O outro lado da bancada de um ciberataque

O ciberespaço é um território que coloca desafios crescentes à escala global a cidadãos e organizações. A democratização da Internet desbravou território para novas formas de crime altamente rentáveis e o anonimato dificulta a atuação das autoridades responsáveis pela perseguição criminal. Numa reunião recente do G7, falou-se de cibercrime e terrorismo na mesma frase, e se o tema já não é desconhecido da população, o plano de ação após um ataque poderá, ainda, ser incerto e a legislação, inexplorada. Contudo, reveste-se de elevada urgência a presença de uma resposta jurídica e tecnológica às ameaças, progressivamente mais complexas.

A Lei & Ordem dos ciberataques

A crescente preocupação por parte dos Estados com a segurança no ciberespaço é transposta na elaboração de estratégias nacionais e internacionais de segurança e de gabinetes especializados na matéria, como a Convenção do Conselho da Europa sobre Cibercrime. Já lá vão vinte anos desde que a União Europeia elaborou o Tratado da Convenção de Budapeste sobre o Cibercrime, que visa condutas como a interferência de dados e de sistemas, o uso indevido de dispositivos ou a falsificação e fraude informática.

“A legislação nesta área tem origem internacional, pelo que a situação das organizações localizadas em Portugal têm direitos e mecanismos de reação equivalentes aos dos restantes países na União Europeia”, reitera Daniel Reis, Sócio da DLA Piper. A aplicar a Convenção de Budapeste, no caso português, foi promulgada a 15 de setembro de 2009, na chamada Lei do Cibercrime. Da mesma forma, a publicação da Resolução do Conselho de Ministros n.º 92/2019 aprovou a Estratégia Nacional de Segurança do Ciberespaço 2019-2023, assente em três objetivos estratégicos – maximizar a resiliência, promover a inovação e garantir recursos. A estratégia traduz-se em seis eixos de intervenção – a estrutura de segurança do ciberespaço; prevenção, educação e sensibilização; proteção do ciberespaço e das infraestruturas; resposta às ameaças e combate ao cibercrime; investigação, desenvolvimento e inovação e, por fim, a cooperação nacional e internacional.

Martim Bouza Serrano, Sócio e Coordenador do Departamento de Tecnologias Media & Telecomunicações (TMT) da CCA, afirma que “os principais entraves à criminalização da chamada cibercriminalidade não decorrem, na sua grande maioria, da falta de legislação, mas antes da manifesta carência de meios e recursos de quem tem a função de investigar e decidir eventuais casos de cibercriminalidade”, pelo que “qualquer comportamento, mesmo que legalmente previsto como criminal, não será sancionado se não forem disponibilizados os meios necessários para a sua investigação”. Todavia, é determinante conseguir “detetar, investigar e sancionar, em tempo útil, atos de cibercriminalidade”.

Já o Sócio da DLA Piper afirma que, “não sendo perfeito, o regime legal em vigor é adequado para enfrentar os desafios relacionados com cibersegurança” e as principais dificuldades dizem respeito à “permanente e acelerada evolução tecnológica”. É de notar que, segundo o Coordenador do Departamento de TMT, “a cibercriminalidade não acolhe apenas crimes expressamente tipificados como ‘ciber’, mas também crimes ‘comuns’ que passaram a praticar- se em ambiente digital”. Sobretudo com o advento da pandemia da COVID-19, que potenciou a cibercriminalidade, tem sido amplamente discutida a necessidade de enquadrar na legislação portuguesa crimes como o hacking, ransomware, DDoS, malware ou phishing, gradualmente mais sofisticados e poderosos.

How to: o plano de ação

Na eventualidade de um ciberataque, o papel do lado legal “envolve articular as diferentes equipas do cliente (segurança, IT, administração), consultores externos (investigação forense, comunicação e reputação) e as autoridades (CNCS, CNPD e PJ)”, explica Daniel Reis. Como parte integrante da Polícia Judiciária, a Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica, enquanto unidade operacional especializada, deteta, previne, investiga e reprime o cibercrime. O Sócio da DLA Piper considera que, numa primeira instância, a organização deverá entrar em contacto com a unidade, mas a reposta complica- -se no que concerne a prevenção, que implica integrar a segurança nos modelos de negócio.

Numa perspetiva preventiva e adaptada à realidade portuguesa, do Centro Nacional de Cibersegurança (CNCS, conta o Sócio da CCA, “ajuda as organizações no cumprimento dos requisitos mínimos de segurança das redes e sistemas de informação”, respondendo “à necessidade de implementar medidas de Identificação, Proteção, Deteção, Resposta e Recuperação”. Martim Bouza Serrano acrescenta que, num ponto de vista de solução, as organizações podem, por outro lado, denunciar a situação ao Ministério Público.

A nível interno, a organização deve começar por trabalhar para perceber a origem do ataque, “quais os sistemas afetados e as consequências”, explica Martim Bouza Serrano, e deve comunicar – “e em alguns casos, as empresas estão legalmente obrigadas – o ataque ao CNCS, que deverá analisar o incidente, “colaborando com as entidades nacionais e internacionais envolvidas”.

Caso a empresa visada lide com dados sensíveis e de clientes finais, deve haver uma “especial atenção para apurar se estes dados foram afetados”, percebendo se a sua utilização representa um “risco para os direitos e liberdades das pessoas”, elucida o Sócio da CCA. Nesse caso, a organização dever entrar em contacto com a Comissão Nacional de Proteção de Dados “o mais rapidamente possível, e nunca mais de 72h após tomar conhecimento da violação. Para além disso, e em casos mais gravosos, pode ainda existir a obrigação de informar os clientes e fornecedores e, caso assim se justifique, titular dos dados”, completa. Adicionalmente, após um incidente também a reputação e imagem da marca é colocada em causa, pelo que é essencial o delineamento de uma estratégia de comunicação adequada.

Seguro contra incidentes

As organizações têm vindo a integrar seguros enquanto parte significativa das estratégias contra ciberataques – “uma forma de transferência de risco da organização para terceiros, assegurando que teremos proteção para o impacto de sinistros”, relata Ricardo Negrão, Head of Cyber Risk na Aon Portugal. Mesmo apostando na prevenção do impacto, “todos sabemos que os acidentes continuam a acontecer e são inevitáveis” e, tal como um seguro automóvel, vão existir incidentes de segurança que vão originar impacto. Nesse contexto, há que considerar a categoria reputacional, financeira, regulatória e clientes, que, habitualmente, um cibercrime engloba ao mesmo tempo.

É de realçar que, atualmente, as seguradoras são mais seletivas e exigem informações mais detalhadas sobre o nível de maturidade em cibersegurança das organizações, através de padrões como o ISO27001. Enquanto requisitos para poder obter um seguro, é fundamental que as organizações sejam “cautelosamente aconselhadas por especialistas, tendo em consideração uma série de fatores para ajudar a tornar o processo tão eficiente quanto possível”.

Tendo em conta os custos devastadores de um ataque, a maioria das apólices de seguros cobrem os custos originados, incluindo custos de investigação do incidente, de recuperação dos dados e de restauração dos sistemas. “A transferência parcial do risco ciber através de uma apólice de seguro tem três razões principais: a manutenção da reputação comercial, a proteção financeira, e a contenção de crises”, refere Ricardo Negrão, como uma mais-valia para o processo de mitigação e recuperação.

Recuperação de desastres

Segundo algumas consultoras, perante um ataque de ransomware, a média de tempo de recuperação é 21 dias, mas o caminho deverá ser feito muito antes do incidente ocorrer, e não apenas após o ataque, através de um plano de disaster recovery, por exemplo. Eulalia Flo, Diretora Geral da Commvault para Portugal e Espanha, conta que, na empresa, acompanham os clientes “com recursos para prevenir ataques de malware”, ao longo do tempo.

Na Commvault definiram uma estratégia para proteger os dados da organização. Em primeiro lugar, confirmar que os “dados críticos podem resistir a um ataque direcionado e eliminar a complexidade com uma recuperação automática e orquestrada”. Num segundo plano, “garantir que os backups permanecem bloqueados”, para que não sejam modificados ou encriptados. Posteriormente, “reduzir a superfície de ataque através do bloqueio de todas as vulnerabilidades para que não se convertam em vetores de entrada” para outras ameaças, “controlar de maneira inteligente o acesso aos recursos informáticos através do cumprimento de políticas e da auditoria do seu uso”. Adicionalmente, “permanecer-se atualizado através de painéis de controlo fáceis de usar” e “adotar um plano de recuperação completo e permanente com etapas de recuperação documentadas, automatizadas e previsíveis”.

Para fazer frente às atuais ameaças, “as empresas devem investir proativamente em medidas de segurança preventiva”, clarifica Eulalia Flo, desenvolvendo uma “estratégia sólida de segurança e proteção de dados” que cumpra três requisitos fulcrais – “negar o acesso indesejado aos dados, manter a integridade dos dados e permitir uma recuperação rápida depois de um ataque mal-intencionado”.