Os ciberataques aumentaram 79% em Portugal em 2020. O que devem fazer as empresas?

Os ciberataques aumentaram 79% em Portugal em 2020. Os 1347 incidentes identificados em 2020 representam um aumento de 79%, “acentuando o ritmo de subida que já se verificava nos anos anteriores, indica o relatório anual do Centro Nacional de Cibersegurança. Para entender como é que as empresas se estão a adaptar a esta realidade e quais os desafios, a Executive Digest foi ao encontro de Luís Lobo e Silva, Managing Partner da Focus2Comply, uma empresa de segurança da informação e proteção de dados pessoais.

O que é GRC – Governance, Risk and Compliance e qual a relação com a Cibersegurança?

Trata-se de preconizar modelos de gestão e de boas práticas de carácter operacional, preventivo, de avaliação e melhoria contínua, assentes em análise de risco e em conformidade com requisitos legais, regulamentares, sectoriais e reputacionais, no caso aplicados à gestão da segurança da informação nas organizações que, de alguma forma, estão expostas ao espaço digital. Numa vaga analogia e salvaguardando as devidas distâncias, também o ser humano se pauta por um conjunto de práticas de vivência, devendo estar consciente dos riscos em determinadas opções e periodicamente fazer um controlo do seu estado de saúde.

Como educar/formar pessoas e/ou empresas para evitar ou ultrapassar este tipo de ocorrências? Quais as boas praticas a adotar?

Quanto ao cidadão no geral cabe aos Estados e a bem da literacia digital promover programas nas diversas faixas etárias, com um reforço nos conteúdos programáticos para os mais jovens nas escolas com a inclusão dos ciclos primários. Nas empresas, importa o reforçar de ações (além de formação) de sensibilização por forma a despertar colaboradores para os riscos a que estão expostos na forma de tratarem informação, seja em equipamentos da empresa, seja em equipamentos próprios e/ou partilhados muitas vezes utilizados numa vertente profissional e pessoal.

As vulnerabilidades humanas e organizacionais têm uma importância relevante na generalidade dos ataques informáticos?

Sem dúvida, a IoT (Internet of Things) e o BYOD (Bring Your Own Device) têm estes desafios. E na medida em que refiro anteriormente, sendo a vulnerabilidade humana um dos fatores que mais potencia as ameaças e existindo cada vez mais uma fronteira muito ténue entre a utilização profissional e pessoal de equipamentos, seja pela tendência de utilização de equipamentos para uso generalizado, seja pelo facto das próprias atividades profissionais da atualidade se cruzarem muito com a utilização de recursos digitais muitas vezes explorados com perfis pessoais, este efeitos acabam por se repercutir organizacionalmente. Desde 2019 e crescendo mais em 2020 e 2021, nomeadamente nos períodos de confinamento com maior expressão e fora do período de verão, os ataques por phishing/smishing cresceram significativamente, acompanhando os períodos de maior incidência no trabalho remoto.

 O que falta em Portugal às empresas para que estejam mais protegidas?

Definirem efetivamente um modelo de gestão de segurança da informação, que prescreva boas práticas no tratamento da informação, políticas de utilização e acesso à informação, definição de controlos e melhoria continuada com recurso a análises de risco e auditorias regulares, são algumas das medidas a adotar com compromisso.

O mercado informático português é um mercado evoluído?

Creio que sim. Embora nem todas as organizações tenham o state of the art em tecnologia, diria que a tecnologia com o básico das funcionalidades nesta matéria da segurança é cada mais uma commodity. O acesso a tecnologia mais dispendiosa permite evidentemente melhores performances, arquiteturas de rede mais redundantes, melhores controlos e monitorização, embora em matéria de infraestruturas tecnológicas exista uma grande oferta em regime de subcontratação sob a forma de serviços e soluções em cloud a grandes operadores e de custos

mais controlados para organizações de menor dimensão e/ou capacidade de investimento. Estas são muitas vezes as melhores soluções apesar de algum ceticismo, pois o modelo económico destes operadores assenta precisamente numa razão de escala que lhes permite focarem-se apenas nos aspetos tecnológicos (e de segurança) rentabilizando o investimento pelos diversos clientes. No entanto, a tecnologia não resolve por si só as questões da segurança da informação, devendo estas serem endereçadas de forma holística em pessoas-processos-tecnologia.

Quais os setores empresarias mais afetados pela pirataria informática?

Dos incidentes registados pelo CERT.PT (entidade que coordena a resposta a incidentes no ciberespaço de interesse nacional que afetam sobretudo a administração pública, os operadores de serviços essenciais ou os prestadores de serviços digitais, mas também outro tipo de organizações e o cidadão em geral), mais de dois terços dos incidentes ocorreram em entidades privadas e quase um terço em entidades públicas, durante 2019 e 2020.

Em Portugal e de acordo com o Observatório de Cibersegurança, a banca, as infraestruturas digitais e prestadores de serviços de internet, os transportes, as autarquias, a Presidência do Conselho de Ministros, a energia e a saúde, fazem parte do top 10 dos sectores mais atacados em 2020.

 Há perspetivas de evolução destes números no próximo semestre/ano? Os ataques vão crescer ou diminuir?

As previsões valem o que valem, mas creio não tenderem a diminuir. Podem não existir crescimentos tão expressivos, mas acredito que continuarão a crescer, provavelmente em diferentes tipos de incidentes e sectores e com diferentes impactos entre si. Importa referir que nem sempre o maior número de um tipo de incidentes representa o maior dano ou impacto em termos relativos. Por exemplo, no 1º semestre 2021 o phishing reportado cresceu 23% em relação ao período homólogo de 2020, fazendo com que o fator humano seja responsável em pelo menos 53% dos incidentes registados (40% de phishing + 13% de engenharia social), no entanto o dano potencial nos sectores que estão no top 10 dos ataques pode ser incalculável e até mesmo ameaçar a soberania nacional.

 Em percentagem, quantos destes ataques já foram reportados às autoridades?

Não conheço nenhum estudo ou análise fidedigna sobre essa matéria, salvo especulação. O que sei dizer é que em Portugal, como em toda a União Europeia, todas as entidades públicas, todos os operadores de serviços essenciais e prestadores de serviços digitais, devem reportar esses incidentes. Em Portugal estão abrangidas por esse dever as entidades inseridas na RNCSIRT (rede nacional de CSIRT de organizações-chave no país) e muitos dos registos reportados poderão decorrer de incidentes perpetrados noutra categoria ou sector.