O Governo vai apresentar à 1ª Comissão a lista de 116 operadores de infraestruturas críticas, dos sectores público e privado, abrangidos pela proposta de Lei da Cibersegurança. Na primeira reunião da especialidade, o Secretário Wong Sio Chak garantiu que a monitorização da dimensão do fluxo de dados informáticos não passa pelo acesso ao conteúdo desses dados. Ainda assim, os deputados querem que a promessa seja explanada na versão final do articulado
Catarina Almeida
No âmbito da discussão na especialidade da proposta de Lei da Cibersegurança, os deputados da 1ª Comissão Permanente da Assembleia Legislativa (AL) solicitaram ao Secretário para a Segurança que especifique quais são os 116 operadores de infraestruturas críticas abrangidos pelo diploma. O pedido surgiu depois de algumas dúvidas sobre em quem recaem os deveres de cibersegurança já que, explicou o presidente da Comissão, “todos os serviços públicos e entidades estão dentro da proposta de lei, no entanto, tendo em conta que alguns apenas utilizam a rede e outros serviços públicos é que vão prestar esse apoio logístico, não serão abrangidos pela lei”.
Ora, um desses casos envolve a Secretaria para a Segurança que “é um serviço que vai utilizar a rede informática e em termos de apoio logístico informático cabe à Direcção de Serviços das Forças de Segurança fazer esse trabalho”, indicou Ho Ion Sang. No entanto, “umas [entidades] estão incluídas e outras não. Em termos de redacção parece haver uma definição mas não é clara e, por isso, sugerimos ao Governo que nos disponibilize uma lista com todas estas operadoras públicas e infraestruturas críticas”, acrescentou.
Tais dúvidas justificam-se também pelo facto da proposta incluir no âmbito subjectivo da aplicação da lei as pessoas colectivas privadas qualificadas de utilidade pública administrativa apesar das relacionadas com actividades culturais, educativas, beneficência, filantropia, entre outras, estarem excluídas, a par dos operadores de difusão televisiva e sonora cuja actividade se cinja à difusão de conteúdos de entretenimento.
A 1ª Comissão mostrou-se também preocupada com a fiscalização e monitorização dos dados em tempo real, mas o Governo garantiu que a fiscalização em tempo real só será feita ao nível do “fluxo de dados” e até exemplificou, dizendo que “só sabemos o fluxo de água [de uma canalização] e não a cor da água”. “Claro que o Governo esclareceu em termos verbais mas esperamos que isso fique reflectido no articulado da proposta de lei com vista a dissipar as preocupações dos residentes. O Governo disse estar aberto a isso e esperamos que as reuniões técnicas e as das nossas comissões resolvam isso”, vincou, em declarações aos jornalistas.
Nas próximas reuniões com a 1ª Comissão, os representantes do Executivo terão ainda de explicar como será feita essa monitorização, se com recurso a máquinas ou não, mas uma questão está garantida: “não vai instalar qualquer equipamento nessas empresas abrangidas na proposta”, disse Ho Ion Sang.
“As operadoras vão abrir os seus canais para o Governo conseguir obter o fluxo dos dados. Só vai fiscalizar o fluxo de dados, porque actualmente os operadores já têm essa responsabilidade até porque se houver alguma anomalia desse fluxo de dados as empresas têm de comunicar. Por exemplo, as empresas de telecomunicações vão comunicar aos CTT, ou se for alguma empresa do sector bancário comunicará à AMCM e por isso consegue dar resposta a alguns incidentes que possam acontecer”, acrescentou.
A experiência da PJ
De entre as “mais de 20 questões”, a Comissão pediu esclarecimentos sobre a opção “política e legislativa” de atribuir à Polícia Judiciária (PJ) a competência de coordenar o Centro de Alerta e Resposta a Incidentes de Cibersegurança (CARIC) – segunda entidade, por ordem de importância, que integra o sistema de cibersegurança da RAEM.
Segundo o Governo, a ideia passa por reforçar a relação de “complementaridade” entre esta proposta e a Lei de Combate à Criminalidade Informática além de que a PJ é também a entidade com experiência para agir perante estas situações de ataque cibernético. “A nossa proposta de lei é um diploma legal que regula a gestão administrativa da segurança da rede, com o objectivo de prevenção, protecção e gestão das condições que as infraestruturas devem preencher e isso vai prevenir a ocorrência de certos casos [previstos na] a Lei de combate à criminalidade informática (11/2009)”, defendeu.
Além disso, “poderá produzir efeitos de defesa activa e combate e rastreamento eficazes durante a fase inicial, média e final da ocorrência, minimizando assim os riscos potenciais que afectam Macau. Permitirá responder atempadamente às exigências de cibersegurança globais que têm vindo a ser cada vez mais complexas e danificadoras”.
Já em relação à comissão permanente, entidade principal do sistema de cibersegurança, o Governo mostrou-se “aberto” sobre a possibilidade de passar a regular na proposta de lei – e não apenas por regulamento administrativo – as “principais competências” que lhe serão atribuídas.
