Cibersegurança: Atacantes viraram-se para “quem não está preparado”

O fundador e managing partner da Integrity Rui Shantilal considera que um dos principais desafios atuais no contexto da cibersegurança é “os utilizadores ainda não conseguiram fazer um shift mental para acompanhar a mudança de paradigma do ponto de vista dos atacantes”. No mês internacional da consciencialização em cibersegurança, em entrevista ao Jornal Económico, o especialista em cibersegurança salienta o elevado número de empresas ou utilizadores no geral ainda têm uma perspetiva de que eles são irrelevantes para os atacantes e que estes apenas endereçam as grandes instituições ou os bancos.

“Enquanto isto era em parte verdade há mais de uma década, hoje em dia os próprios atacantes sabem que estas grandes organizações estão muito mais preparadas e que lhe dificulta ou torna praticamente impossível a tarefa e como tal têm procurado fontes alternativas de “receita” virando-se para quem não está tão preparado, garantindo-lhes resultados mais rápidos. Isto faz com que, hoje em dia a cibersegurança não seja apenas um tema das grandes empresas ou dos bancos, mas acaba por ser um tema de todo o tecido empresarial e de todos os utilizadores no geral”, defende.

Quais os principais desafios que se colocam atualmente ao nível da cibersegurança? 

Atendendo à globalização transversal da utilização das tecnologias da informação independentemente do meio, da faixa etária ou do propósito para que se utiliza, existem hoje muito mais janelas de oportunidade para serem exploradas pelos atacantes do que existiam há uma ou duas décadas atrás.

Assim sendo, os principais desafios prendem-se com a dificuldade de acompanhar esta transversalidade, na componente da proteção e aplicação das boas práticas de segurança de forma holística a todos estes níveis. Hoje em dia, a superfície de ataque é muito mais ampla onde se incluí um número de utilizadores muito mais elevado. Um dos maiores problemas prende-se efetivamente ao nível dos utilizadores porque de facto todos esses dispositivos, para além dos seus benefícios podem traduzir-se em riscos que não são óbvios para o comum dos utilizadores, e os atacantes acabam por explorar os mesmos para proveito próprio.

A população está consciente dos riscos? 

De uma forma geral, atendendo aos múltiplos contactos que tenho com os utilizadores regulares, tenho a clara perceção que há um longo caminho ainda a percorrer para que os utilizadores estejam conscientes destes riscos e para que apreendam boas práticas que levem à efetiva redução dos riscos aos quais estão expostos. É uma temática difícil de gerir porque o comum dos utilizadores não é formado em cibersegurança quando utiliza as tecnologias da informação, à semelhança do que acontece, por exemplo, quando um condutor tem que ter formação e preparação devida antes de puder conduzir um carro.

De que forma se poderá aumentar a literacia sobre cibersegurança? 

Através de uma estratégia concertada, ao nível de consciencialização em segurança da informação. E quando digo estratégica, deverá ser planeada ao mais alto nível governamental e institucional. O Reino Unido já começa a dar passos nesse sentido, contemplando campanhas para alertar a população para os riscos e a iniciar a inclusão da temática da cibersegurança nas escolas. Existem também programas orientados às empresas existindo inclusive programas de certificação nos pilares essenciais da cibersegurança por forma a verificar se cumprem os requisitos mais básicos de “higiene” de segurança. – denominado de CyberEssentials. Esta concertação deverá também passar naturalmente pela tecnologia, dado que existe ainda muito espaço para contemplar ajudas tecnológicas intrínsecas aos próprios dispositivos e aplicações para incrementar os níveis de segurança, bem como ajudar os utilizadores a entenderem e a protegerem-se com maior eficácia.

Portugal é o terceiro país da UE com mais vítimas de cibercrime, segundo dados da Comissão Europeia. Como é que os utilizadores se podem proteger face às ameaças? 

Os utilizadores devem acima de tudo procurar manterem-se informados sobre as tendências das ameaças e manter as boas práticas de “higiene” de cibersegurança que passam por desconfiar, confirmar, salvaguardar. Exemplos práticos deste tipo “higiene” são atividades tais como: utilizar um gestor de passwords, trocar as mesmas com frequência, não utilizar a mesma password em vários sites, procurar utilizar autenticação de dois fatores, não seguir links ou correr software provindo de fontes externas desconhecidas, salvaguardar os seus dados utilizando backups, encriptarem os seus dados mais sensíveis, atualizar os seus sistemas, utilizar mecanismos de deteção de malware, entre outros.

O cibercrime é a vertente do crime económico que mais tem crescido em Portugal. Que cuidados devem as empresa ter? 

As grandes empresas na sua grande maioria já começam a olhar para este tema como um tema de relevo, no entanto a grande generalidade do tecido empresarial ainda tem um longo caminho a percorrer.

As organizações devem nomear ou delegar um responsável de cibersegurança que deverá efetuar análises de risco face ao seu contexto de negócio e em sequência definir e implementar de forma estruturada planos transversais de mitigação ao nível da tecnologia, dos processos e naturalmente dos utilizadores. Uma boa fonte que permite às empresas se estruturarem é através do recurso a metodologias comprovadas de cibersegurança, tais como o Standard Internacional ISO 27001, NIST CyberSecurity Framework, Cobit (ISACA), recorrer aos recursos da ENISA (Agência Europeia para a Segurança das Redes e da Informação), entre outros.