O administrador da Critical Software para área da segurança, José Costa, recomenda, em declarações à Lusa, a criação de passwords longas e um fator de autenticação para evitar o risco de violação de dados na sequência de ciberataques.
O chief security officer falava à Lusa a propósito do dia da Proteção de Dados que esta sexta-feira se comemora para assinar a assinatura da Convenção 108, que ocorreu a 28 de janeiro de 1981, sendo o primeiro instrumento jurídico internacional sobre o tema.
De acordo com o relatório da Verizon de 2021, “85% de todas as violações de dados envolveram um elemento humano”, afirma José Costa, “ou porque foram alvo de engenharia social [técnicas para enganar as pessoas] ou por questões de utilização não adequada ou acidental” dos sistemas.
Com o mundo cada vez mais interligado, os riscos de um ciberataque são cada vez maiores, pelo que José Costa recomenda um conjunto de procedimentos para reduzir o risco de violação de dados.
“A sensibilização e consciencialização [sobre este tema] é um fator de proteção”, pois se “as pessoas não clicarem em ‘links'” que possam receber de ‘mails’ que desconhecem, como acontece em muitos ciberataques, “há menos probabilidade de um ataque ser bem sucedido”, aponta o administrador da Critical Software.
No caso das empresas, estas devem ter um sistema de defesa na lógica de camadas, ou seja, mesmo que um colaborador entre num link que não devia, “tem de haver outro tipo de medidas de segurança que vão mitigar este tipo de ataques”, mecanismos que filtrem essa ligação para averiguar se é ou não malicioso, explica.
Depois, não basta ter passwords [palavras-chave] de acesso aos sistemas, é preciso ter também uma “autenticação forte, hoje isso é um must [obrigatório]”.
Aliás, “ter um sistema em que o acesso é unicamente com um username [utilizador] e uma password, sem um outro fator de verificação, é considerado uma falha grave“, salienta.
Os padrões de segurança internacionais preveem que o controlo de acesso a um sistema tenha como mínimo uma autenticação, que passa, por exemplo, por enviar um código para o telemóvel, tanto para sistemas empresariais como pessoais.
Recomenda-se também “a todos os cidadãos” que, “além de ter passwords fortes, estas serem longas é o mais importante: mais de 12 carateres”, isto porque “com a capacidade de computação que existe hoje, as palavras-chave de oito carateres são quebráveis”, alerta.
José Costa recomenda ainda aos utilizadores que “estejam atentos para tudo o que são definições de privacidade de plataformas e dispositivos”.
Além da atenção que deve ser dada a tudo o que são opções de privacidade, “há a questão de proteger a segurança dos dispositivos e das contas”, de modo a prevenir que os dados caiam nas mãos de organizações criminosas.
“Estamos a falar de aplicar uma boa ciber-higiene” e isso passa por “atualizar o ‘software’ e os dispositivos regularmente”, já que todos dias há novas vulnerabilidades que são descobertas e estas atualizações vão corrigir as falhas.
A par disso, também aconselha a ter nos dispositivos – sejam telemóveis, tablets ou computadores – “algum tipo de proteção contra malware ou anti-víru”.
No caso da proteção das redes, onde se inclui o ‘wifi’, deve-se “mudar tudo o que é ‘default'” e “sempre que se compra um dispositivo que se conecta à rede” alterar as ‘passwords’.
PANDEMIA INFLUENCIOU NÚMERO DE CIBERATAQUES
A pandemia de covid-19 foi um fator “que influenciou bastante o número de violações de dados e ciberataques”, admite.
No entanto, os principais vetores de ataque que acabam por ter como consequência a violação de dados “não variaram significativamente”, uma vez que “nos últimos dois anos a engenharia social e os ataques de phishing” continuaram a ser as principais técnicas de ciberataque.
José Costa reforça que a “educação e consciencialização das pessoas para este tipo de ataques” é bastante importante, nomeadamente terem atenção a mails suspeitos.
A engenharia social, da qual faz parte o phishing [ataque informático que visa pescar dados sensíveis de um utilizador], é um vetor de ataque e a tendência é “para continuar e aumentar”.
A técnica mais comum de engenharia social é o phishing porque “é acessível, toda a gente que tem uma conta de mail”, destaca.
Estes ataques afetam todas as empresas, que são alvos diários, todo o tipo de pessoas e muitas vezes dirigidas para os departamentos de compras, área financeiras, porque “essencialmente estes atacantes têm uma motivação financeira”, aponta José Costa.
“Mais de 90% dos ataques e violações de dados envolveram um ‘mail’ ou um ataque de ‘phishing'”, diz, mas também há ataques de ‘smishing’, que são feitos através de SMS, e também podem ser feitos através de chamadas telefónicas, com a alguém a fazer-se passar por um técnico da Microsoft, por exemplo.
Nas empresas, José Costa defende uma “cultura baseada na gestão de risco” e que a cibersegurança “tem de ser uma prioridade”.
No contexto empresarial, “a questão da consciencialização, sensibilização dos colaboradores é fundamental, deve ser parte da estratégia do programa de segurança de qualquer empresa e depois há várias formas de o fazer”, onde se incluem formações e até simulações de phishing.
Ou seja, a empresa cria um mail de phishing para testar e avaliar se os colaboradores estão sensibilizados para este tipo de ataques e, para o caso dos que não estão, criar formações para o efeito.
Com LUSA
SAIBA MAIS
- Empresas sofreram em média 270 ciberataques em 2021, mais 31% do que em 2020
- “Planeta Lourenço”: recomendações e truques para criar passwords seguras
- EUA avisam Rússia de consequências se for responsável por ciberataque contra Ucrânia
- Ciberataques a organizações aumentaram 81% em Portugal
