Cibersegurança: ataques recentes revelam “erro grosseiro” por parte das empresas

Primeira conclusão: os ciberataques vão continuar a acontecer, a elevado ritmo e com cada vez maior sofisticação. No entanto, é possível preparar melhor as empresas e as pessoas, por forma a conseguir travá-los antes que atinjam proporções do nível que vimos nos casos da TAP ou dos próprios serviços do Estado, que terão deixado roubar centenas de documentos confidenciais enviados pela NASA ao Executivo nacional.

O tema esteve em discussão em mais uma conferência do Fórum Ordens Profissionais, promovido pela AGEAS Seguros, e no qual participaram quase uma dezena de oradores em dois painéis distintos.

Para Lino Santos – Coordenador do Centro Nacional de Cibersegurança (CNCS), é muito claro que “ninguém está preparado para isto do ciber risco e esse é o grande desafio”. O responsável lembra que “temos assistido a um crescendo no número de incidentes”, que aumentaram 80% entre 2019 e 2020, e outros 30% entre 2020 e 2021. A tendência, acredita, “vem do passado e mostra que temos de trabalhar mais para ter capacidade de minimizar os impactos”. Porque evitar os ataques é, à partida, impossível. O importante agora é garantir que eles causam o menor estrago possível nas organizações.

Newsletter

A subscrição foi submetida com sucesso!

Exame

O melhor jornalismo económico em revista, na newsletter sobre a edição mensal da EXAME

Subscrever

Para isso, o CNCS prepara-se para publicar um esquema de “certificação de conformidade” com um quadro de referências internacionais, que as empresas podem tentar garantir. No entanto, avisa, “há uma assimetria entre a capacidade de resposta e a capacidade do atacante”, que se explica por três grandes fatores. O primeiro é a densidade digital – ou a “difusão entre o que é agente estatal com os meios de cibercrime, difusão da fronteira entre cibercrime organizado e ativismo (os miúdos que fazem experiências)…”.

Depois, o crescimento do cibercrime organizado. “Quando falo em cibercrime organizado estou a falar de prestação de serviços para ataque a terceiros”, ou seja, hoje em dia é possível contratar “serviços na darkweb” para atacar “a empresa concorrente e com direito a suporte técnico”. E, por fim, mas não menos relevante “a falta de capacidade e talento, o défice de recursos humanos que temos na sociedade e o défice de literacia para lidar com estes ataques e evitar phishing. 53% dos ataques em Portugal exploram o fator humano”, realça o responsável.

Pedro António, membro da Comissão Executiva do Grupo Ageas, acrescenta que “há dois graus de sofisticação que estão um em cima do outro. Se houver um ataque dirigido é preciso uma grande capacidade de resistência a esse ataque – quando ele é mais superficial, quem está mais protegido não é atacado. Mas é uma corrida contra o tempo. E há uma mentalidade da cultura de segurança que é preciso incutir nas organizações”. Nesse sentido, o responsável espera que os ataques que foram noticiados este ano – Impresa, TAP, Vodafone, Estado… – funcione como uma “chamada de atenção forte para as organizações”. Até porque, salienta, por mais que as empresas façam o seu trabalho, “o outro lado da equação também tem a sua capacidade”, o que significa que não se pode baixar a guarda em momento algum. E daí que a formação individual se revista de especial importância. “Até podemos criar mecanismos de defesa como fatores de dupla autenticação, mas depois há sempre uma parte que pode ser erro humano…”, repete.

A questão foi recordada várias vezes precisamente porque parece ter sido precisamente através de um cliente da TAP que os hackers conseguiram aceder ao sistema da companhia aérea – terá aberto um email fraudulento que foi porta de entrada para o vazamento de mais de 1,5 milhões de dados pessoais, que estão agora disponíveis na darkweb.

Para Pedro Ribeiro, CEO da Agile Information Secutiry, houve “uma negligência muito grande por parte” da TAP.

“Há ataques que não passam da fase inicial e há ataques como o que aconteceu agora na TAP que perdeu 1,5 milhões de dados pessoais – moradas, datas de nascimento, cartões de credito… Vamos assumir que foi um utilizador que clicou um email e que foi por aí que os atacantes entraram. Ok!, mas tem de haver uma série de barreiras (firewalls) para evitar que os atacantes cheguem aos dados”. Ou seja, a TAP não terá feito “as diligências necessárias”.

“Nunca vamos saber a verdade, porque não é do interesse da TAP revelar isso, mas acho que podemos dizer que houve um erro grosseiro…”, considera o especialista.

Uma questão de gestão

Luís Sequeira, membro da Assembleia Representativa da Ordem dos Economistas chama a atenção para o facto de a ciber segurança ser, acima de tudo, “um problema de gestão”, que não está a ser encarado como tal. “A palavra-chave é prevenção e não só nestas áreas. Isto exige uma capacidade de organização, de ter cuidado em relação a todas as regras – cumprem-se nas primeiras semanas, porque são obrigatórias, mas depois não se cumprem mais. E há uma coisa que é evidente: o que vem a publico são, cerca de 10% dos casos. Portanto, imaginemos a quantidade de ataques que estão a acontecer que não chegam às notícias”

No mesmo sentido, o responsável exige mais isenção por parte de quem faz as formações nesta área, lembrando que muitas vezes há um monopólio por parte dos grandes fabricantes. “O CNCS tem trabalhado muito com normas e regras, não só europeias mas internacionais, adequadas. A própria União Europeia está a começar a aplicar regras e normas. Mas até agora isto era ao favor dos ventos e dos fabricantes…porque é que foram aplicadas tantas multas a marcas? Porque há abuso e supremacia de construtores que pressionam também os consultores e depois…pronto”, lamenta o responsável.

A tese é secundada por Ana Dias, CFO e CTO da Cofina, empresa que também foi alvo de um grande ataque informático este ano. “É um tema sobre o qual hoje em dia é impossível um gestor, seja em que área for, não ter consciência”, assegura. “Aliás, quando não tem é quando começam os problemas”, defende. “A formação em ciber-segurança é O tema principal, parece-me a mim. Claro que temos de ter todos os sistemas de segurança [instalados nas empresas], mas 53% dos ataques serem por via humana…isto significa também que o nível de sofisticação dos atacantes é imenso”. Portanto, “se dermos formação nas empresas, as pessoas transportam isso para a vida pessoal” e há um efeito dominó na segurança da comunidade e das organizações, defende a gestora.

Por seu lado, Cristina Siza Vieira recorda a dificuldade que muitas empresas em Portugal, devido à sua dimensão, têm em fazer o investimento necessário para garantir as tais várias camadas de segurança nos seus sistemas. A CEO e Vice-Presidente Executiva da Associação da Hotelaria de Portugal recorda que cadeias como a Marriott e a Hilton sofreram ataques de enorme monta recentemente, e que investem milhões nos seus sistemas de segurança. Já os operadores mais pequenos podem enfrentar mais dificuldades, até porque a escassez de talento está a pressionar os preços de uma forma muito significativa.

“Isto é como fazer exercícios de incêndio. Há uma série de protocolos, sabemos o que é preciso fazer, mas volta e meia é preciso testar e voltar a revalidar os procedimentos. Este é um outro tema: nós somos muito pequeninos, custa muito dinheiro investir em profissionais que saibam proteger os nossos sistemas”, salienta a responsável. Aplaude a iniciativa e as formações do CNSC e defende também mais formação, lembrando que na área da hotelaria há tantos dados a circular que, de facto, o fator humano tem um papel importantíssimo – “as pessoas já marcam massagens, idas ao ginásio, refeições digitalmente…isto são dados de muito valor”, recorda. Daí que a consciência de cada um para a partilha de informação seja tema relevante para estar sempre na ordem do dia, no que à ciber-segurança diz respeito.

O mesmo defende Pedro Machado, Data Protection Officer do Grupo Ageas Portugal. “De facto, há uma consciência de que temos de mexer no ensino e isso é relevante. No ensino secundário os miúdos aprendem, em Matemática, funções, limites, derivadas… se nos fizéssemos a comparação para o que são as ciências informáticas, para mim é inadmissível que não saibam programar em Phyton. É formação base. Devíamos ter capacidade de nivelar estas competências porque estamos com falta de preparação nesta matéria”, sublinha.

“Às vezes, um euro de investimento em segurança pode valer 10 milhões” em eventuais prejuízos. “Porque não vale a pena investir imenso nos sistemas de segurança, com autenticações de duplos fatores, e depois as pessoas porem um post-it com as passwords debaixo do teclado”, avisa.

“Isto não vai lá só com formações e cursos. Temos de provocar experiências imersivas. Envolver as pessoas na aprendizagem, dar-lhes uma consciência real de determinadas problemáticas. A questão da formação é mais complexa do que num primeiro olhar nos parece. Mas acho que temos de começar por algum lado, efetivamente”.

Uma opinião secundada por Fernando de Almeida Santos, Bastonário da Ordem dos Engenheiros, que acredita que “ainda nem acordámos para este tema. Estamos preocupados com o anormal que são os ataques, mas nem o normal está assegurado. Estamos preocupados em tornar a capacidade das instituições portuguesas digital, mas não arranjamos mecanismos de gestão inerentes”.

“Estamos a falar na corrida (digitalização) e não na rasteira (ataques). A segurança do trabalho dá, do ponto de vista da forma como se resolveu a gestão disso, alguma resposta. Pode haver serviços internos e externos”. Nesse sentido, “temos colégios de especialidade e estamos a criar especialização em ciber-segurança para ter especialistas em ciber-segurança”, aproveita para revelar.

O Presidente do Colégio Nacional Engenharia Informática da Ordem dos Engenheiros, Vasco Amaral, acrescenta que, quando se fala em ciber-segurança e ciber-risco nas empresas, se “trata de algo relacionado com um jogo de gato e rato e o tema da formação é critico. Preocupa-me um pouco a observação há puco feita pela Cristina Vieira da Silva, de que há um distanciamento entre a academia e aquilo que se observa como as necessidades reais a nível empresarial – isso merece uma reflexão da nossa parte”, admite. “Mas creio que há também uma falta de reciprocidade, de retroação por parte das empresas, ao não transmitirem as universidades a forma de saber fazer”, lamenta defendendo uma comunicação mais eficaz entre ambos os mundos.

Um novo produto

No final das duas mesas redondas – uma que foi mais dedicada a olhar para o País de forma macro e outra que olhava mais para as empresas, mas cujas reflexões acabaram por inevitavelmente se cruzar, Gustavo Barreto, membro da Comissão Executiva do Grupo Ageas Portugal, aproveitou para anunciar que a partir de Outubro estará disponível um novo seguro relacionado com esta temática.

A Ageas Seguros lança assim um seguro que não va ser servir apenas para “proteção e indeminização, mas vai trabalhar precisamente antes, na prevenção, com um diagnostico. Pretende detetar vulnerabilidades e fazer um conjunto de recomendações e, caso aconteça um ataque e os clientes, as empresas, precisem de apoio, teremos assistência técnica na recuperação de dados e por forma a ter o mais rapidamente possível a empresa a trabalhar em condições normais. E temos também, claro, a parte da indeminização, não apenas de responsabilidade civil mas também relativa a perdas de exploração caso aconteça a empresa não poder operar” durante um determinado período de tempo.

“Vamos lançar esta oferta em outubro, que acreditamos endereçar muitas destas preocupações que ouvimos hoje. O número de empresas com seguro de ciber-segurança é muito diminuto quer em Portugal quer na Europa, mas estes incidentes estão a aumentar a visibilidade para esta necessidade”, concluiu.