Dois terços das instituições da UE 'chumbam' em cibersegurança

Apesar dos esforços da Comissão Europeia para reforçar a cibersegurança na União Europeia, a maioria das instituições, organismos e agências da UE continua vulnerável a ciberataques, segundo dados recentes do Índice Digital de Negócios.

Em 2022, o Tribunal de Contas Europeu já havia alertado para a falta de preparação das instituições da UE em matéria de cibersegurança. O relatório especial publicado na altura instou a Comissão a reforçar as medidas de proteção e a aumentar o financiamento para o setor. No entanto, os dados mais recentes demonstram que persistem falhas críticas, mesmo após a introdução de novas iniciativas e legislação por parte da Comissão.

De acordo com a análise mais recente do Índice, 67% das organizações da UE avaliadas obtiveram as notas D ou F, consideradas as mais baixas na escala de avaliação. Nenhuma das instituições recebeu classificação A ou B, sinónimo de boas práticas de segurança. Apesar de gerir alguns dos dados políticos, económicos e de cidadãos mais sensíveis da Europa, quase todas as instituições enfrentam grandes ameaças à cibersegurança.

Todas as instituições avaliadas sofreram violações de dados, sendo que 85% dos funcionários das entidades com classificação F reutilizaram palavras-passe previamente comprometidas. Entre as instituições classificadas com D, 71% dos colaboradores cometeram o mesmo erro. Em contraste, nas organizações com classificação C, apenas 8% dos funcionários reutilizaram credenciais já expostas.

A reutilização de palavras-passe após uma violação representa uma vulnerabilidade crítica, um problema persistente, mas evitável, que revela uma falta de sensibilização e formação em ciberhigiene básica.

O relatório destaca também problemas técnicos sérios: 100% das instituições com classificação F e C e 92% das com classificação D apresentavam falhas nas configurações de SSL/TLS, deixando os seus sistemas expostos a ataques man-in-the-middle e comprometendo a segurança das comunicações digitais.

Além disso, 92% das entidades com classificação D e F utilizavam ambientes de alojamento inseguros, um problema que também afetava todas as instituições com classificação C. A análise identificou ainda vulnerabilidades de falsificação de e-mails em 100% das instituições com classificação C e em 96% das com classificação D e F, uma porta aberta para ataques de phishing e falsificação de identidade.

Entre os 75 organismos governamentais analisados, 33% receberam nota C (segurança abaixo da média), 32% nota D (alto risco) e 35% nota F (risco crítico). A pontuação média entre as instituições da UE foi de 71 em 100, o que, segundo a metodologia do índice, posiciona as entidades na categoria de alto risco.

As consequências destas falhas são tangíveis: 96% das instituições com classificação F e 92% das com classificação D sofreram pelo menos uma violação de dados, em comparação com apenas 36% das instituições com classificação C. Destaca-se ainda que 46% das organizações com classificação F enfrentaram uma violação recente.

Além disso, credenciais expostas foram identificadas em 96% das instituições F, 83% das D, e apenas 12% das com classificação C, evidenciando a relação direta entre más práticas e exposição a riscos.