Os primeiros meses de 2022 foram fartos em casos de ataques informáticos por todo o Mundo. Em Portugal, verificaram-se ataques maliciosos a grupos de comunicação social como a Impresa (dona do Expresso e da Sic) e a Cofina (Correio da Manhã e revista Sábado), a empresas de telecomunicações (Vodafone Portugal) e a um centro de medicina laboratorial. Pelo meio, ainda se falou num alegado acesso indevido ao site do Parlamento e, nos últimos dias de Fevereiro, o Ministério dos Negócios Estrangeiros também foi alvo de um ciberataque que terá afectado, por agora, o sistema de correio electrónico utilizado pelos funcionários e diplomatas portugueses. Recorde-se que o ataque disruptivo de que foi alvo a Vodafone causou a interrupção dos serviços da empresa, afectando mais de 4 milhões de clientes: televisão, voz, dados e internet móvel deixaram de funcionar abruptamente colocando em causa, por exemplo, os serviços de comunicação do INEM, de algumas corporações de bombeiros e inclusive de organismos vitais para a segurança do Estado.
As motivações para os ciberataques podem ser várias: dinheiro, ideologia, reputação/notoriedade, espionagem, sabotagem, subversão ou criminalidade organizada; sendo que se destacam quatro tipos de actores: os cibercriminosos, os piratas informáticos contratados, os piratas informáticos movidos por ideologia (hacktivists) e por último os actores patrocinados por Estados para, por exemplo, desestabilizar um Estado rival, influenciar as votações numa eleição, espionagem e obtenção de informações confidenciais ou outro objectivo estratégico.
Apesar das ameaças informáticas e dos ciberataques não constituírem um fenómeno novo, a pandemia SARS-CoV-2 acentuou estes fenómenos porquanto a acelerada transformação digital conduziu a que muitas organizações comprometessem as suas medidas de segurança para acomodar o teletrabalho e possibilitar que uma amálgama de recursos tecnológicos – das próprias organizações, de prestadores de serviços, e dispositivos pessoais de colaboradores – e humanos coexistissem e comunicassem entre si, abrindo portas aos piratas informáticos. Não é por isso surpreendente que os casos de ataques informáticos tenham disparado: o ransomware, aumentou 265% em Portugal, tendo atingido 881 ataques por semana a organizações, os ataques de phishing dirigidos a colaboradores aumentaram 70% durante a pandemia e registou-se um incremento considerável de ciberespionagem na busca por informações sobre tratamentos, no desenvolvimento de vacinas, bem como no rastreio de casos positivos por parte de actoressuportados por Estados, conforme reconhece a Agência Europeia para a Cibersegurança – ENISA – no relatório ThreatLandscape 2021.
Sejamos absolutamente claros: nenhuma organização, por mais pequena ou grande que seja, privada ou pública, é imune a eventos ou incidentes de segurança e, não se vislumbrando um abrandamento tecnológico no horizonte – a inteligência artificial, os carros autónomos e a Internet das Coisas (IoT) são já uma realidade -, nem uma contração dos ciberataques no futuro, podemos afirmar que desde o comum cidadão, a empresas e instituições passando pela administração pública e órgãos de soberania do Estado, estamos todos vulneráveis. Perante esta constatação, somos confrontados com o rude despertar de uma realidade desconhecida de muitos, que não se restringe ao roubo de dados, à sua captura ou destruição e que, pela sua gravidade, pode implicar perigos efectivos para o mundo real e vida humana.
Os ciberataques a infraestruturas e sectores críticos – energia, transportes, saúde, finanças, comunicações, distribuição, entre outros – são um dos maiores perigos da sociedade dos nossos dias e Portugal não é excepção.
Com o intuito de reduzir o risco associado a estas ameaças o Centro Nacional de Cibersegurança (CNCS) reuniu, em 2019, um compêndio com as melhores práticas em termos de cibersegurança para que decisores e técnicos as possam colocar em prática, nomeadamente através da identificação, protecção, detecção, resposta e recuperação de ciberameaças. O Quadro Nacional de Referência de Cibersegurança é um valioso contributo para a prevenção e mitigação de incidentes assim como na gestão do risco de muitas organizações privadas ou públicas. Contudo, receio que a sua adopção seja residual num país onde a ideia do pequeno retângulo periférico, à beira-mar plantado, está muito enraizada.
É por isso tempo da postura que encara estas questões de forma passiva, traduzida na expressão “casa roubada, trancas à porta”, ser substituída por uma atitude proactiva assente numa estratégia de cibersegurança em camadas, com planos e procedimentos de resposta a incidentes e de continuidade, cuja rapidez e eficiência, fazem toda a diferença, sem nunca esquecer a redundância de meios (em alguns casos) e de dados. Nas empresas, instituições e na Administração Pública, a aposta na formação contínua e na sensibilização de colaboradores para estas matérias não poderá ser descurada pois pessoas, programas e sistemas são essenciais. Paralelamente, a defesa dos sectores estratégicos e críticos para o funcionamento do país e essenciais para a vida dos cidadãos, deverá ser complementada com uma lógica de defesa ofensiva em que hackers éticos se dedicam a detectar, explorar e reportar vulnerabilidades tendo em vista a sua resolução antes da ocorrência de um ataque malicioso, já que os custos reais da inacção e negligência poderão ser catastróficos.
