Empresas portuguesas enfrentam ciberrisco

Mais empresas atacadas a cada dia que passa, maiores consequências para o negócio e chatices mais (ou menos) evidentes para os clientes. O negócio sofre, mas as perdas podem ir muito além das perdas económicas. De que forma podemos então colmatar esta situação e garantir que a segurança começa a fazer parte efetiva do dia a dia das empresas nacionais? A resposta pode estar no trabalho desenvolvido pelo Centro Nacional de Cibersegurança, que, conforme refere Pedro Machado, Data Protection Officer do Grupo Ageas Portugal, "é o grande regulador neste campo".

 

De qualquer forma, Pedro Machado recorda que os "ciberataques não são coisa recente", o que acontece é que "há um aumento da consciência neste campo". E deixa alguns exemplos, no mínimo, surpreendentes para quem possa estar menos atento: "Um dado de saúde vale cinco vezes mais na ‘dark web’ do que o de um cartão de crédito. E se este último é vendido a cinco dólares, a informação de saúde vale 25 dólares."

 

O responsável do Grupo Ageas Portugal não deixa de referir que Portugal deu passos positivos desde muito cedo "e em 1991 foi dos primeiros países europeus a ter uma lei de proteção de dados". Porém, depois, algo ficou pelo caminho. Nesse sentido, a aposta deveria ser feita de base: "A educação nas escolas é importante ao mesmo tempo que se deve apostar também no aumento da literacia digital."

 

Vasco Amaral, presidente do Colégio Nacional de Engenharia Informática da Ordem dos Engenheiros, alinha pelo mesmo diapasão: "O aspeto da formação desde cedo é crítico, pelo que devia ser criada uma nova disciplina nas escolas a par da Matemática ou do Português."

 

Todavia, outras são também as preocupações apontadas como "o fosso ainda grande entre a academia e as necessidades empresariais" realidade que muito se deve à "falta de ciclo retroativo e de reciprocidade entre ambas".

 

Um exemplo nos media

Ana Dias, CFO e CTO da Cofina, juntou-se à conversa para deixar o exemplo de uma organização que, não há muito tempo, passou por um ataque neste campo. "Depois da experiência que tivemos, aprendemos a voltar um pouco atrás e a não depender tanto do papel" para prosseguir com o trabalho, segundo refere. Mas outras foram também as lições tiradas e que permitiram à Cofina pôr em prática uma forte estratégia de cibersegurança.

Um exemplo nos media

 

Ana Dias fala de um caminho que tinha começado a ser feito antes mesmo do ataque, mas que viu o trabalho reforçado no pós: "Atualmente foi feita uma avaliação da reação das pessoas a um ataque simulado, feita a formação adequada e novamente avaliada a reação das pessoas."

 

No momento, "o nível de satisfação com as medidas implementadas é enorme", diz ainda. A verdade é que a pandemia "colocou em cima da mesa, fragilidades que antes não existiam como a abertura das VPN para facilitar o trabalho remoto". E Ana Dias deixa uma ideia no ar: "Deveria ser obrigatório fazer formação em cibersegurança, como se faz em segurança e higiene no trabalho, por exemplo."

 

Pedro Machado vai mais longe e fala mesmo em "conceitos de gamificação, que envolvem e cativam mais as pessoas".

 

Pedro Ribeiro, CEO da Agile Information Security, considera que "embora a segurança comece no utilizador" a verdade é que só isso "não vai fazer a diferença" já que se torna essencial contar com a "implementação de soluções que permitam atuar em tempo útil, no caso de um ataque".

 

Nesse sentido, a auditoria em segurança poderá ser uma das opções a considerar, "feita por uma empresa externa que simule ataques e verifique o grau de eficiência de toda a rede empresarial". A empresa de Pedro Ribeiro trabalha nesse campo, com um foco em segurança ofensiva.

 

"Fazemos simulações de hacking, conhecidas em inglês como ‘penetration tests’, a todo o tipo de software e hardware, tal como telemóveis, servidores, equipamento empresarial de rede, aplicações mobile, páginas web", disse.

 

Entre os principais problemas encontrados contam-se "categorias de falhas que se manifestam de maneira ligeiramente diferente dependendo do nosso ‘alvo’ para a simulação de hacking". Assim sendo, a primeira categoria de problemas "advém do código que corre em o ‘alvo’ confiar demais nos dados que recebe do utilizador". A segunda categoria, "mais frequente, tem a ver com a maneira como dados ‘confidenciais’ são manipulados e guardados" e a terceira "tem a ver com problemas de controlo de acesso a recursos informáticos". Pedro Machado recorda que, no Grupo Ageas Portugal, "a educação em cibersegurança é constante e obrigatória", assim como acontece também na Cofina.