A pandemia trouxe consigo a adoção massiva do trabalho remoto, numa verdadeira ‘imersão digital' que permitiu às pessoas comunicar e às organizações manterem o negócio, ainda que de forma limitada. O ‘reverso da medalha' foi um aumento dos ciberataques a um nível preocupante. Mas se a segurança online não se consegue garantir a 100%, há um sem número de medidas para mitigar as vulnerabilidades, como ficou claro neste primeiro Webmorning APDC.
O número de ataques online está a subir ao nível global, vindos não só de grupos de crime organizado, com objetivos políticos ou financeiros, entre outros, mas também de grupos de hacktivistas, que são dos que mais crescem e vão aumentar ainda mais nos próximos anos. Mas os ataques vindos de dentro das empresas e organizações também provocam grandes estragos, quer por falta de awareness dos colaboradores quer por outros incidentes de segurança, relacionados até com parceiros e clientes. O alerta é dado por Sérgio Martins, Associate Partner da EY.
Para o gestor, que abordou no Webmorning APDC o tema do "Estado de maturidade da Segurança da Informação", as conclusões podem ser retiradas do mais recente Global Information Security Survey (GISS) da EY, realizado ainda antes da pandemia, que revela ainda que entre os principais alvos dos atacantes estão os dados dos clientes, assim como dados financeiros, propriedade intelectual e dados dos colaboradores.
Com a pandemia, a aceleração do cibercrime está a ser ainda maior, com inúmeros alvos ligados ao COVID-19. Trata-se de uma tendência global, porque se vive "uma situação peculiar", onde as pessoas estão muito mais vulneráveis, tal como as organizações, muitas delas a trabalhar com serviços mínimos, que acabam por ser exploradas pelos atacantes.
ATENÇÃO REDOBRADA
Sérgio Martins antecipa que se deverão "numa segunda fase, começar a ver ataques de grupos hacktivistas a crescer exponencialmente", mas tudo dependerá da resposta das empresas em relação ao impacto económico que a pandemia terá. Aliás, está já a ser noticiado que poderá haver um ataque de grande dimensão no mercado nacional nas comemorações do 25 de abril. Por todos estes motivos, "temos de ter atenção redobrada. São tempos de muita dinâmica, em que a temática da cibersegurança nunca foi tão relevante para as organizações".
Está também a assistir-se a um incremento muito grande no risco associado ao teletrabalho, uma vez que os colaboradores podem não ter awareness, estar descontentes, usar equipamentos pessoais no acesso remoto ou protelar as atualizações de segurança. "A parte das pessoas continua a ser o elo mais fraco. Investe-se muito em tecnologias e processos, mas a componente das pessoas continua a ter de ser trabalhada", diz o responsável da EY, salientando que a adoção massiva do teletrabalho nas últimas semanas está a criar enormes pressões sobre as equipas de IT e novos desafios, nomeadamente porque muitas das organizações não estavam preparadas para um ambiente de trabalho remoto.
Por isso, recomenda que, para "mitigar os riscos de segurança no teletrabalho", terão se se "implementar soluções robustas, com colaboradores, clientes e fornecedores, que garantam que as ferramentas que necessitam para trabalhar estão disponíveis e em modo seguro". Mais: a cibersegurança "deve ser envolvida desde o início e não no fim. É preciso considerar a segurança um elemento chave nas organizações".
Carlos Cabreiro, Diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica da Polícia Judiciária, confirma que a realidade do cibercrime em Portugal tem evoluído substancialmente e, em alguns momentos, de forma exponencial. Salientando os vários tipos de crime informático e do crime que usa os meios informáticos, assim como as diferenciadas motivações, desde o gozo pessoal até ao lucro e às motivações políticas ou religiosas, destaca que apesar do "caminho sério que tem sido feito", o que estes tempos de exceção têm mostrado é "a ausência de uma cultura de segurança".
CULTURA DE SEGURANÇA PRECISA-SE
"De um momento para outro, quase toda a população está em teletrabalho e teve de se adaptar a uma realidade a que não estava habituada", diz, considerando que as preocupações com a segurança estão, no entanto, a motivar "um aumento exponencial de participações efetuadas de cibercrime à PJ". No último mês, estima-se ter-se registado um aumento da ordem dos 100% de criminalidade denunciada.
Entre as áreas que mais preocupam em termos de ataques, estão o phishing, uma realidade que cresceu exponencialmente, com campanhas direcionadas de ransomware e malware. Há uma incidência muito clara do phishing sobre dispositivos móveis, uma vez que são usados por toda a gente. Mas há também muitos ataques vocacionados e direcionados às empresas e organizações, sobretudo de ransomware, assim como o aproveitamento das vulnerabilidades nas VPN's. Perante esta realidade, o responsável da PJ destaca a necessidade de ações preventivas, como uma sólida política de backups, segmentação da arquitetura de rede ou atualizações permanentes.
O tema das boas práticas para a promoção de uma cultura de cibersegurança nas organizações foi abordado em detalhe pela coordenadora do departamento de Desenvolvimento e Inovação do Centro Nacional de Cibersegurança. Isabel Batista não tem dúvidas de que, "num contexto de teletrabalho, existe um quadro de ameaças muito específico. Os colaboradores são muitas vezes os principais responsáveis pelos ciberataques à sua organização", realidade que resulta frequentemente apenas da falta de cuidado, muito mais do que de intenções maliciosas.
Por esta razão, "é no elemento humano que devemos colocar o principal foco da organização. Por mais que estejam apetrechadas das melhores infraestruturas técnicas e da melhor proteção, basta um simples erro humano para colocar tudo em causa", potenciando situações de ciberespionagem, fraude e outras ameaças.
As organizações terão, por isso, que preparar os seus colaboradores para o contexto de teletrabalho, dando-lhes formação, dispositivos individuais com os recursos necessários, definir bem os responsáveis TIC que vão fazer a monitorização, quem é o interlocutor na organização e manter redes de comunicação ativas. Fazer backups regulares e investir em cibersegurança, nomeadamente numa equipa de resposta a incidentes, serão outras medidas a tomar.
PREVENIR E IDENTIFICAR, CORRIGIR E RESPONDER
Por sua vez, os colaboradores terão de adotar comportamentos mais seguros, nomeadamente utilizar de preferência dispositivos autorizados pela organização e ser sempre os únicos a utilizá-los, usar apenas pens USB confiáveis, ativar o bloqueio automático dos dispositivos com passwords fortes; e utilizar filtros no ecrã dos portáteis. Há ainda cuidados a ter nos sistemas e nos dados, assim como na navegação.
Ainda assim, a segurança online não é perfeita nem se consegue assegurar a 100%. Quem o garante é André Baptista, especialista em segurança informática, que foi considerado em 2018 o melhor hacker do mundo. O último orador deste primeiro Webmorning da APDC não tem dúvidas de que "o futuro é imprevisível neste momento. Estamos numa fase de transição e a segurança poderá resultar em implicações muito mais profundas nesta nova era do que imaginamos. Cabe-nos a todos colaborar e proteger as empresas e organizações, pessoas, clientes, parceiros e até nações na sua existência na dimensão digital".
A pandemia e o isolamento social consequente, que levaram a uma utilização massiva do digital por todas as pessoas, tem vindo a potenciar, segundo este perito, um aumento de relevância do hakctivismo, mas também dos hackers maliciosos e dos jovens curiosos, que estão a explorar a sua criatividade tecnológica. Empresas e pessoas estão a ser atacadas de todas as formas, pelo que o trabalho dos hackers ‘bons' assume uma relevância crescente.
Para André Baptista, "o que está a ser implementado por grandes empresas a nível internacional é a recompensa aos hackers" e esta aposta terá de ser alargada. "Uma vulnerabilidade é algo de precioso e se for crítica, que pode destruir o negócio. Devemos olhar para ela de modo sério e ter especial cuidado para a corrigir o mais rápido possível", diz, deixando claro que é preciso "prevenir e identificar, corrigir e responder".
