Num país que avança rapidamente na digitalização, proteger os sistemas informáticos e os dados tornou-se um desafio central. Juvêncio Maria Conceição da Cruz, especialista em tecnologias de informação e cibersegurança, sublinha a importância de políticas públicas robustas e de normas internacionais para fortalecer a infraestrutura digital timorense.
Com a transformação digital a tocar quase todos os aspetos da vida quotidiana, a cibersegurança tornou-se uma prioridade em Timor-Leste. Proteger dados, redes e sistemas governamentais contra ataques, acessos indevidos e ciberataques de grande escala não é apenas uma necessidade tecnológica, mas também um fator essencial para a confiança e a eficiência dos serviços públicos.
Juvêncio Maria Conceição da Cruz interessou-se pela cibersegurança quando trabalhava para o Governo, no âmbito da adesão de Timor-Leste à ASEAN. Sendo um país em desenvolvimento prestes a integrar a organização, percebeu que seria necessário preparar o país com normas adequadas de segurança digital, o que o levou a dedicar-se à tecnologia e à cibersegurança. Mais tarde, ao aprender sobre inteligência artificial, identificou os múltiplos desafios que o país terá de enfrentar para proteger o seu ecossistema digital.
Ao longo do seu percurso, Juvêncio tem procurado partilhar estes conhecimentos com colegas universitários e com o público em geral, promovendo a literacia digital e a adoção de boas práticas de segurança. Defende a formação estruturada em cibersegurança e explica a importância das chamadas equipas vermelha e azul: a primeira estuda como conduzir ataques de forma responsável, enquanto a segunda se foca na defesa interna, garantindo que ambientes e servidores se mantenham estáveis, seguros e corretamente utilizados.
Para Juvêncio, a proteção digital não depende apenas de especialistas em TI: todos os cidadãos, organizações e instituições têm um papel a desempenhar na construção de um espaço digital seguro e resiliente. Nesta entrevista, abordamos os avanços da informática em Timor-Leste, os desafios da cibersegurança, a legislação, a educação e a colaboração entre Governo, academia e setor privado, destacando a necessidade de uma estratégia integrada e de normas internacionais para fortalecer o ecossistema digital do país.
Como avalia o desenvolvimento da informática em Timor-Leste nos últimos anos?
Na minha opinião, do lado do Governo, já existe alguma infraestrutura com padrões definidos. O Ministério das Telecomunicações e Assuntos Sociais, por exemplo, tem vindo a desenvolver uma boa infraestrutura, o mesmo acontece com outras instituições — em particular o Ministério das Finanças, que já alcançou um nível considerável de padronização.
No entanto, muitos outros ministérios ainda estão em fase de desenvolvimento e, quando analisamos a questão da padronização e das infraestruturas, verificam-se ainda várias limitações. Por isso, o Governo encara esta situação como uma porta de entrada para a digitalização do setor público — um processo que pode também beneficiar a comunidade em geral, sobretudo num momento em que as Tecnologias de Informação e Comunicação (TIC) ganham cada vez mais importância.
Timor-Leste, através do Governo, tem desenvolvido diversas aplicações digitais. Acredito que já foram criadas mais de 30 aplicações destinadas a diferentes instituições do Estado e dos municípios. No entanto, apesar desse esforço, no final apenas uma aplicação principal acaba por ser realmente utilizada por um ministério relevante, enquanto as restantes acabam por ser abandonadas.
Neste contexto, as TIC Timor acabam por assumir uma grande responsabilidade na gestão destas tecnologias. É precisamente aqui que surgem várias dificuldades no processo de construção de infraestruturas governamentais. Como é o Governo o responsável por todos os sistemas, a digitalização deve ser vista como parte integrante da própria governação.
As TIC Timor devem continuar a desempenhar esse papel central, em articulação com o Ministério das Telecomunicações e Assuntos Sociais, que já possui uma base sólida. As organizações não governamentais também poderiam desenvolver os seus próprios padrões, se existisse uma legislação adequada para tal. Contudo, como ainda não há uma lei de padronização, persistem vários obstáculos.
Apesar disso, o trabalho desenvolvido pelas TIC Timor, pelo Ministério das Finanças e por alguns outros ministérios já representa um avanço importante e abre espaço para melhorias significativas.
Quando falamos de cibersegurança, trata-se de um tema cada vez mais relevante, tendo em conta os desafios enfrentados nos últimos dois ou três anos. Ouvi dizer, por exemplo, que o sistema GRP, do Ministério das Finanças, foi acedido indevidamente por alguém interno, pertencente a outra instituição, apenas porque utilizava a mesma rede do Governo. Isso permitiu-lhe aceder aos dados do sistema GRP.
Este é um dos principais desafios: quando os serviços essenciais estão em funcionamento, existe sempre o risco de alguém aceder indevidamente ou interferir com sistemas críticos, como o GRP. Se isso acontecer, os pagamentos podem ser interrompidos ou atrasados, afetando o trabalho de muitas pessoas. Sei que esse tipo de incidente já ocorreu no passado e foi corrigido, mas, sem uma política de segurança bem definida, há sempre o risco de alguém voltar a causar danos. Infelizmente, como ainda não dispomos de uma política de segurança eficaz, há quem aproveite as falhas do sistema não para trabalhar, mas para causar perturbações ou destruição.
Na sua opinião, que setores em Timor-Leste mais beneficiaram dos avanços tecnológicos até ao momento?
Trabalho no setor financeiro, e considero que este é, de facto, um dos setores prioritários no nosso país. Temos assistido ao aparecimento de vários bancos, como o Banco nacional de comércio de Timor-Leste (BNCTL) e outras instituições financeiras. No entanto, a nossa principal fragilidade é a ausência de leis que sirvam de modelo de referência.
O Parlamento e o poder judicial deveriam criar uma estrutura regulamentar clara para cada setor, de acordo com as respetivas normas, de modo a permitir uma gestão adequada dos potenciais riscos.
A tecnologia que enfrentaremos no futuro estará inevitavelmente ligada a esta questão, porque, sem uma estrutura padronizada, será difícil garantir segurança e estabilidade. Por exemplo, na Malásia, as instituições financeiras são obrigadas a cumprir normas internacionais, como as normas ISO, que regulam tanto os aspetos humanos como os tecnológicos.
Em Timor-Leste, ainda não dispomos de leis, políticas ou procedimentos operacionais padrão bem definidos, e isso pode tornar-se um problema. No mínimo, todas as instituições deveriam ter procedimentos ou políticas internas que orientem o seu funcionamento.
Na cibersegurança, o mais importante não é apenas a tecnologia — são as pessoas. Muitas vezes, são as pessoas que causam problemas à tecnologia, e não a tecnologia que causa danos às pessoas.
Quais são as ameaças digitais mais comuns enfrentadas pelas instituições ou agências em Timor-Leste?
As ameaças digitais estão muitas vezes relacionadas com o valor comercial dos projetos e com os interesses que envolvem. Apenas os engenheiros compreendem em detalhe os aspetos técnicos, mas todos nós conseguimos perceber o impacto e as múltiplas vulnerabilidades existentes. Timor-Leste pode criar condições para o desenvolvimento de aplicações, mas, se não forem implementados mecanismos normalizados e seguros, isso pode tornar-se um grande problema para o país.
Um dos principais pontos fracos da nossa infraestrutura é a ligação à internet. As linhas de fibra ótica que utilizamos vêm da Austrália e, neste momento, têm ramificações e redes que não estão bem mantidas. Essa fragilidade abre espaço para ataques relativamente simples, sobretudo contra agências governamentais — como o setor financeiro, os bancos e várias instituições do Estado, incluindo o Ministério das Finanças, a Defesa e a Segurança Social. Estes organismos lidam com dados sensíveis que, devido a essas vulnerabilidades, podem ser acedidos com relativa facilidade através de métodos de ataque básicos.
Que medidas básicas recomenda que indivíduos e organizações adotem para proteger os seus dados?
Os setores mais essenciais são o financeiro e os serviços públicos, cuja proteção é fundamental. Por exemplo, os dados dos veteranos e da segurança social são extremamente sensíveis e devem ser cuidadosamente protegidos, mas continuam a ser facilmente acessíveis.
Compreendo que, enquanto nação jovem e recém-independente, ainda estamos a avançar de forma lenta na criação de mecanismos e padrões adequados. Dados pessoais, como números de identidade ou documentos oficiais, são muitas vezes acessíveis — e, em alguns casos, até publicados por iniciativa das próprias pessoas.
Estes dados são altamente sensíveis porque, se alguém tiver acesso, por exemplo, às informações de uma conta bancária, isso pode representar o “segredo” mais importante de um indivíduo. Numa situação dessas, outra pessoa pode alegar ser o verdadeiro titular desses dados e agir em seu nome.
Por isso, acredito que o Governo deve promover uma espécie de educação ética e digital junto da população, para que as pessoas não publiquem informações pessoais de forma descuidada. Uma das formas mais simples de proteção é evitar partilhar dados pessoais em excesso nas redes sociais.
Quais seriam as suas recomendações ao Governo para acelerar a implementação de uma legislação cibernética eficaz e justa?
Investir em recursos humanos é crucial, especialmente na formação académica. Acredito que o ensino superior precisa de se adaptar à realidade atual, atualizando os currículos para enfrentar os novos desafios. Se queremos desenvolver competências no ciberespaço, é fundamental que os estudantes aprendam sobre infraestruturas, gestão de aplicações e segurança digital. A cibersegurança não é inimiga de ninguém; pelo contrário, apoia o trabalho de diversas instituições. Por isso, é importante para todos.
Em relação às leis de proteção de dados, recomendo que o Governo acelere a sua promulgação e adote estruturas já existentes a nível global. Isso permite aprender com países vizinhos, como a Austrália, e comparar as leis de proteção de dados e cibersegurança. Esta abordagem não só protege melhor os nossos dados e previne usos indevidos, como também garante que essa proteção tenha um impacto positivo no futuro.
Considera necessária a criação de uma agência nacional dedicada a questões cibernéticas?
Não é apenas a TIC que deve desempenhar essa função; todas as instituições precisam de técnicos competentes na área da cibersegurança, que sigam as regras definidas pela instituição. Por exemplo, o meu e-mail e a minha palavra-passe são informações que os meus colegas não devem conhecer. Não posso, por isso, escrevê-los num papel e deixá-los no escritório, pois isso já não está de acordo com os procedimentos operacionais padrão.
Esta é uma base essencial para garantir a segurança do trabalho, e a responsabilidade não é apenas das TIC. Todos os funcionários devem seguir as regras existentes, assegurando que os sistemas e dados da instituição se mantenham protegidos.
Qual o papel da educação formal e informal na sensibilização para a importância da proteção digital?
Neste contexto, tanto o Governo como as organizações não governamentais devem investir em formações dirigidas aos jovens e aos estudantes. O Governo, através do ensino superior, deve preparar currículos de qualidade e oferecer meios de ensino e formação adequados, de forma a garantir uma preparação sólida para a era da digitalização.
Qual a importância da colaboração entre Governo, academia e setor privado para manter a resiliência digital do país?
A resiliência digital no processo de digitalização depende, sobretudo, dos recursos humanos, porque a infraestrutura por si só não é suficiente. Ao avançarmos com a digitalização — seja através da cloud ou de sistemas internos nas instituições —, é essencial garantir que as pessoas consigam utilizar estas tecnologias, o que nem sempre acontece devido à escassez de recursos e de competências.
Não significa que as pessoas não saibam utilizar as tecnologias, mas é fundamental maximizar o aproveitamento das soluções digitais já preparadas pelas TIC Timor e pelas instituições que desenvolveram as suas próprias aplicações. Isto é essencial para assegurar a continuidade e a resiliência digital, funcionando como uma preparação estratégica para os nossos recursos humanos.
Para isso, precisamos de muitos profissionais capacitados, especialmente nas áreas de tecnologias de informação e cibersegurança, porque os desafios nesta área são inevitáveis. Na região asiática, a economia digital tem um valor significativo, tornando a digitalização uma componente estratégica para os negócios e um ativo valioso para o desenvolvimento do país.
A digitalização deve ser construída com base na transparência, na proteção de dados e na criação de uma resiliência futura sólida, de forma a permitir que Timor-Leste, passo a passo, alcance níveis semelhantes aos de outras nações que já estão mais avançadas na transformação digital e na inovação. Apesar de sermos uma nação jovem, isso representa também uma oportunidade de aprendizagem, permitindo-nos usar esses países como referência para o nosso próprio desenvolvimento.
Que tipo de formação ou capacitação em segurança digital considera essencial para funcionários públicos e profissionais do setor privado?
A vertente jurídica é ainda mais importante nesta área. Existem propostas que podem ajudar a nossa população a aprender e a preparar um futuro mais seguro. Por exemplo, os jovens de hoje podem estudar segurança ofensiva (“offensive security”) para simular ataques e assim conhecer melhor o estado dos sistemas, permitindo-lhes elaborar relatórios às instituições competentes para que esses sistemas sejam corrigidos e melhorados.
Desta forma, quando surgirem situações semelhantes no futuro, os malfeitores terão menos capacidade de causar danos. A ênfase na legislação é crucial, pois estas formações preparam os jovens para agir de forma segura: ao aprenderem segurança ofensiva de forma controlada, podem identificar e reportar vulnerabilidades, permitindo correções e diminuindo os riscos futuros.
Que desafios culturais, sociais ou económicos influenciam a adoção de boas práticas em segurança digital?
Uma fraca cultura de literacia digital torna-se um problema à medida que o país promove a inovação tecnológica. Por exemplo, iniciativas do Banco Central para pagamentos instantâneos via QR code tornam mais fácil a ação de piratas informáticos. Como as pessoas querem aceder rapidamente ao seu dinheiro, aceitam digitalizar um QR para obter informações; depois, os infratores podem provocar alterações ou utilizar aplicações como o e-banking de forma indevida.
Como ainda não estamos totalmente informados nem atentos, existe o risco de um criminoso informático controlar o telemóvel de alguém e transferir fundos sem autorização.
Que papel podem ter os jovens e a comunidade académica na promoção da literacia digital e na proteção cibernética em Timor-Leste?
Acredito que todos podemos aprender em conjunto, seja nas universidades, seja através da literacia digital promovida por colegas que já têm vindo a desenvolver este trabalho no país. Valorizo muito o esforço desses colegas que iniciaram ações de literacia digital e formaram estudantes nas universidades.
A expectativa é que os jovens — tanto os que ainda estudam como os que já estão no mercado de trabalho — possam ser os primeiros a garantir proteção, não apenas na vida real, mas também no mundo digital. É fundamental saber que tipo de informação podemos partilhar de forma segura.
Acredito que os nossos recursos podem ser ainda mais eficazes, pois contamos com jovens universitários e docentes com capacidade e conhecimento para ir mais além. No entanto, os modelos de ensino e os currículos atualmente existentes estão desatualizados, pelo que é essencial promover uma mudança curricular que prepare melhor os futuros profissionais para os desafios da cibersegurança.
