«Um ciberataque irá prejudicar mais as contas de uma organização do que um investimento em segurança»

Os ataques informáticos e as falhas de segurança podem parecer uma realidade longínqua, que só acontece em grandes potências como os Estados Unidos da América ou a empresas de milhares de milhões como o Facebook. Mas não é assim. A garantia é deixada por Ricardo Marques, head of Consulting na S21sec em Portugal.

Em entrevista à Executive Digest, o responsável explica que ainda há empresas portuguesas a ignorar os potenciais riscos e a não estarem preparadas para lidar com um ciberataque. Isto apesar de Portugal estar «cada vez mais na mira dos hackers». Se é verdade que ainda não é a primeira escolha, também é verdade que começa a fazer parte dos planos de piratas informáticos que procuram ganhar dinheiro a partir de dados alheios ou através de pedidos de resgate, por exemplo.

Ricardo Marques sublinha também que a cibersegurança, quando bem executada, não dá nas vistas, já que significa que a prevenção supera a necessidade de lidar com as consequências num ataque. No entanto, esta situação pode levar à perceção de que não é necessário investir em cibersegurança. Afinal, se tudo está a correr bem, para quê ter esse custo?

«Um ciberataque bem sucedido irá prejudicar bem mais as contas de uma organização do que um investimento ponderado e com uma análise ajustada de uma solução de cibersegurança», remata o responsável.

Acompanhe a entrevista na íntegra:

Os ciberataques são uma “coisa que acontece só aos outros” ou Portugal também está na mira de piratas informáticos?

Esse raciocínio é curioso porque ainda há empresas que pensam dessa forma e não se prepararam para um cenário de risco e com consequências graves. Aquilo que nós monitorizamos, e também o que temos assistido nos media, é que Portugal está, cada vez mais, na mira dos hackers, apesar de não figurar num primeiro plano, como EUA ou potências europeias como é o caso da Alemanha.

Além disso, a maioria das vezes em que ouvimos falar de cibersegurança é quando há um ataque ou um serviço afetado, pois, quando desempenha o seu papel de forma correta, a área da cibersegurança passa despercebida nas organizações. Assim, leva a que seja encarada como um custo, resultante muitas vezes do desconhecimento e incerteza, mas que deve ser vista como valor acrescentado para qualquer organização, seja ela do domínio público ou privado.

Portugal está preparado para este tipo de ameaça?

Portugal tem uma baixa maturidade no que diz respeito à cibersegurança e as organizações têm ainda um longo caminho a percorrer na correta gestão dos ciber-riscos. O impacto da pandemia serviu para colocar o tema da cibersegurança na mesa dos decisores e colocar os responsáveis da área de IT mais no centro de decisão.

No entanto, o que observamos no mercado atual é que as organizações reagem às necessidades imediatas, seguindo muitas vezes tendências de adoção de tecnologias por imitação, sem saber distanciar-se o suficiente para conseguir ver o risco adicional que essa tecnologia pode trazer.

Por outro lado, a maior preocupação com os ciber-riscos levou, por exemplo, nos webinares e workshops que a S21sec desenvolve, a um maior número de participantes que vêm de áreas que não estão relacionadas com a cibersegurança, mas sim com o negócio da empresa. Isto deve-se à noção clara do impacto da cibersegurança naquilo que é a cadeia de valor da sua empresa, especialmente quando referimos temas como a segurança de sistemas de pagamento ou a segurança industrial e de produção.

De forma resumida, podemos afirmar que há um aumento da perceção do ciber-risco, mas há ainda um longo caminho a percorrer e o investimento em cibersegurança tem de passar a ser uma presença constante em todos os orçamentos das organizações.

E as empresas, em concreto?

Depende da área das empresas. No caso da banca e seguros, em que a confiança entre organização e parceiros é crucial para o bom funcionamento do seu negócio, há uma maior maturidade para o tema da cibersegurança, pelo que já contam com uma maior e melhor preparação para um ciberataque. As empresas de outros setores também começam a estar mais preocupadas com este tema, principalmente as que viram a atividade de ecommerce crescer de forma instantânea e em pouco tempo, bem como as que passaram a ter a maioria dos seus colaboradores em teletrabalho.

Por outro lado, devido à pandemia, sobretudo as empresas de pequena e média dimensão que foram afetadas por um período de grande instabilidade, com menos receitas e uma elevada incerteza quanto ao futuro, passaram a rever os orçamentos para a cibersegurança em baixa, o que acaba por ser um erro. Afinal, um ciberataque bem sucedido irá prejudicar bem mais as contas de uma organização do que um investimento ponderado e com uma análise ajustada de uma solução de cibersegurança.

De que forma se podem proteger?

É importante apostar cada vez mais em controlos de segurança robustos que vão à raiz do problema: identificar proativamente áreas de risco, novas aplicações, novos dispositivos e novos fluxos de informação, acompanhar as vulnerabilidades que podem ser exploradas num ataque e monitorizar atentamente todos os eventuais suspeitos que possam estar associados a uma atividade maliciosa. Caso contrário, é convite certo para os cibercriminosos acederem facilmente a toda a informação – na maioria dos casos crítica – e, sem dificuldade, atingir os seus objetivos. Nesse caso, e pegando na expressão que utilizou inicialmente, deixa de ser uma “coisa que só acontece aos outros” e passa a acontecer à organização à qual pertencemos.

Existe uma expressão que é comum usar nestes meios da cibersegurança e que é: “Apenas existem dois tipos de empresas, as que já foram atacadas e as que não sabem que foram atacadas.” Obviamente que é só uma expressão, mas é importante para as empresas garantirem que implementam os mecanismos adequados para se proteger contra ciberataques, mas mecanismos que permitam detetar que efetivamente foram atacados e que permitam responder a esses ataques para minimizarem os potenciais impactos dos mesmos.

Quais são os principais riscos e consequências de um ciberataque para uma empresa?

Felizmente, as organizações têm vindo a ficar mais conscientes do impacto que um ciberataque pode ter. As consequências são graves não só para o negócio, mas também para a imagem e reputação da marca, colaboradores e parceiros de negócio.

Podemos distribuir esse impacto por três cenários distintos: impacto financeiro direto, quando há um roubo de dados que resulta em coima aplicada ao abrigo da regulação de proteção de dados ou coimas associadas a incumprimentos contratuais; perdas de reputação, por colocar em causa a confiança depositada numa marca, que demora a ser criada e pode ser destruída em minutos; e, por fim, perdas operacionais decorrentes da impossibilidade de manter funções vitais a funcionar, como a presença na Internet (fundamental para o ecommerce), as operações industriais (que dependem cada vez mais dos sistemas de informação), o apoio a clientes (dependente de bases de dados que guardam o histórico da relação), ou até funções de apoio como faturação e gestão de recursos humanos.

O teletrabalho e a pandemia vieram aumentar as tentativas de ciberataque?

Os nossos dados mostram que, durante o período de pandemia, os ataques de phishing aumentaram, a nível global, 350%. Com a adoção do teletrabalho e consequente aumento do número de ataques, chegámos à conclusão de que 38% das empresas reconhece que foram vítimas de ataques de phishing no último ano. Além disso, 36% das empresas não tem a certeza se os seus colaboradores são capazes de prevenir e detetar um ciberataque.

Temos que reconhecer que nem todas as empresas estavam preparadas para o teletrabalho e, por isso, registámos casos de organizações que não tinham equipamentos suficientes para todos os funcionários, que acabaram por trabalhar com equipamento pessoal. Alguns desses equipamentos já estavam comprometidos com software malicioso instalado sem existir conhecimento disso. Ao aceder através desse equipamento “infetado” ao sistema da empresa, abre-se uma janela de oportunidade para os cibercriminosos.

Noutros casos, houve mesmo roubo físico de equipamentos pessoais que os colaboradores estavam a usar no âmbito do seu trabalho, alguns sem password e contendo dados confidenciais da empresa. É muito importante ter esta ideia bem presente: a cibersegurança não passa apenas pelas soluções tecnológicas, o fator humano é bastante importante nesta equação e, por isso, é crucial apostar numa formação cada vez mais completa de todos os colaboradores para que estes estejam mais sensíveis para este tipo de riscos. Por isso, a cibersegurança deve ser sempre encarada como um todo, transversal a várias áreas e setores.

Quais são os principais fatores de influência? Que empresas podem ser mais afetadas ou representar alvos mais apelativos?

Tradicionalmente, as empresas ligadas ao setor da banca e seguros são, se assim se pode dizer, as mais atrativas para os cibercriminosos. Não só pela dimensão que representam, como também pelas consequências que um ataque bem sucedido pode acarretar. O contexto pandémico trouxe uma importância ainda maior para as empresas ligadas ao setor da saúde, desde laboratórios a hospitais, com muitos ataques a terem como alvo a produção e distribuição de vacinas, de forma a dificultarem todo esse processo e também como tentativa de roubo de informação sensível que depois poderia ser usada como tentativa de extorsão, por exemplo.

Os fatores de influência acabam por ser vários, dependendo do objetivo do ciberataque, mas podemos considerar a dimensão da empresa – global ou local, por exemplo –, o tipo de informação ou dados que tem em sua posse, qual a sua atividade diária e o impacto da mesma na sociedade, se é uma organização pública ou privada, entre outros.

Que avaliação faz da legislação/regulamentação do cibercrime em Portugal? É suficiente?

Existe já ao momento alguma legislação do cibercrime em Portugal, no entanto pode não estar completamente atualizada e não é de todo suficiente. A legislação nacional até pode ser importante, mas a verdade é que a maioria dos ataques tem origem fora do nosso país, pelo que mais do que a legislação nacional é mais importante a legislação e cooperação internacional para atacar o cibercrime de uma forma coordenada.

No entanto, e na minha opinião, mais importante do que legislação, deveríamos ter mais apoio para as organizações nesta temática do cibercrime por parte de entidades competentes.

Quando eu falo em apoio falo em emissão de recomendações, boas práticas, standards, emanados a nível de entidades como o CNCS ou outras para apoiar as empresas na definição da sua estratégia de cibersegurança, do seu modelo de governo, das suas políticas, processos e procedimentos, para suportar toda a cibersegurança na organização.

Existem já à data alguns documentos emitidos, nomeadamente pelo CNCS, sobre esta temática, como é o caso do Quadro Nacional de Referência para a Cibersegurança (QNRCS). Contudo, não é de todo suficiente e é necessária mais informação e principalmente documentação mais prática que permita às organizações, principalmente as pequenas e médias empresas que estão menos preparadas nestas áreas, terem um startup point para tratar do tema da cibersegurança.