Estado da Nação na cibersegurança

De acordo com a 4.ª edição do Relatório de Riscos & Conflitos, referente a 2022, o número de incidentes continuou a aumentar em 2022, com um aumento na sofisticação de alguns incidentes. Notou-se também o aumento de crimes registados pelas autoridades relativamente à Lei do Cibercrime, o que indicia, felizmente, que as empresas começam a participar mais às autoridades este tipo de incidentes.

Ainda de acordo com o mesmo relatório, as ameaças mais relevantes foram o ransomware, a cibersabotagem, o phishing ou o comprometimento de contas.

Em 2022, todos acompanhámos alguns exemplos muito visíveis destes ataques, desde o ataque diruptivo ao grupo Impresa, Vodafone e Laboratórios Germano de Sousa entre Janeiro e Fevereiro, até à intrusão na Segurança Social em Novembro, alguns dos quais ainda não totalmente recuperados.

Este Relatório refere ainda que as vítimas de incidentes de Cibersegurança mais relevantes foram os setores da Banca, sobretudo os seus clientes.

Todas estas informações nos mostram que a cibercriminalidade veio para ficar e que cada vez mais tem maior predominância no dia-a-dia, quer nas empresas quer nos cidadãos. Para os cidadãos, conhecemos alguns esquemas de fraude que foram amplamente explorados, como o Olá Pai e Olá Mãe e para os quais houve, infelizmente, muitas vítimas. Algumas dessas vítimas até conheciam já o esquema e só se lembraram de confirmar com os filhos depois de serem burlados. Isto mostra a cada vez maior necessidade de formação em cyber higiene para toda a população, algo que as gerações mais novas já fazem quase sem pensar. Apesar do meritório esforço que o Centro Nacional de Ciber Segurança tem feito no sentido de sensibilizar e formar os cidadãos, é necessário o reforço desse trabalho para que a sociedade se torne mais resiliente.

Na componente empresarial, aquilo que se nota muitas vezes é que o mediatismo destes casos leva a uma notoriedade momentânea, em que as equipas de gestão levantam internamente o tema, questionam as equipas técnicas (algumas vezes nem têm equipas de segurança da informação e portanto direcionam para as equipas tecnológicas), perguntam se estão ou não salvaguardadas, pedem planos de ação, orçamentos e calendários e depois, com o esbatimento mediático e com os custos envolvidos, optam por deixar passar a oportunidade e confiar na sorte que este tipo de ataques só acontece aos outros.

Esta postura é mais difícil de mudar. Apesar dos esforços feitos, quer no plano nacional, quer no plano europeu, com a criação de legislação específica para a Cibersegurança (Diretiva NIS, Lei de Segurança do Ciberespaço, Diretiva NIS2, etc.) que tenta responsabilizar as entidades a criarem mecanismos de segurança concretos, continua a ser difícil obter essa segurança transversal, particularmente num país como o nosso, em que muitas das empresas são de reduzida dimensão, e têm dificuldade em justificar os custos envolvidos, apesar de fornecerem serviços para empresas maiores. As empresas maiores, por seu lado, apesar de já terem investido na segurança e terem implementado internamente toda a capacidade, dependem para alguns serviços desses fornecedores de pequena dimensão e, apesar de pedirem o preenchimento de formulários e declarações de segurança, sabem que muitas vezes não passam de declarações de intenções. No extremo oposto, os fornecedores internacionais de grande dimensão não dão grande margem de manobra aos clientes para definirem requisitos específicos de segurança e conformidade, sendo necessário a adaptação do lado do cliente.

A agudizar este problema temos também uma escassez de profissionais qualificados na área da ciber segurança que limitam muito a capacidade das empresas de melhorarem neste aspeto.

O Centro Nacional de Ciber Segurança tem vindo a promover cursos, desde o ensino online até à C-Academy que tenta, em conjunto com instituições de ensino superior, disponibilizar formação avançada em Cibersegurança e o setor privado tem tentado colmatar estas lacunas para as pequenas e médias empresas, fornecendo várias componentes de segurança “as a Service” para que seja possível às empresas terem o serviço sem terem o custo inicial de montar toda uma estrutura.

Dada a crescente criticidade que a segurança da informação tem no destino das empresas, na capacidade de operarem e na definição estratégica das mesmas, torna-se cada vez mais necessário que o tema da Cibersegurança passe a ser encarado nas escolas de gestão como um pilar fundamental na condução dos destinos de uma qualquer organização, qualquer que seja o seu setor de atividade. Inversamente, é necessário também que os profissionais de Cibersegurança tenham consciência que o seu envolvimento nas empresas deve alinhar com a gestão e participar na estratégia da própria organização.

Estamos a vivenciar com a segurança da informação o fenómeno que ocorreu com a tecnologia no final do século passado. A tecnologia era vista como uma área de custos, liderada por tecnólogos e que estava muitas vezes numa segunda ou terceira linha, com reporte ao responsável financeiro. O que interessava nesse formato era controlar os custos que essas áreas representavam. Com a incorporação da tecnologia, a área tecnológica foi ganhando importância, passando a responder diretamente à gestão executiva e, mais tarde, passando a integrar a própria gestão executiva. Passámos do “informático” para o “Diretor de Informática” para o “Chief Information Officer” ou “Chief Technology Officer”. Na segurança da informação vamos ter de seguir a mesma evolução, a um ritmo, como em tudo atualmente, mais acelerado ainda. Vamos deixar de ter o “técnico que trata da segurança” para o “Diretor de Segurança da Informação” para o “Chief Information Security Officer”. De notar que, apesar do nome ser atualmente utilizado, na prática, há poucos CISO nos órgão de gestão, funcionando como diretores ou assessores.