País

Os ciberataques não vão acabar: como podemos viver com eles?

Os ciberataques não vão acabar: como podemos viver com eles?

A sociedade e as organizações despertaram nas últimas semanas para o problema dos ataques informáticos e para as suas consequências devastadoras. O que podem fazer para lidar com os ciberataques? Qual o papel de todos nós? Dois especialistas respondem às questões

Portugal tem assistido a uma onda de ciberataques sucessivos e com grande impacto desde o início do ano, mas os especialistas não olham para o fenómeno com surpresa. A par do que tem acontecido noutros países, os dados indicam que os ataques cibernéticos têm aumentado exponencialmente em Portugal. 

De acordo com números da Check Point, empresa de soluções de Cibersegurança, a média de ataques semanais a organizações portuguesas aumentou em 81% no ano passado face a 2020. A mesma tendência verificou-se a nível internacional, com o número de ciberataques por semana a aumentar 50%. 

O que se está a passar nestes últimos diasé bastante normal no resto do mundo”, ressalvou Vítor Ventura, Manager da Cisco Talos Outreach da EMEA (Europa, Médio Oriente e África) e Ásia e investigador de Cibersegurança, defendendo que é necessário trabalhar para “normalizar” o assunto. 

“É preciso aumentar a literacia digital, é preciso que as pessoas se habituem a falar destes temas paraque eles não sejam palavras muito estranhas que só alguns especialistas conhecem”, afirmou, incentivando as empresas a implementar programas de formação. 

Recorrendo a uma analogia, o especialista explicou à SIC Notícias que um ciberincidente pode ser visto como um acidente de viação, ou seja, apesar de “ninguém o desejar, quem anda na estrada pode ter um acidente, tal como quem anda na Internet pode sofrer um ataque”. 

“Parece que está tudo envolvido numa capa de secretismo”, disse Vítor Ventura, ao sublinhar que é importante tranquilizar as pessoas e acabar com o “alarmismo das últimas semanas”. 

Desde o início do ano, foram tornados públicos seis ataques a empresas e instituições nacionais. Em janeiro, foi atacado o grupo Impresa, do qual a SIC faz parte, e, em fevereiro, o site do Parlamento, a Cofina, o grupo Trust in News, detentor da Visão e da Caras, a operadora de comunicações Vodafone e o grupo de laboratórios Germano de Sousa

Segundo André Baptista, especialista em Cibersegurança e professor de Segurança Informática na Universidade do Porto, os ataques recentes acabaram por “despertar consciências” e por “funcionar como sensibilização geral”. “No caso Vodafone, grande parte da população percebeu o impacto que isto pode ter nas suas vidas”, argumentou. 

Recentemente, os ataques informáticos com grande impacto têm “dependido essencialmente de fatores humanos, ou seja, são vetores dirigidos às pessoas através de técnicas de engenharia social”, explicou o especialista. Utilizam-se técnicas como phishing ou smishing– ações fraudulentas, através de e-mail ou sms, com o objetivo de obter acesso ao dispositivo, procurar e obter dados pessoais e/ou credenciais (usernames e passwords) que permitem aos ataques entrar nos sistemas. 

Como é que as organizações podem lidar com os ciberataques?

Para Vítor Ventura, as organizações portuguesas “têm que ter uma maior resiliência aos ataques”. Isto é, se por um lado devem defender-se e tentar evitá-los, por outro lado devem ser capazes de reagir perante um. 

“Caso o ataque aconteça e seja bem sucedido, temos que ter a capacidade de resistir aos seus impactos e o negócio tem que ser capaz de operar enquanto estamos a tentar recuperar e a eliminar o ataque”, esclareceu. 

Por isso, segundo Vítor Ventura, o primeiro passo para a resolução do fenómeno é criar a consciência de que os ciberataques “acontecem muitas vezes”, e dotar as empresas portuguesas de resiliência. Se existir um ataque, o investigador defende que seja tornado público. 

“A transparência e comunicação vêm aumentar a consciência, aumentar a resiliência e as pessoas vão estar mais despertas”, apontou. 

A curto prazo, André Baptista acredita que as empresas vão ter um novo desafio pela frente com ataques mais sofisticados, ou seja, “ataques invisíveis e sem fator humano envolvido” difíceis de “intercetar ou detetar”. 



Utilizando como analogia o roubo a um banco, o professor explica que isto significaria “contratar os melhores ladrões do mundo para tentarem assaltar o banco, que identifiquem fragilidade, ângulos mortos”. Assim, o banco poderia sentir-se mais seguro “porque simulou o assalto”. 

Existe uma estigmatização das organizações atacadas? E até que ponto podem os comportamentos dos funcionários levar a ataques?

Um ataque cibernético a uma organização não é sinónimo de falta de investimento em Cibersegurança. Aliás, os investigadores consideram que as instituições nacionais têm feito um bom trabalho na segurança defensiva. Mas, mesmo que um sistema seja “99,999% seguro, pode haver uma forma não suposta de realizar uma ação não desejada que comprometa a disponibilidade, integridade e confidencialidade dos sistemas”, alertou André Baptista. 

No entanto, pode existir alguma “vergonha” associada a estes ataques, admitiu Vítor Ventura, sublinhando que um ataque é um incidente “perfeitamente natural” e que a estigmatização não deve existir. 

“Portugal não tem uma cultura de estar constantemente alerta para isto. Não podemos culpar as pessoas nem as empresas pelo facto de não estarem constantemente alerta. É como na vida. Ninguém está constantemente a proteger-se para algo que nunca aconteceu. É um jogo de probabilidades”, afirmou. 

Por isso, para que não se crie a perceção de que Portugal passa ao lado da tendência crescente de ataques, os mesmos devem ser tornados públicos, defende. “É preciso falar sobre o assunto com a naturalidade com que se fala de outras coisas que podem acontecer”, concluiu. 

A maioria dos ataques mais recentes têm dependido de fatores humanos, através, por exemplo, de e-mails com algum software malicioso ou roubo de credenciais de colaboradores. De facto, o comportamento dos funcionários pode comprometer a empresa, mas os especialistas consideram que não se devem culpabilizar os trabalhadores. 

André Baptista acredita que é importante sensibilizar os trabalhadores para utilizarem as melhores políticas em termos de segurança. Um dos cuidados a ter é com as passwords. O investigador sugere que se utilizem passwords diferentes e password managers, que servem para armazenar as palavras passes. Também devem ser utilizados sistema de dupla autenticação com criptografia forte, como é o caso do Google Authenticator. 

Já Vítor Ventura lembra ainda que não se pode pedir aos funcionários para irem contra a “natureza humana”.

“Costumo fazer esta analogia que é muito simples: se entramos numa sala, estiver uma caixa de papel em que não se consegue ver o que está lá dentro, o que é que qualquer ser humano vai fazer? Vai ver o que está dentro da caixa, certo? Se todos acreditamos nisto como é que somos capazes de pedir às pessoas para não clicarem em links? É a natureza humana”, rematou. 

Embora admita que se perpetuou a ideia que o ser humano é “o elo mais fraco da cibersegurança”, o investigador defende que os profissionais da área devem ajudar os trabalhadores com tecnologias de autenticação forte e outros mecanismos de proteção, com formação e, em última instância, limitar o impacto dos ataques em caso de um deslize. 

“Temos que pensar que quem ataca só precisa de acertar uma vez, mas quem defende tem que defender 100% das vezes. À partida, as probabilidades estão contra as pessoas, porque se elas tiverem 100 ou 200 e-mails por dia, mais cedo ou mais tarde, algum vai passar”, explicou o especialista. 

O que se pode fazer para assegurar serviços críticos em caso de ataque?

Os ciberataques podem comprometer a disponibilidade e integridade de serviços críticos, como aconteceu no caso do ataque à Vodafone com o INEM. O instituto de emergência médica foi obrigado a ativar o plano de contingência e a acionar o socorro através da rede SIRESP depois de falhas nas comunicações. 

Em termos de resposta aos incidentes, André Baptista destaca o “excelente trabalho” que se tem feito em Portugal. “No entanto, eu vou ser pragmático, nós não podemos garantir que é impossível provocar um apagão a nível nacional atacando a rede energética”, referiu.

Assim sendo, argumenta que estas ações podem ter “um impacto considerável” em setores como o da energia, saúde, finanças e banca, que devem ser protegidos “da melhor forma possível”. E, por isso, assume que devem ser colocados os chamados “hackers éticos” – “talentos que trabalham no lado bom das forças”- a testar os sistemas e a identificar as vulnerabilidades. 

Por sua vez, Vítor Ventura salvaguarda que os serviços críticos devem garantir uma solução alternativa, como foi o caso do INEM que recorreu ao SIRESP, e lembrou que, no caso da Vodafone, não se tratava de uma infraestrutura crítica.

O papel do Estado

Também a EDP foi alvo de um ciberataque com grande impacto em abril de 2020, que condicionou alguns serviços e operações da empresa. Neste ponto, o investigador da Cisco descarta a obrigação do Estado em intervir nestes casos. 

“Muitas das companhias que fornecem os serviços são companhias privadas. A EDP é uma companhia privada. O que o Estado tem defazer é garantir que as empresas com esta classificação cumprem os requisitos e normas, e depois o Estado devia ter alguma capacidade de auditar”, disse, dando como o exemplo o caso das pontes que, apesar de serem mantidas pelas concessionárias de autoestradas, são inspecionadas pelas Estradas de Portugal. 

Portugal tem profissionais em cibersegurança suficientes para fazer face às necessidades atuais e futuras?

Neste momento, existem em Portugal várias opções de formação na área da Cibersegurança, desde licenciaturas e mestrados em diferentes universidades até cursos técnicos em escolas profissionais. 

André Baptista, professor do Mestrado em Cibersegurança da Universidade do Porto, realça os “enormes talentos” que existem no país. O investigador tem acompanhado equipas de jovens portugueses numa iniciativa europeia de hacking que, na última edição, conseguiram alcançar o sétimo lugar a nível europeu. 

“Não estamos na cauda da Europa em termos de talentos, estamos à frente de outros países, como Espanha. É apenas um indicador, mas que demonstra que temos grandes talentos no nosso país”, afirmou. 

E há uma grande procura por estes estudantes, apontou, referindo que muitos nem chegam a concluir a dissertação porque são imediatamente absorvidos pelo mercado de trabalho. No entanto, considera que Portugal não tem capacidade para reter os jovens talentos, que acabam por trabalhar para multinacionais ou grandes empresas tecnológicas, devido aos salários baixos e à inexistência de vantagens competitivas em relação ao mercado internacional. 

“Tem que haver uma estratégia que nos permita reter os talentos em Portugal, é extremamente urgente”, apontou. 

Também Vítor Ventura admite que o paístem cada vez mais profissionais na área que acabam por trabalhar para multinacionais. No entanto, considera que o fenómeno se explica pela baixa procura destes profissionais por parte de empresas portuguesas. 

Últimas Notícias
Mais Vistos