demais ameaças aplicáveis a este contexto, elencam-se neste documento três que estão directamente associadas ao distanciamento de uma nação do fabrico e necessária distribuição das TIC a que recorre.

Inserção de back-doors e hidden-channels em fábrica

A inserção de back-doors e/ou cavalos de tróia[15] pelos fabricantes de dispositivos informáticos e/ou de telecomunicações em fábrica é uma prática presente e de dificuldade de detecção crescente.

Pese embora a razão de tal prática seja sistematicamente publicitada como estando associada a práticas de organizações criminosas sofisticadas, existem suspeições recentes de que são na realidade práticas de estados-nação sob égide dos seus esforços de ciber-guerra, nomeadamente nas vertentes CNE e CNA (i.e. Computer Network Exploitation e Computer Network Attack respectivamente) e de ciber-intelligence[16], neste caso desenvolvidos por Serviços de Informações nacionais.

Este segundo caso implicaria um relacionamento estreito entre entidades governamentais com tais responsabilidades e os próprios fabricantes, situação que saltou para o tópico da agenda mediática com Edward Snowden e o disclosure massivo que este tem proporcionado nos últimos tempos.

Um exemplo deste tipo de prática foi recentemente trazido a público – nove modelos de telemóveis Samsung Galaxy, equipados com versões do sistema operativo Android desenvolvidas pela própria Samsung, apresentam back-doors que possibilitam o controlo remoto do equipamento, a utilização do microfone para escutas ambientais e intercepção de chamadas, entre outras capacidades. Basicamente, estes dispositivos (enviados aos milhões para todos os pontos do globo) poderiam facilmente tornarem-se dispositivo remotos de espionagem[17].

Adulteração de dispositivos na cadeia de fornecimento

A reputação internacional de fabricantes com presença mundial como Cisco, Intel, Microsoft, Motorola, entre muitos outros, fica extremamente lesada cada vez que o tópico do relacionamento estreito entre estas e serviços como a NSA (para o caso americano) é alvo de suspeição. Tal tem implicações, naturalmente, financeiras pois o boicote à aquisição de produtos destes fabricantes por alguns países afecta a balança comercial dos onde tais produtos têm origem e afectam a própria saúde financeira das empresas em si.

Num espírito de atrair, no limite, sobre si as atenções mediáticas e a responsabilidade final de práticas de adulteração de dispositivos TIC (salvaguardando a reputação dos fabricantes e a sua “face” e posição de mercado), têm surgido evidências de que a cadeia de distribuição de equipamentos de comunicações é o ponto de intercepção e abuso por serviços de informações[18].

O dimensão do efeito colateral que tais evidências geraram (uma pedido do CEO da Cisco ao presidente Obama[19] a pedir contenção na atividade da NSA) indicia a veracidade da situação e a eventual frequência de outras idênticas.

Evolução da complexidade dos elementos de base das TIC

O decoupling proporcionado pela revolução gerada pelos estudos de Mead e Conway, hoje em dia levada a extremos, foi aceite pelas sociedades ocidentais apenas porque nessa altura os elementos fabricados em geografias remotas, potencialmente antagónicas em termos de interesses económicos e até de defesa, eram simples e de natureza tal que a sua adulteração seria facilmente detectada.

Tal não é mais verdade. Os micro-processadores de hoje são elementos altamente complexos, capazes de fazer muito mais que a execução de simples instruções geradas por software a executar sobre eles, podendo facilmente incorporar capacidades paralelas independentes, indetectáveis a escrutínios menos atentos e capazes, como por exemplo realizar em determinadas circunstâncias determinados tipo de processamentos de informação e emitir resultados via rádio para captura por agentes fisicamente próximos.

A nova versão dos processadores Intel (Core vPro) promete conseguir fazer isto e muito mais[20]. Desenhados nos E.U.A. e produzidos em várias localizações no hub asiático, será com muita dificuldade difícil afirmar quem terá acesso mais qualificado aos meios de intercepção e abuso possíveis.

Os pontos anteriores ganham particular relevância hoje em dia pois sistemas eventualmente manipulados operam tipicamente em contextos complexos, em rede, onde conjuntamente com muitos outros dispositivos trocam-se quantidades enormes de dados em janelas temporais mínimas. Se bem desenhados, mecanismos de exfiltração de informação conseguem passar despercebidos no meio do ruído gerado por uma rede de dados activa. Tal é particularmente verdade quando existe uma via de comunicação entre o sistema em questão e a Internet.

Globalização, TIC e a segurança nacional

Tudo o anteriormente exposto deverá ver-se reflectido no modo como as nações reagem em contextos de fornecimentos TIC por empresas de origem estrangeira.

Status quo mundial

Com pouca surpresa, verifica-se uma crescente resistência à utilização de equipamentos produzidos por empresas de origem estrangeira em alguns contextos críticos. O caso mais notável foi o relatório produzido pelo Congresso Americano, em 2012, em que cabal e frontalmente foi reportado que as empresas Huawei e ZTE “cannot be trusted to be free of foreign state influence and thus pose a security threat to the United States and to our systems.”[21]. Curiosamente, e eventualmente de forma associada a  este evento, a própria Comunidade Europeia perspectivou em meados de 2013 a imposição de sanções às mesmíssimas empresas chinesas com suporte na utilização de práticas ilegais por estas (subsidiação)[22]. Muitos acreditam que tratou-se de um “favor” prestado pela C.E. ao seu parceiro norte-americano.

Similarmente, também a Austrália e a Índia usaram o argumento da segurança para vetar a utilização de produtos da Huawei. No caso da Índia, a situação despoletou a criação de um laboratório pelo Departamento de Telecomunicações (nacional) para investigar a presença de “spyware, malware and bugging software” em equipamentos de telecomunicações[23].

Um ano depois, a situação inversa começou a verificar-se se bem que com um teor mais diplomático. O governo chinês anunciou que executará testes de segurança aprofundados em todos os equipamentos que suportarão sistemas que afectem a segurança nacional e o interesse público, vetando a utilização dos que não superem tais testes. Esta iniciativa surge na sequência da acusação que os E.U.A. fizeram a cinco oficiais chineses (acusação de hacking de empresas norte-americanas) e da criação de um poderoso steering committee for internet security, liderado pelo próprio presidente Xi Jinping[24].

O caso inglês – Cyber Security Evaluation Centre – Huawei

Notavelmente, a Inglaterra coordenou com a Huawei um modelo diferente – seguramente devido à forte presença que a Huawei tem, em termos de economia e empregos gerados, na sociedade inglesa – de promover a aceitação dos equipamentos deste fabricante no país, eventualmente até em contextos críticos.

A Inglaterra, delegando no GCHQ, e a empresa chinesa criaram conjuntamente o Huawei Cyber Security Evaluation Centre, a operar com suposta independência da casa-mãe. Trata-se de um laboratório que tem como missão única analisar os equipamentos da Huawei de modo a identificarem-se potenciais vulnerabilidades.

O laboratório em questão foi alvo de uma investigação pelo Intelligence and Security Committee inglês tendo este reportado que os membros do staff do laboratório deveriam manter-se colaboradores da Huawei mas que o GCHQ deveria deter um papel relevante na sua liderança e gestão[25].

A Huawei encontrou no governo inglês o meio de introduzir mundialmente a noção que a existência de laboratórios de teste de equipamentos de natureza crítica (em termos da cadeia de valor), especificamente focados na confiabilidade dos mesmos, seria uma hipótese/via sólida de atingirem-se algumas garantias hoje praticamente impossíveis de conseguir de outro modo.

O caso português

Complementarmente à já repetidamente mencionada desindustrialização das TIC, Portugal não tem, aparentemente: a) qualquer prática de restrição à importação e utilização de tecnologias de qualquer fabricante de qualquer geografia; b) utilização preferencial de tecnologia de fabricantes específicos; c) nem meios instalados para validação da confiabilidade em tecnologias heterogéneas ou, mesmo, confinadas a um domínio específico.

A dimensão de Portugal não deveria justificar tal pois países igualmente pequenos detêm capacidades de R&D e produção de dispositivos relevantes como é o caso da Suíça, o maior produtor mundial de soluções de transmissão e codificação de sinal vídeo por satélite e cabo.

Com excepções verdadeiramente pontuais (caso da utilização de cartas criptográficas disponibilizadas pela NATO para as forças militares e, mais recentemente, de telefones móveis cifrados produzidos pelo Instituto Politécnico de Beja ao serviço do Governo e Presidência da República), caso os temores manifestados pelas mais variadas potências tenham um fundo de verdade, as instituições portuguesas, todas elas, estão hoje em dia potencialmente vulneráveis à intercepção de dados, disrupção de serviços ou adulteração de informação por agentes externos, tendencialmente ao serviço de estados-nação.

É efetivamente um facto que os mais variados fabricantes fornecem soluções para os mais variados ambientes, civis e militares, críticos e não críticos, bastando para verificar tal consultar os concursos públicos realizados em Portugal.

Tal estado de coisas é particularmente agravado pela situação financeira e económica nacional em que o custo é o principal elemento de avaliação de propostas tecnológicas, não sendo infrequente a aquisição de soluções do tipo “marca-branca” sem qualquer controlo de qualidade, nomeadamente para o casos dos computadores pessoais e servidores de uso indiferenciado.

Riscos da desindustrialização (hard IT) e a adopção de uma indústria de serviços (soft IT) para Portugal

Por todos os motivos que culminaram na transversal desindustrialização nacional, Portugal adoptou uma indústria TIC assente em serviços onde prosperam no máximo um punhado de empresas com aspirações globais sérias.

Isto implica que, em todos os domínios e contextos da sociedade portuguesa, a confiabilidade em tudo o que se faz, toda a informação que se produz, e a capacidade de se produzir ininterruptamente tornaram-se dependentes da confiança nos terceiros que criaram e forneceram os meios tecnológicos em questão em cada caso.

Tal é principalmente verdade, tanto em Portugal como em qualquer outra geografia, quando se consideram as explosivas capacidades de crescimento que a tecnologia tem sofrido em todas as dimensões: velocidade de processamento, velocidade de transmissão, volumetria da transmissão, volumetria do armazenamento de dados, etc. Basicamente, tornou-se impossível “guardar os guardas” das TIC, sendo incontornável a confiança nos fabricantes e nos normativos internacionais que supostamente respeitam.

A quem interessa Portugal

Poder-se-á sempre alegar que um país como Portugal é pouco interessante ou relevante em termos de espionagem com origem em estados-nação. Porém, Portugal – como muitos outros países – é hoje em dia uma parte num sistema complexo de relações empresariais e institucionais: a) é parte integrante de organizações internacionais relevantes (NATO, Europol, EuroNext e Comissão Europeia são exemplos), estando a elas interligada tecnologicamente; b) detém filiais de gigantes corporativos que são centros de competências internacionais (Siemens, Cisco e Microsoft são exemplos); c) tem relações diplomáticas privilegiadas com países que ganham hoje em dia relevância no panorama energético mundial (Angola, Brasil e Moçambique, nomeadamente); d) algumas poucas empresas têm dimensão e presença internacional em sectores críticos (casos da GALP e EDP); e e) é um país com uma bancarização evoluída e uma elevada taxa de penetração de Internet de banda-larga em todo o território nacional.

Qualquer dos cinco contextos supra-indicados poderá ser razão mais que suficiente para uma potência estrangeira achar interessante, nomeada e principalmente quando considerando uma análise custo/benefício, explorar o acesso a contextos de maior valor de forma indirecta (o último dos pontos menos que os demais, sendo principalmente interessante para a criminalidade informática organizada).

Adicionalmente a ser um ponto de passagem, Portugal, como outros países que apostam na indústria de serviços, poderá ver a sua propriedade intelectual e os seus segredos de natureza não tecnológica, o único valor que detém, facilmente ameaçados, de forma invisível, por agentes desconhecidos.

Mesmo considerando que para as camadas mais elevadas da cadeia de valor dos equipamentos de computação e comunicações (o sistema operativo e as aplicações que sobre ele executam) possa haver competências instaladas e disponíveis para efeitos de análise e detecção de problemas (brainware em faculdades e empresas da especialidade), o ghost within que poderá existir nos componentes mais básicos dos sistemas poderá aproveitar-se de canais escondidos para criar e explorar todo o tipo de situações abusivas.

Em resumo, não se pode com honestidade intelectual anunciar que Portugal está protegido contra ameaças à segurança nacional (e não só) pela via tecnológica, à distância e com origem desconhecida.

Conclusão

Assumindo que a concentração dos fabricantes de componentes mais transversais num país exige dimensão do seu mercado nacional e externos (e Portugal não está nestas condições), urge discutir-se que vias alternativas de criação de conforto estão disponíveis para as instituições preocupadas com a Segurança Nacional.

Considerando as ameaças supra-identificadas, dois tipos complementares de práticas surgem como mais adequadas e exequíveis do ponto de vista técnico, logístico e financeiro.

A primeira seria a edificação de um laboratório nacional de teste e análise (no que respeita à segurança da informação e confiabilidade funcional) de dispositivos TIC, muito à semelhança do reportado para a realidade inglesa, pese embora seja necessária agnosticidade relativamente à origem do fabricante. Considerando o grande número de dispositivos distintos no mercado, tal laboratório seria apenas praticável se previamente fosse determinado algum tipo de homogeneização dos equipamentos a usar nos contextos relevantes para a Segurança Nacional. Esta prática atribuiria um carácter de confiabilidade aos equipamentos no que respeita à implantação de back-doors e elementos afins em sede de fabricação.

Complementarmente, seria ainda necessário garantir-se que os equipamentos verificados neste laboratório não seriam adulterados em trânsito entre este e os destinos finais para a sua utilização. Uma via possível de garantir tal seria a edificação de uma cadeia logística que garantisse a inviolabilidade dos dispositivos. Os meios logísticos das Forças Armadas nacionais poderiam ser um meio adequado para tal.

O esforço destas duas práticas de mitigação é certamente elevado e eventualmente inviável para um número alargado de contextos. Porém, com um esforço preliminar de identificação das infra-estruturas críticas nacionais e de contextos complementares tais como forças de segurança, orgãos de soberania, estruturas diplomáticas e serviços de informações, seria um desígnio possível de alcançar-se.

[1] Figueiredo, A. D. (2004)
[2] Ferreira (2012)
[3] Figueiredo, A. D. (2004)
[4] Figueiredo, A. D. (2004)
[5] Figueiredo, A. D. (2004)
[6] Para uma história sumária da Chipidea e da sua área de atuação, recomenda-se a leitura da entrada Wikipedia respectiva: http://en.wikipedia.org/wiki/Chipidea
[7] Adams, Brigadier General John (2013-2).
[8] Para mais informações sobre foudries recomenda-se a leitura da informação disponível em: http://en.wikipedia.org/wiki/Semiconductor_fabrication_plant
[9] Lewis, James A. (2007).
[10] Lewis, James A. (2007), pp. 36
[11] Para mais informação consultar o site ChinaDaily (edição online de 7 de Março de 2014): http://www.chinadaily.com.cn/china/2014-03/07/content_17331800.htm
[12] Infra-estruturas críticas no sentido de grelhas energéticas, saneamento básico, processamento e transporte de água potável, fornecimento de gás, entre outras
[13] Adams, 2013
[14] Confiabilidade é utilizada neste contexto como a conjugação dos três pilares da segurança da informação no seu sentido clássico: integridade, disponibiidade e confidencialidade
[15] Backdoors (http://en.wikipedia.org/wiki/Backdoor_(computing)) e cavalos-de-tróia (http://en.wikipedia.org/wiki/Trojan_horse_(computing)) são mecanismos instalados ilegitimamente em dispositivos de modo a proporcionar a agentes externos o controlo sobre os mesmos
[16] Para uma introdução ao termo ciber-intelligence, recomenda-se a leitura do artigo disponível em: http://www.tripwire.com/state-of-security/security-data-protection/introduction-cyber-intelligence/
[17] Para mais informações sobre este caso consultar os posts da Tripwire (http://www.tripwire.com/state-of-security/top-security-stories/android-backdoor-discovered-nine-samsung-galaxy-models/) e da Free Software Foundation (https://www.fsf.org/blogs/community/replicant-developers-find-and-close-samsung-galaxy-backdoor).
[18] Gallagher, Sean (2014). Notícia que evidencia a NSA a interceptar equipamentos Cisco em trânsito com o intuito de os adulterar para efeitos de intercepção e roubo de informação.
[19] Thomas, Daniel e Waters, Richard (2014)
[20] Para um visão alarmista promovida por apoiantes dos direitos civis recomenda-se a leitura do artigo (versão online) disponível em http://www.popularresistance.org/new-intel-based-pcs-permanently-hackable. Adicionalmente, recomenda-se também a visualização do vídeo de apresentação da própria Intel em que enaltece-se a utilização “positiva” das funcionalidades em questão.
[21] U.S. House of Representatives (2012)
[22] Para mais informação sobre este ponto, recomenda-se a leitura do artigo do The Telegraph (versão online) de 14 de Maio de 2013 – http://www.telegraph.co.uk/finance/china-business/10057301/EC-ready-to-hit-Chinese-companies-with-sanctions-over-illegal-subsidies.html
[23] Para mais informações, consultar o The Register (versão online) de 10 de Maio de 2013 – http://www.theregister.co.uk/2013/05/10/india_to_test_huawei_and_zte_kit/
[24] Para mais informações, consultar o South China Morning Post (versão online) de 14 de Junho de 2014 – http://www.scmp.com/news/china/article/1518208/china-vet-it-products-and-services-boost-national-security
[25] Darroch, Kim (2013)

Bibliografia

Figueiredo, A. D. (2004). Engenharia em Portugal no Século XX: Engenharia Informática, Informação, Comunicações. In M. Heitor, J. M. Brandão de Brito e M. F. Rolo (Editores). A Engenharia em Portugal no Séc. XX, Vol. III. Lisboa, D. Quixote, pp. 551-573. ISBN 927-20-2792-1, Dez. 2004

Ferreira, Major General Edorindo (Set. 2012). Standard Eléctrica – Os 20TPL. In História das Transmissões Militares. Disponível em:  https://historiadastransmissoes.wordpress.com/tag/standard-electrica

Adams, Brigadier General John (2013-1). Remaking American Security: Supply Chain Vulnerabilities & National Security Risks Across The U.S. Defense Industrial Base. Washington, Alliance for American Manufacturing. ISBN 978-0-9892574-0-4. Maio 2013.

Adams, Brigadier General John (2013-2). Chapter 7: Semiconductors. In Adams, Brigadier General John. Remaking American Security: Supply Chain Vulnerabilities & National Security Risks Across The U.S. Defense Industrial Base. Washington, Alliance for American Manufacturing, pp. 151-178. ISBN 978-0-9892574-0-4. Maio 2013.

Adams, Brigadier General John (2013-3). Chapter 12: Telecommunications. In Adams, Brigadier General John. Remaking American Security: Supply Chain Vulnerabilities & National Security Risks Across The U.S. Defense Industrial Base. Washington, Alliance for American Manufacturing, pp. 249-271. ISBN 978-0-9892574-0-4. Maio 2013.

Herring, Matt. The company that spooked the world. In The Economist, Ago. 2012. Disponível em: http://www.economist.com/node/21559929

Thomas, Daniel e Waters, Richard (2014). Cisco boss calls on Obama to rein in surveillance. In Financial Times (online edt. 18 Mar 2014). Disponível em: http://www.ft.com/intl/cms/s/0/a697c292-de80-11e3-9640-00144feabdc0.html?ftcamp=crm/email/2014?ftcamp=crm/email/2014518/nbe/ExclusiveComment/product_a2___a3__/nbe/ExclusiveComment/

product&siteedition=intl#axzz325bPWKrV

Gallagher, Sean (2014). Photos of an NSA “upgrade” factory show Cisco router getting implant. In arstechnica (online, 14 Maio 2014). Disponível em: http://arstechnica.com/tech-policy/2014/05/photos-of-an-nsa-upgrade-factory-show-cisco-router-getting-implant

Lewis, James A. (2007). Bulding an Information Technology Industry in China. The CSIS Press. Washington. ISBN-13: 978-0-89206-489-2.

U.S. House of Representatives (2012). Investigative Report on the U.S. National Security Issues Posed by Chinese Telecommunications Companies Huawei and ZTE. 112th Congress. 8 Out. 2012.

Darroch, Kim (2013). Huawei Cyber Security Evaluation Centre: Review by the National Security Adviser – Executive Summary. In Huawei Cyber Security Evaluation Centre: Review by the National Security Adviser. HM Governement, December 2013.

Autor: João Barreto 

  • Texto produzido no âmbito da avaliação individual do Módulo “Globalização  e  Riscos  de  Segurança”  da  1ª  Edição  da   Pós­‐Graduação  em  Gestão  de  Informações  em  Segurança  (ISEGI/IDN  2014)