Estará Portugal preparado para os ciberataques?
O tema não podia estar mais na ordem do dia: os ciberataques sofridos pelas empresas portuguesas têm vindo em crescendo e os impactos são visíveis. O cenário traz novamente para o espaço público o tema da cibersegurança, fomentando a discussão em torno dos riscos que podem estar mais próximo do que pensamos.
A Ageas Seguros trouxe a palco a conferência "Cyber Risk e os impactos na proteção da sociedade". Organizada em parceria com a Ordem dos Economistas e com a Ordem dos Engenheiros, o objetivo desta quarta edição foi falar sobre os desafios e oportunidades desta realidade, na qual os efeitos da pandemia ainda estão presentes e em que estão onde surgem novas preocupações e novos riscos (muitos deles cibernéticos). Moderado pelo jornalista Camilo Lourenço, o debate juntou, num primeiro momento, um conjunto de convidados de diferentes áreas para perceber se, afinal de contas, o país está mesmo preparado para enfrentar os desafios do ciberrisco?
Preparação é chave"Prevenir" é a palavra-chave numa altura em que cresce o risco de ataque a cada dia que passa. Lino Santos, coordenador do Centro Nacional de Cibersegurança (CNCS), acredita que "ninguém está verdadeiramente preparado para o ciberrisco". Prova disso são os números que apresentou: "Entre 2020 e 2021, o número de incidentes cresceu 30% em Portugal." De resto, os valores "para 2022 mantêm essa tendência"; disse ainda. Lino Santos acredita ser essencial trabalhar mais nesta área, nomeadamente ao nível da prevenção, "para que quando algo aconteça, estejamos preparados".
Para o aumento dos ciberataques, vários fatores podem ter contribuído, como "a densidade digital, que não só aumentou como foi reforçada com a pandemia, criando uma maior superfície de ataque". O responsável do CNCS lembra ainda o facto de "as capacidades dos atacantes e agentes de ameaças terem não só aumentado como melhorado consideravelmente".
Por outro lado, Lino Santos sublinha que faltam "capacidade e talento, provocados por um défice de recursos humanos" que tornam o país e as empresas portuguesas "um alvo mais fácil de ataques". A verdade é que "53% dos ataques em Portugal exploram o fator humano" pelo que "a aposta das empresas na formação dos seus quadros deverá ser essencial".
Formar, formar, formarDe resto, a falta de formação adequada preocupa também Pedro António, membro da Comissão Executiva do Grupo Ageas Portugal, para quem este "é um dos fatores que mais ataques trazem, embora a maior exposição ao exterior deva também ser considerada". Pedro António fala na falta de "skills e competências", sendo que a Ageas Seguros e o Grupo Ageas Portugal contam hoje "com um grupo de focus nesse campo". Pedro António considera uma "utopia pensar que estamos 100% seguros" contra ataques. Esta é uma corrida contra o tempo "e estes últimos meses foram uma forte chamada de atenção às organizações".
Ainda assim, os nomes de entidades atacadas sucedem-se, não escapando nem mesmo os grandes grupos hoteleiros. Cristina Siza Vieira, CEO e VP executiva da Associação da Hotelaria em Portugal, recorda que houve grupos hoteleiros atacados "tendo perdido muitos milhões de euros com a situação". Mas outras empresas se juntaram, "como a TAP ou mesmo a Uber". Algo preocupante quando se sabe que "70% das vendas do Grupo Pestana, há uns meses, eram feitas em canais online". O cliente partilha com o hotel "um conjunto de dados pessoais desde bancários a outros, incluindo médicos, como alergias a alimentos, por exemplo". O que torna estes dados "muito apetecíveis".
Para lá da tecnologiaMais do que uma questão de tecnologia pura, os ciberataques devem ser vistos como "um problema de gestão", refere Luís Sequeira, membro da Assembleia Representativa da Ordem dos Economistas. E estará o país preparado para o enfrentar? "Penso que não", até porque "o que vem a público é apenas a ponta de um icebergue muito maior de outros tantos casos a acontecer", diz ainda.
Neste campo, "Portugal não está sozinho, porque a União Europeia tem o mesmo tipo de problemas entre mãos". Um problema para o qual muitos "ainda nem sequer acordaram", conforme refere Fernando de Almeida Santos, bastonário da Ordem dos Engenheiros. A capacitação digital por si só "não chega" sendo também necessário "assacar responsabilidades e ir mais fundo nesta questão". Nesse sentido, o bastonário deixa algumas medidas em andamento na Ordem, como estudar e assegurar um elevado perfil de qualificação dos responsáveis em cibersegurança e a criação de uma a especialização em cibersegurança.
O problema da covid-19A pandemia trouxe preocupações acrescidas no âmbito da saúde e em outras áreas, como a cibersegurança. Pedro António diz que, por um lado, tivemos "a noção de estar mais expostos digitalmente, embora, em alguns casos, com uma consciência ténue apenas". Mas quando o perigo começa a surgir mais perto, "a preocupação aumenta".
Lino Santos fala mesmo na necessidade de se quebrarem mitos neste campo. Ideias como "acontece apenas aos outros" ou "a cibersegurança é uma questão meramente técnica" deixaram de fazer sentido. Diz o coordenador da CNCS que se está a falar "de um risco de e para o negócio" sendo que "os processos de transformação nas organizações implicam, desde logo, riscos acrescidos". O CNCS conta com um conjunto de referenciais que "permitem às organizações estarem atentas a estas questões". De resto, Lino Santos recorda que "ter o quadro referencial aplicado é obrigatório para as empresas que fornecem serviços essenciais à comunidade como água, luz ou gás, por exemplo".