2022 foi um ano marcante em Portugal no que à cibersegurança diz respeito. Muitas organizações portuguesas de maior visibilidade social viram as suas fragilidades de segurança totalmente expostas. De acordo com o Observatório do Centro Nacional de Cibersegurança (CNCS), o cibercrime aumentou significativamente em 2022 e não apenas em número: verificou-se também um incremento na sofisticação e impacto destes ataques, especialmente no ransomware.
As grandes empresas portuguesas perceberam da pior forma que já não é possível adiar um investimento forte em cibersegurança ― algo que também se aplica às PME, que estão ainda mais vulneráveis às violações de dados. Contudo, nem só de investimento informático se faz a cibersegurança de uma empresa: um dos pilares vitais da segurança cibernética também passa pela (in)formação.
Por isso, será que sabe o que é um ataque phishing se tiver de identificar um? Não abra quaisquer e-mails que lhe pareçam estranhos, ameaçadores ou surpreendentes, mesmo que (e sobretudo!) venham de entidades supostamente credíveis como bancos, agências governamentais, entre outros. Um uso pobre da língua, endereços ou URL suspeitos, bem como um endereço de envio ou anexos estranhos, ou mesmo o facto de o e-mail recebido sem qualquer antecedente, devem fazê-lo suspeitar destas comunicações.
As comunicações maliciosas de phishing, uma técnica de engenharia social cujo objetivo passa por roubar os seus dados, a sua identidade ou as suas credenciais de segurança e códigos de acesso a contas bancárias ― e, por conseguinte, o seu dinheiro ― constituem a principal porta de entrada do malware e ransomware no seu computador, representando um risco muito sério para os seus dados pessoais e o seu negócio. Muitas vezes, para parecerem mais convincentes, estes e-mails já contêm informação pessoal sua, roubada pelos hackers para o persuadir (o chamado spear phishing). Esteja também atento ao evoluir das características do smishing (recebido por SMS) e do vishing (por chamada de voz). Estas técnicas tendem a evoluir e a ser aperfeiçoadas pelos hackers.
Outra área que merece avaliação é o armazenamento: está satisfeito com as suas soluções de backup? As empresas que desejem manter-se competitivas no mercado, sejam grandes empresas ou PME, já terão o seu plano de Transformação Digital em marcha ― o que envolve uma mudança progressiva para o ambiente digital e uma digitalização dos dados, com uma predominância inquestionável da cloud.
Quando os seus dados são roubados por um hacker e são encriptados, a única forma de os recuperar será recorrer ao seu próprio backup de dados. Esta é a única forma de não arriscar perder os seus dados para sempre. Com backups confiáveis, é simples e fácil recuperar quaisquer dados que tenham sido alvo de um ataque e voltar rapidamente ao trabalho. Pergunte-se se está satisfeito com o seu backup: quando foi a última vez que o testou? Com que rapidez conseguirá recuperar um ficheiro? Consegue recuperar e-mails individuais? Que informações estão, exatamente, a ser armazenadas?
As consequências destes ataques para os dados das empresas variam em gravidade. Quando os ataques são bem-sucedidos, acontece, geralmente, uma violação com divulgação de dados, com consequências graves ― financeiras, reputacionais, de perda de informação ― para as organizações e para os detentores dos dados. Contudo, quando uma empresa tem uma estrutura robusta de cibersegurança, é muito mais simples travar as consequências de uma brecha de segurança.
E, por fim: estarão os meus sistemas atualizados? Sistemas obsoletos são um grande risco de segurança, incluindo a execução de versões desatualizadas do Windows e versões não suportadas do Windows Server para fins profissionais. Na eventualidade de um novo ataque à segurança, os seus sistemas mais antigos não receberão atualizações do fornecedor, o que significa que ficará cada vez mais vulnerável a violações de dados e outros ataques à segurança.
A maioria do roubo de dados começa com uma palavra-passe descoberta. Soluções tão simples como a adoção de Single Sign On, autenticação multifatorial, sistemas de teste ou de gestão de palavras-passe podem criar, preventivamente, a barreira contra invasões de que a sua empresa pode vir um dia a precisar. Porque, com segurança, a palavra de ordem é sempre uma: prevenção.
