«Trabalho remoto aumenta a exposição e as vulnerabilidades em termos de cibersegurança»

Quem acredita que Portugal consegue escapar às grandes falhas de segurança e que é uma espécie de paraíso no extremo oeste da Europa está a viver um sonho. Quem o diz é Luís Lobo e Silva, managing partner da Focus2Comply, segundo o qual «vivemos numa aldeia global e o cibercrime é também um facto à escala global».

Em entrevista à Executive Digest, explica que as organizações portuguesas – incluindo empresas de diferentes setores – também estão suscetíveis a ataques informáticos e devem ter isso em mente quando desenham os planos de negócio ou quando criam as listas de prioridades. E a pandemia parece ter vindo tornar o problema mais evidente.

Segundo Luís Lobo e Silva, a «modalidade de mercado laboral e prestação de serviços de forma remota aumenta a exposição» e, por conseguinte, os perigos a que as empresas estão sujeitas. Qual será, então, a solução? Como proteger os colaboradores em teletrabalho e o próprio negócio? O responsável acredita que o primeiro passo será «pensar as atividades de forma estratégica».

Luís Lobo e Silva desvenda ainda o impacto do cibercrime na economia portuguesa e sublinha que a legislação nacional não carece exatamente de mudanças: «Não diria mudar, mas reforçar.»

Acompanhe a entrevista na íntegra:

Em traços gerais, como tem evoluído o cibercrime a nível mundial e em Portugal?  

Existem opiniões de que Portugal é um “paraíso à beira mar plantado”, no entanto creio não ser bem assim. Vivemos numa aldeia global e o cibercrime é também um facto à escala global. Estamos económica e politicamente enquadrados em diversas dimensões estratégicas, à escala europeia e mundial. Somos parceiros e aliados em muitas agendas diplomáticas e financeiras – vejamos o presente momento da 4.ª Presidência de Portugal do Conselho da União Europeia – pelo que estamos sujeitos a alguma (apesar dos mais otimistas) visibilidade.

Por outro lado, a escalabilidade de infraestruturas tecnológicas e a necessidade de não só de redundância, mas também de rentabilização de custos, qualidade e disponibilidade de operação, conduz a uma cadeia de valor muito assente em serviços cloud centric mas geograficamente distribuídos, ainda que salvaguardada a questão do RGPD no caso europeu, nomeadamente a regulação da transferência de dados entre a Europa e o resto do mundo.

Estes aspetos conduzem assim a uma proporcionalidade entre o que acontece em Portugal e a nível mundial nesta matéria. O aumento de casos é notícia quase diariamente e os métodos vão sendo cada vez mais arrojados.

A pandemia veio aumentar os perigos? De que forma?

Sem dúvida. Esta crise sanitária apenas acelerou o que já começava a ser uma realidade de um universo considerável de empresas: a adaptação ao trabalho remoto, que creio ser uma tendência inevitável. Esta modalidade de mercado laboral e prestação de serviços de forma remota aumenta a exposição, quer da informação de indivíduos, quer da informação das empresas, a circular no espaço digital, fazendo também aumentar as vulnerabilidades em termos de segurança relativamente ao ciberespaço.

As empresas têm a necessidade de se adaptar a um registo de sistemas de informação que não depende apenas do seu perímetro corporativo de segurança físico e digital, mas também dos seus colaboradores.

Como podem as empresas proteger os seus trabalhadores e o próprio negócio em tempo de teletrabalho?

Pensar as suas atividades de forma estratégica e tendo os sistemas de informação cada vez mais alinhados com o negócio e com estas novas premissas conjunturais. Reforçar o seu modelo de gestão de segurança da informação, que poderá envolver redefinição de procedimentos e controlos de segurança nos seus workflows internos, aumentar a sensibilização de colaboradores através de formação regular (que nos dias de hoje pode ser prestada por modelos interativos e bastante cativadores), rever junto dos seus departamentos internos ou fornecedores, responsáveis pelas suas aplicações de negócio, requisitos de privacy by design e de qualidade de software das suas plataformas e auditar com regularidade as suas infraestruturas (existindo hoje em dia ferramentas de GRC que já muito podem suportar esse backoffice).

Qual é o impacto do cibercrime na economia global? E em Portugal?

Os impactos são crescentes e os investigadores estimam que a quantidade de incidentes reais será quase o dobro dos ataques reportados. O mais recente estudo publicado pelo Center for Strategic and International Studies e a McAfee, cuja leitura recomendo, aponta para impactos diretos na economia global que ascendem a 600 biliões de dólares, o que representa cerca de 0,8% do PIB da economia global, e em que o roubo de informação referente a Propriedade Intelectual representa de cerca de 25% do valor total.

O crescimento do cibercrime reportado ronda os 11 a 12% anualmente, com um impacto de cerca de 0,7% do PIB na América do Norte e cerca de 0,84% na Europa, sendo o ransomware a ferramenta de crime de mais rápido crescimento, com mais de 6.000 mercados criminosos online que vendem produtos e serviços com uma popularidade cada vez maior de ransomware-as-a-service, veja-se.

Em Portugal, o Observatório de Cibersegurança publicou um segundo boletim em 2020 que indica que houve um crescimento de 84% de incidentes nos três primeiros meses do ano de 2020 e, se compararmos com o 1.º trimestre de 2019, o crescimento de incidentes reportados é de 176%. No início do período de confinamento em 2020, decorrente da pandemia, os ataques mais relatados são o phishing utilizando o nome de organizações de saúde, malware distribuído, aplicações “Covid 19” que distribuem malware e ransomware, fraudes digitais de crowdfunding, websites falsos e campanhas de desinformação.

Como olha para a legislação/regulamentação do cibercrime em Portugal? É suficiente?

Ao contrário, provavelmente, de algumas outras opiniões, entendo que o caminho se faz caminhando, i.e., já existe algum esforço por parte do legislador, nomeadamente com a lei nº 109/2009, de 15 de setembro, que assenta na cooperação internacional e na adaptação ao regime jurídico de três diplomas europeus e é constituída por cinco capítulos que definem seis tipos de crime sujeitos a penas financeiras e de prisão: Falsidade informática, Dano relativo a programas ou outros dados informáticos, Sabotagem informática, Acesso ilegítimo, Interceção ilegítima e Reprodução ilegítima de programa protegido.

A pena de prisão para estes crimes pode ir até aos cinco anos, às exceções do Dano relativo a programas ou outros dados informáticos e Sabotagem informática que poderão ir aos 10 anos.

Creio que ainda muito haverá a fazer, nomeadamente em termos de prova e de meios de prova, mas que dependerão também do conhecimento que se vai adquirindo (também através da jurisprudência que vai surgindo) e da cooperação internacional face a um universo de criminalidade com potencialidades em crescendo.

O que acha que faria sentido mudar?

Não diria mudar, mas reforçar. Muito do (inevitavelmente) pouco está no bom caminho. Não podemos esquecer que este tipo de crime, à semelhança de qualquer outro crime, vai tendo um modus operandi cada vez mais sofisticado, tanto quanto perseguido pela própria sofisticação na investigação. Sem dúvida que estamos perante uma ameaça que necessita de uma abordagem a vários níveis: cultural, regulação, legislação e meios judiciais, educação e formação. E nas diversas dimensões da comunidade: Estados, cidadãos, empresas e escolas e universidades. Já percebemos que a melhor forma de mitigar o crescimento deste tipo de crime só poderá ser num modelo holístico e sensibilizando toda a sociedade.

O que é GRC – Governance, Risk and Compliance e qual a relação com a cibersegurança?

O(s) conceito(s) por si só não são novos. Já existem e de forma regulada em muitos setores e relativamente às suas atividades económicas: serviços financeiros, seguros, saúde, automóvel, retalho, são os exemplos mais óbvios.

Em matéria de cibersegurança, ou de ciberespaço talvez (mas não me querendo alongar no que por si só são os conceitos de cibersegurança, ciberdefesa e ciberespaço), importa fazer uma abordagem holística à Gestão de Segurança da Informação no espaço digital: Pessoas-Processos-Tecnologia.

Tendo o ciberespaço na dimensão da interação entre Pessoas na sociedade digital, a ciberdefesa na camada de gestão e de modelo(s) associado(s) aos Processos e procedimentos de controlo e análise de risco e a cibersegurança na camada operacional e de Tecnologia de monitorização, combate e defesa, torna-se necessário avaliar cada um destes quadrantes com uma visão 360º e pensar cada um deles nas vertentes da legislação e regulação, educação, processos e boas práticas.

Não é algo que se faça de forma isolada por cada uma destas vertentes, mas de forma cooperante entre os diversos agentes que a representam e por isso promovemos a criação de um cluster que se formalizou através de uma associação de âmbito europeu, Associação CGRCC – Cluster de Governance, Risk & Compliance no Ciberespaço, constituída no final de 2019 e que conta já entre os seus membros com algumas empresas privadas, universidades, entidades de representação corporativa a nível nacional e europeu, bem como um Conselho Consultivo constituído por personalidades individuais, nacionais e europeias, que de alguma forma se destacam pelos seus préstimos ao serviço das causas pública e privada.