Endpoint devices, a porta de entrada dos ciberataques

“Cibersecurity is a shared responsability” foi o mote para as iniciativas deste ano e o seu principal objetivo foi a sensibilização para a implementação de boas práticas na utilização do ciberespaço, não apenas por parte do cidadão comum, mas também nas empresas, que mereceram, e merecem, um enfoque especial no que respeita à segurança online, de modo a prevenir eventuais ameaças no ciberespaço. 

Os ciberataques a grandes instituições privadas e do setor do estado durante o primeiro semestre de 2022 fizeram abertura de telejornais e foram capa de jornal! Não nos surpreende.

A atividade de base de setores essenciais, como os transportes, a energia, a saúde e as finanças, tornou se cada vez mais dependente das tecnologias digitais. E, embora a digitalização traga consigo enormes oportunidades e forneça soluções para muitos dos desafios que enfrentamos, designadamente durante a crise de COVID-19, expõe também a economia e a sociedade a ciberameaças. Por isso mesmo, a cibersegurança é, e será sempre, um tema essencial ao desenvolvimento do mundo digital, pois proporciona aos cidadãos, à economia e aos governos, a confiança necessária e indispensável à digitalização de processos e procedimentos que recentemente eram realizados em meio analógico.

Segundo um estudo da Forrester, The State of Data Security and Privacy, a porta de entrada para a grande maioria dos ciberataques¹ são os endpoint devices. Esta conclusão é corroborada pelo SANS – Endpoint Security Survey, que nos diz que mais de um quarto das quebras de segurança² tem origem nestes dispositivos. Ora, ainda que sem descurar as infraestruturas críticas, quando falamos de cibersegurança é urgente prestar-lhes devida atenção. 

Endpoint devices, que poderemos traduzir como dispositivos terminais ou dispositivos de utilização final, são “nós de extremidade” que estão conectados a uma Rede de Área Local ou a uma Rede de Longa Distância e que permitem estabelecer comunicações. Em geral podem dividir-se em três categorias: - computação (computadores de secretária, portáteis, workstations, terminais); - impressão (dispositivos de impressão, multifuncionais – cópia, impressão, digitalização, fax) e/ou: - mobilidade, que inclui desde os smartphones, tablets, híbridos (dispositivos que não são nem um computador portátil nem um tablet), chromebooks e smartwatches.

Todos estes dispositivos, por armazenarem dados das organizações, e ao serem usados por cada um de nós, são na maioria dos casos o primeiro ponto de entrada nas redes corporativas. Uma pesquisa independente, The Third Annual Ponemon Institute Study on the State of Endpoint Security³, concluiu que a frequência dos ataques através dos endpoint devices está a aumentar (com 68% dos inquiridos a responderem que têm sofrido mais ciberataques). 

Este dado não se reveste de grande surpresa, já que segundo o Fórum Económico Mundial, no seu relatório The Global Risk Report 2022, mais de 60% da população mundial tem acesso à internet e mais de dois terços dos habitantes do planeta dispõem de um dispositivo móvel. Ora, se o número de endpoint devices conectados em 2015 era pouco superior a 15 mil milhões, em 2025 é já expectável que ultrapasse os 75 mil milhões. Ciente desta realidade, o Governo assumiu a cibersegurança como um vetor estratégico para o nosso País, consubstanciado em especial no Quadro Nacional de Referência para a Cibersegurança (QNRCS) mas também, entre outros, no Plano de Ação para a Transição Digital, ainda em execução. Neste Plano a “Digitalização do Estado” assume-se como um dos três pilares da transição digital em Portugal, e a cibersegurança surge como um dos seus catalisadores transversais. 

Aquele Plano de Ação reconhece a desadequação do enquadramento legal de contratação pública inerente à prestação de serviços e aquisição de bens no âmbito das TIC, pela Administração Pública, e dá carácter prioritário à sua simplificação. Ora, no quadro da anunciada alteração legislativa dos procedimentos de contratação pública na área das TIC, a cibersegurança não pode deixar de ser introduzida como um requisito de base, essencial, em especial quanto aos endpoint devices.

O nível da exigência poderá variar em maior ou menor grau, face ao tipo de dispositivo e de utilização que lhe será dada, mas a cibersegurança deverá ser sempre um requisito. Não só por razões de coerência na execução daquele Plano de Ação, mas sobretudo porque descurar a cibersegurança é descurar o risco de ciberataques com origem naqueles dispositivos e abrir portas às ciberameaças. Reconhece-se que o investimento em cibersegurança se traduz direta e predominantemente no preço e/ou no esforço de implementação. Porém, nunca é demais salientar que o custo do não investimento nesta área traz riscos com consequências enormes, como são, entre outras, as que advêm da indisponibilidade de serviço, do custo e esforço para recuperação de dados ou sistemas, dos danos reputacionais ou mesmo de eventuais consequências indemnizatórias, por roubo de dados. 

É na conciliação entre o contexto normativo, a tecnologia e a mitigação do risco, que se constitui o necessário e permanente desafio dos responsáveis públicos e privados em matéria de cibersegurança. Porém, não basta a teoria nem os programas e os planos de ação. Tanto para o Estado como para cada um de nós a cibersegurança é uma prática necessária. E urgente! 

1 - No estudo da Forrester The State of Data Security and Privacy: 2018 to 2019, realizado por Heidi Shey e Enza Iannopollo é apontado que os endpoint devices estão na origem de 70% dos ciberataques.

2 - SANS - Endpoint Security Survey aponta que estes dispositivos estão na origem de 28% das quebras de segurança verificadas em 2018.l

3 - https://www.morphisec.com/hubfs/2020%20State%20of%20Endpoint%20Security%20Final.pdf