Cibersegurança (ainda à) conquista de um papel principal nas empresas em Portugal

«É importante que os gestores de empresas passem a considerar a cibersegurança e a gestão do risco como prioridades de gestão – a digitalização não traz apenas oportunidades mas também ameaças que deverão ser consideradas». A frase consta de um relatório do Gabinete de Estratégia e Estudos do Ministério da Economia, onde se reconhece que as empresas portuguesas têm um longo caminho a percorrer no domínio da cibersegurança e se aconselha que adotem estratégias claras nesta matéria, que incluam planos de resolução de crises e a comunicação externa ágil destes eventos. 

O documento, que resulta da análise de vários estudos sobre o tema, conclui que uma parte significativa das empresas já implementaram formalmente políticas de segurança nas TIC e de gestão dos riscos de privacidade digital, mas também sublinha que isso não tem evitado que o nível de incidentes de segurança se mantenha em alta. 

«Da parte das empresas ainda não se verifica uma aposta forte na cibersegurança, provavelmente por não considerar esta uma área prioritária», refere o mesmo relatório, atribuindo o facto à predominância de PMEs no mercado português, mais limitadas em termos de recursos financeiros. 

Portugal foi o 2º país com mais vítimas de ataques de phishing em 2018

Os sinais de preocupação estão quantificados. A União Internacional das Telecomunicações coloca Portugal na 25ª posição, entre os 28 da UE, na última edição do seu Global Cybersecurity Index. Na tabela global dos 193 países analisados, Portugal é 42º.

O índice da ITU avalia o nível de compromisso dos países com a cibersegurança, em cinco áreas distintas: legal, técnica, organizacional, desenvolvimento de capacidade e cooperação. Portugal obteve uma pontuação global de 0,758 e integra o grupo de países com um nível elevado de compromisso em relação ao tema, ainda assim nos últimos lugares da UE.  

Leia também: Cibersegurança: Evolução é real mas o caminho ainda é longo

Este estudo da ITU, no entanto, não avalia a capacidade efetiva de resposta a ciberataques, mas combinado com outros dados, deixa preocupações. Segundo o Website Builder Expert, Portugal é o oitavo país da União Europeia mais vulnerável ao cibercrime e o terceiro com mais vítimas de ciberataques, que já terão atingido cerca de 15% da população. 

As conclusões da Kaspersky pintam um cenário ainda mais preocupante, posicionando Portugal como o 2º país do mundo (22,63%) com mais vítimas de ataques de phishing, em 2018. Em 2017 tinha sido 7º. Pelas contas da empresa russa, ao longo do ano passado as empresas portuguesas terão sido alvo de 120 milhões de tentativas de ataques.

A fabricante divulgou recentemente informação sobre o 2º trimestre de 2019 e Portugal surge agora como o 5º país mais atacado pelo phishing. No final do ano, as contas voltam a ser feitas.  

O desafio das Ameaças Persistentes Avançadas 

Com diferentes nuances, os números mostram que Portugal não fica bem na fotografia. Mas os desafios da cibersegurança são globais e uma batalha que, de um modo geral, se revela difícil de ganhar. O World Economic Forum estima que em 2020 o cibercrime se traduza em perdas de 3 biliões de dólares para a economia global e vai mais longe: 74% dos negócios a nível mundial podem esperar um ataque durante o próximo ano. 

Leia também: A estratégia de cibersegurança da sua empresa está no rumo certo?

A explicar este impacto estão velhas e novas ameaças, desde o já referido phishing, a ransomware como o Wannacry, passando por novos problemas, cada vez mais complexos. Um bom exemplo disso mesmo são as Ameaças Persistentes Avançadas (APT na sigla em inglês) que, como sublinha Vladan Stojkovic «trouxeram preocupação constante (ou persistente)  com a segurança de informação para as organizações».

O «APT é um ataque à rede, que permanece indetetável por longos períodos de tempo. O objetivo não é apenas entrar, causar danos ou roubar e sair, mas fornecer acesso contínuo», explica o especialista em criptografia e testes à segurança das redes informáticas. Para alcançar o objetivo o invasor modifica constantemente o código e aplica técnicas sofisticadas de evasão.

«A palavra chave no APT é persistente. Os atacantes vão continuar tentando até conseguir. O ataque é ininterrupto, não desaparece, o que significa que as medidas defensivas devem ser 24 horas por dia, 7 dias por semana, 365 dias por semana», acrescenta Vladan Stojkovic.

É o tipo de ameaça que se um dia a empresa consegue defender com sucesso, não significa que resolveu definitivamente o assunto e é essa natureza persistente que a leva a causar tantos danos. 

Leia também: O que é preciso para ser um bom CISO? 

«Muitas organizações impedirão as primeiras tentativas e defenderão adequadamente sua organização por várias semanas. No entanto, assim que uma organização baixa a guarda, o atacante tira vantagem disso e quebra-a», admite Stojkovic. Para quem está de um e de outro lado da barricada há grandes diferenças: os atacantes precisam apenas de encontrar uma vulnerabilidade para vencer; as potenciais vítimas têm de encontrar e corrigir todas as vulnerabilidades que possam vir a ser usadas para se manterem a salvo.

«Enquanto os hackers industriais geralmente escolhem um método de ataque e apontam para vários alvos, os APTs usam um após o outro vários tipos de ataques contra um alvo até encontrarem uma fraqueza na defesa. Alguns ataques APT são tão complexos que exigem muito tempo de administração», reconhece Vladan Stojkovic.

É inevitável pensar em ameaças como as APT sem pensar no efeito destruidor que podem causar a empresas em todo o mundo, fazendo parar negócios e gerando sérios danos reputacionais. Olhando para o ano passado, a Accenture apurou que os ataques informáticos custaram às empresas afetadas em 2018, em média, 2,6 milhões de dólares, mais 12% que um ano antes. O valor inclui perdas pela paragem do negócio, custos com a contração de recursos externos para mitigar o problema, entre outros, e com ameaças cada vez mais complexas não tende a contrair. 

Portugal em alerta 

Os gestores em Portugal estarão cada vez mais alerta para o tema da cibersegurança e para todos os desafios que daí decorrem, confirmam várias auscultações ao mercado, mas continua a ser difícil perceber o real impacto desta maior consciencialização. 

O Marsh Microsoft Global Cyber Risk Perception Survey, divulgado já este ano, mostra que quatro em cada cinco empresas em Portugal colocam agora as questões da cibersegurança e os riscos inerentes no Top 5 das suas preocupações. Por outro lado, revela que os conselhos de administração / liderança executiva das empresas não dedicou mais do que algumas horas, que somadas fazem menos de um dia, ao tema da cibersegurança ao longo de 2018. Ainda assim, o tema tem ganho destaque, até “empurrado” pela crescente popularidade de certificações como a ISO 27001, que cada vez mais empresas percebem a importância de adotar e outras exigências legais.

Leia também: Pós-graduação em cibersegurança da Europeia aposta em várias frentes 

Como explica Orlando Fontan, lead auditor da norma e membro da comissão de tradução e adaptação para a legislação portuguesa, a ISO 27001 é um padrão e uma referência internacional para a gestão da segurança da informação, que está para a segurança TI como a ISO 9001 está para a qualidade, ou a ISO 14001 está para o ambiente.

«Uma organização que se certifica pela ISO 27001 apresenta-se no mercado como possuidora dos controles mínimos necessário para lidar com a segurança da sua informação, assim como da dos seus clientes, fornecedores, colaboradores e de todos que de alguma forma se relacionam com a organização, tudo garantido por auditorias internas e externas», acrescenta o responsável.

Certificação acelera boas práticas

Concordando que não é fácil medir o exato valor desta certificação para cada empresa, Orlando Fontan admite, no entanto, que as empresas que decidiram passar por este processo acabaram por conseguir responder com maior assertividade – até por já se terem  organizado para uma gestão por processos – a novos desafios normativos, como o RGPD. 

O Regulamento Geral da Proteção de Dados, numa perspetiva mais geral, e um conjunto de regulamentos sectorais, de forma mais particular, têm dado os seus contributos para acelerar mudanças relacionadas com o tema da cibersegurança, que de outra forma seriam provavelmente mais demoradas. 

É uma boa notícia no meio de outras menos boas, que prometem continuar a moldar o tema no futuro e a forma como é endereçado pelas empresas onde, de um modo geral, continua a faltar formação, alinhamento com a estratégia de negócio, boa avaliação de riscos e orçamento, para fazer da cibersegurança um ator com papel principal.  

---