INTRODUÇÃO
Angola ainda não tem uma lei da criminalidade informática. Os crimes informáticos têm encontrado lacunas na lei.
Em 2011 a Assembleia Nacional tinha elaborado o “ante-projeto de Lei de Combate à Criminalidade no Domínio das TICs e dos Serviços da Sociedade da Informação”[1], mas nunca teve efetivação.
Em 23 de Janeiro de 2019 aprovou-se no Parlamento a proposta de Código Penal[2] e aguarda-se pela sua promulgação, publicação e entrada em vigor. Essa proposta de lei[3] institui os crimes informáticos.
Todavia, o Anteprojeto de Código Penal (ACP) não acolhe a sabotagem informática apesar de Angola registar ações maliciosas que se enquadrariam neste delito.
Assim analisaremos alguns ataques informáticos que afetaram o regular funcionamento dos sistemas para verificarmos as implicações da não previsão deste delito.
DESENVOLVIMENTO
O legislador não introduz no ACP um delito que sancione a interferência em sistemas ou, como é designado em várias legislações, a sabotagem informática[4]. Esse facto é gravoso pois os ataques informáticos mais sonantes até aqui registados em Angola enquadram-se neste crime e tiveram repercussões na espera pública.
O art.º 399º do ACP que regula o crime de dano informático faz uma previsão parcial deste delito na parte referente a causar “dano à integridade do sistema”.
O primeiro ataque de grandes proporções deu-se em 30 de Março de 2016, dois dias após 17 jovens ativistas, incluindo o rapper luso angolano Luaty Beirão, terem sido sentenciados por alegado plano de rebelião.
Foi reivindicado pelo “ramo português do coletivo de hackers Anonymous”[5] que diz que ter fechado “cerca de 20 sites do governo angolano em retaliação pelo encarceramento”[6] dos jovens, embora não tenha havido qualquer reação institucional.
Em esclarecimento difundido na em sua “página do Facebook no dia 29 de março de 2016, o grupo Anonymous Portugal listou os sites[7] do governo que afirmou ter atacado”[8], não estando nenhum dos sites acessível em 30 de março de 2016.
No dia 5 de Junho de 2019, a maior empresa pública angola – A Sociedade Nacional de Combustíveis (Sonangol) – sofreu um gravíssimo ataque informático tendo deixado a empresa completamente paralisada.[9] Este ataque coincidiu com a realização em Luanda da conferência internacional “Angola Oil & Gas” que reuniu mais de quinhentos gestores destas duas áreas, contando ainda com a presença do presidente angolano[10].
Os hackers acederam a mais de sete mil computadores, conseguindo “informação privilegiada” relacionadas não só à empresa como aos seus clientes tendo atingido as infraestruturas ligadas a Direção de Tecnologia de Informação, o que motivou a empresa a tomar medidas preventivas visando a proteção dos alvos mais críticos[11], fazendo “o shutdown dos sistemas informáticos e da rede de comunicações”[12] da empresa e a outra foi restabelecer o software de gestão de email (O Outlook). Os sistemas só reestabeleceram depois da intervenção dos técnicos.
O portal Maka Angola ao investigar sobre o ataque sofrido pela Sonangol constatou várias irregularidades[13].
De acordo a CNET[14], anos atrás, o blog de notícias críticas Maka Angola do jornalista Rafael Marques foi alvo de ataques repetido de DDoS, obrigando-o a receber assistência técnica do Project Shield (Google) da Jigsaw[15], que protege sites de poderosos ataques técnicos contra os ataques DDoS[16][17].
O mesmo jornalista investigativo era frequentemente alvo de violência técnica via malware personalizado implantado em seu laptop pessoal[18]. Desde então, recebe assistência de organizações sem fins lucrativos de segurança digital para proteger suas atividades online.
CONCLUSÕES
Os três ataques preenchem o crime de sabotagem informática.
Os especialistas acham que os dois primeiros ataques foram perpetrados a partir do exterior do país e Cremos que impulsionaram o Parlamento a aprovar um ano depois a Lei nº 7/2017 de 16 de Fevereiro (Lei de Protecção das redes e Sistemas Informáticos)[19][20].
Portanto, esses factos realçam a necessidade da aprovação do ACP e da inclusão da sabotagem informática porque em todos eles registou-se que os atacantes pretendiam “entravar, impedir, interromper ou perturbar gravemente o funcionamento” do sistema informático.
[1] http://www.mtti.gov.ao/VerLegislacao.aspx?id=456.
[2] Notícia constante no Jornal de Angola do dia 28 de Janeiro de 2019, escrita pelo jornalista Eduardo Magalhães, disponível em http://jornaldeangola.sapo.ao/opiniao/artigos/o_novo_codigo_penal_angolano. Também encontra-se em https://www.dw.com/pt-002/angola-poderá-o-novo-código-penal-travar-a-criminalidade/a-47199914 (acedido aos 6-2-2020). Na sua aprovação teve 155 votos a favor, 1 contra e 7 abstenções.
[3] https://www.wipo.int/edocs/lexdocs/laws/pt/ao/ao026pt.pdf.
[4] A sabotagem informática é uma autêntica arma eletrónica.
[6] Idem
[13] https://www.makaangola.org/2019/08/ataque-cibernetico-a-sonangol/.
[14] É um site de mídia americano que publica críticas, notícias, artigos, blogs, podcasts e vídeos sobre tecnologia e eletrônicos de consumo em todo o mundo, https://en.wikipedia.org/wiki/CNET.
[15] O Project Shield é um serviço anti-distribuído de negação de serviço (anti-DDoS) oferecido pela Jigsaw, uma subsidiária da empresa-mãe do Google, Alphabet Inc., para sites que possuem “mídia, eleições e conteúdo relacionado a direitos humanos.
Este projeto tem ajudado jornalistas, ativistas e outros de botnets de DVRs invadidos e câmeras de segurança usadas para inundar sites com dados, https://en.wikipedia.org/wiki/Project_Shield.
[16] Alfred Ng, “Google’s Project Shield defends free speech from botnet scourge,” CNET, September 29, 2016, https://www.cnet.com/news/google-project-shield-botnet-distributed-denial-of-service-attack-ddos-brian-krebs.
[17] Botnets IoT são a moderna metodologia de ataques DDoS, no qual os atacantes usam como ferramentas os “DVRs, câmeras habilitadas para IP, equipamento de cabo doméstico e muitos outros dispositivos conectados à IoT” Ainda o autor alerte que “Pior, as motivações dos atacantes nem sempre afetam a disponibilidade dos serviços, mas distraem a equipe de TI para acender um incêndio ali enquanto o crime real está acontecendo aqui. Impedir a resposta a outros ataques parece ser uma tática sólida para os criminosos; Neustar disse que os clientes relataram encontrar malware, dados perdidos ou propriedade intelectual e roubo financeiro após um ataque de DDoS”. IoT Botnets Are The New Normal of DDoS Attacks. Michael Mimoso. October 5, 2016, https://threatpost.com/iot-botnets-are-the-new-normal-of-ddos-attacks/121093/.
[18] There is a detailed account of how the malware was discovered during an international conference. See: Michael Moynihan, “Hackers are Spying On You: Inside the World of Digital Espionage,” Newsweek, May 29, 2013, https://www.newsweek.com/2013/05/29/hackers-are-spying-you-inside-world-digital-espionage-237478.html.
[19] https://animalexdominis.files.wordpress.com/2018/03/proteccc3a7c3a3o-das-redesesistemas-informc3a1ticos-2017.pdf. No art.º 2º ler-se no nº 1 que “A presente lei aplica-se ao ciberespaço da república de Angola, contra qualquer acto de ataque, roubo informático, ciber-ataque e incidentes informáticos”.
[20] https://www.menosfios.com/lei-os-ciberataques-ja-esta-vigor-angola/.
Abrantes Malaquias Belo Caiúve
Licenciado em Matemática pela Universidade Agostinho Neto. Licenciado em Direito na opção Jurídico Forense no Instituto Superior Politécnico Jean Piaget de Benguela. Estudante do 1º ano da 8ª edição do Mestrado em Direito e Informática na Universidade do Minho em Portugal.