Entrevista/ “Os dados pessoais e das empresas têm-se tornado mais valiosos”

“O uso de técnicas de inteligência artificial tem aumentado ainda mais o nível de sofisticação dos ataques”, lembra Mário Antunes, especialista em cibersegurança. Alerta ainda para o facto de que os dados são cada vez mais transacionáveis.
“A cibersegurança é cada vez mais e acima de tudo um problema cultural que está muito relacionado com as pessoas que operam os computadores nas empresas”, opina Mário Antunes em entrevista ao Link To Leaders. O professor e coautor do livro “Introdução à Cibersegurança – A internet, os aspetos legais e a análise digital forense”? (que recentemente lançou a 2.ª edição) faz uma análise dos riscos associados à falta de cibersegurança, pessoal e das empresas, e à cada vez maior sofisticação dos ataques, e avança com algumas sugestões para prevenir riscos.
Deixa ainda uma nota: “A educação para a cidadania digital tem de fazer parte de programas curriculares das escolas desde cedo, com vista a uma consciencialização para as questões relacionadas com a cibersegurança”, e lembra também alguns dos cuidados básicos que quem está em teletrabalho deve adotar e que “é urgente que as empresas adotem uma cultura de cibersegurança que abranja todos os funcionários, em todos os setores e departamentos”.
Nos últimos meses, houve uma sucessão de ataques cibernéticos. O que explica este cenário?
Realço quatro razões principais que podem ajudar a explicar este fenómeno. Em primeiro lugar, os dados pessoais e das empresas têm-se tornado mais valiosos e são cada vez mais transacionáveis, potenciando ainda mais o seu roubo e a sua exfiltração. A complexidade tecnológica e o crescente aumento do número de equipamentos e utilizadores na Internet, aliado ao facto de haver um ainda reduzido grau de ciberconsciencialização, tem proporcionado a exploração de vulnerabilidades ao nível do fator humano, designadamente nos comportamentos e atitudes dos utilizadores online.
De seguida, a generalizada falta de investimento em cibersegurança, por parte das empresas, nomeadamente na segurança dos seus sistemas e redes e na adoção de boas práticas de auto-avaliação e gestão de risco em cibersegurança, tem proporcionado a execução com sucesso de vários ciberataques. Por fim, os ciberataques têm-se tornado mais sofisticados, como é possível observar, por exemplo, nos vários tipos de ataques de phishing que têm aparecido, no aumento do número de burlas informáticas e nas várias formas de ransomware que têm sido usadas nos ataques a empresas e cidadãos.
Gostaria de reforçar ainda a pouca cultura de cibersegurança, quer nas empresas, quer nos cidadãos, que tem contribuído para um aumento generalizado dos ciberataques.
“As motivações para o cibercrime e crime informático são semelhantes um pouco por toda a Europa”.
Como avalia o panorama nacional? E europeu?
A realidade em Portugal está em linha com o que se passa na Europa. As motivações para o cibercrime e crime informático são semelhantes um pouco por toda a Europa. No entanto, os países têm-se adaptado a esta realidade, tendo criado instituições de governação do ciberespaço e tendo adotado regulamentação específica, como o Regulamento Geral de Proteção de Dados (RGPD).
Quais são os desafios atuais do mercado de cibersegurança?
Em primeiro lugar, destaco a escassez de recursos técnicos altamente qualificados na área da cibersegurança, que possam dotar as empresas de melhores estratégias e serviços de segurança ao nível das redes, dos servidores e dos dados. A digitalização massiva das empresas comporta desafios ao nível dos novos dispositivos de Internet of Things (IoT), onde a segurança é mais difícil de alcançar, quer pelas características do hardware, quer pelas limitações na autonomia e na capacidade de processamento.
A virtualização e a migração dos negócios (e das empresas) para infraestruturas na nuvem traz igualmente desafios emergentes ao nível da segurança dos dados e dos servidores. As estratégias de migração dos negócios para a nuvem têm de ter em conta a adoção de mecanismos de segurança ajustados a este tipo de infraestrutura.
A integração e manutenção de sistemas e dispositivos legados numa empresa acarreta dificuldades acrescidas ao nível da cibersegurança, nomeadamente devido à utilização de sistemas operativos e aplicações que, por exemplo, não têm atualizações regulares de segurança.
Por último, o aumento dos tipos de ataque e da sua crescente sofisticação e anonimização acarreta desafios enormes às empresas na prevenção e proteção. Este facto implica um esforço adicional no sentido de acautelar que todos os possíveis pontos de entrada na infraestrutura de rede e servidores estão devidamente protegidos contra acessos não autorizados e potencialmente maliciosos.
“Os ciberataques são também um serviço da nuvem (Crime-as-a-Service, CaaS), aumentando assim a sua anonimização e execução distribuída”.
Os ataques tornaram-se mais sofisticados. O que mudou? A natureza dos vírus?
Em parte, sim. O uso de tecnologias emergentes, como a inteligência artificial e a computação na nuvem, tornaram os ciberataques mais sofisticados e com um nível de destruição maior. Os ciberataques são também um serviço da nuvem (Crime-as-a-Service, CaaS), aumentando assim a sua anonimização e execução distribuída.
O uso de técnicas de inteligência artificial tem aumentado ainda mais o nível de sofisticação dos ataques. Por um lado, através das possibilidades de automatização de tarefas em larga escala, nomeadamente no reconhecimento e exploração de vulnerabilidades de segurança. Por outro lado, através da utilização de estratégias de aprendizagem computacional para a adaptação evolutiva dos vetores de ataque, com base no alvo e no impacto de destruição desejado, entre outros aspetos.
“(…) um ciberataque às empresas que suportam serviços críticos, como a saúde, o abastecimento de água ou eletricidade, provoca um impacto económico grande, mas também social (…)”.
Quais os setores que suscitam mais preocupações?
Na minha opinião há dois setores que devem merecer particular preocupação: as micro e pequenas e médias empresas (PME) e as empresas que suportam serviços críticos. As PME são em elevado número e comportam um volume de negócios considerável (e fundamental) para a economia do país. São empresas com uma dimensão reduzida e em setores de atividades muito diversos, onde os aspetos relacionados com a cibersegurança podem ser facilmente colocados em segundo plano.
Por outro lado, um ciberataque às empresas que suportam serviços críticos, como a saúde, o abastecimento de água ou eletricidade, provoca um impacto económico grande, mas também social, já que falamos de serviços essenciais para os cidadãos e empresas.
Uma palavra adicional para o setor da saúde. Devido ao volume e criticidade dos dados que trata, bem como pelo facto de as instituições hospitalares estarem muito dependentes da utilização de dispositivos médicos de IoT (Internet of Medical Things, IoMT), um ataque direcionado às instituições deste setor tem normalmente consequências graves na prestação de cuidados de saúde às pessoas.
“O investimento na cibersegurança aparenta nunca ser suficiente, tendo em conta que se trata de um fenómeno global e crescente (…)”.
O investimento público nesta área tem sido suficiente?
O investimento na cibersegurança aparenta nunca ser suficiente, tendo em conta que se trata de um fenómeno global e crescente, que implica uma mudança cultural exigente e que envolve as pessoas. Assistimos a vários indicadores promissores, como por exemplo o reforço da componente de cibersegurança em vários projetos de I&D financiados, com impacto direto na implementação de soluções de cibersegurança nas empresas.
Um exemplo concreto onde o investimento público (e também privado) pode ser canalizado é no reforço da componente da educação e da formação. A educação para a cidadania digital tem de fazer parte de programas curriculares das escolas desde cedo, com vista a uma consciencialização para as questões relacionadas com a cibersegurança.
“Um ciberataque bem-sucedido vai necessariamente comprometer, e muito, o negócio (…)”.
Que cuidados deve ter o cidadão no dia a dia? E as empresas?
Há medidas de “ciberhigiene” que podem ser facilmente implementadas por todos os cidadãos, como por exemplo reforçar os cuidados nas compras online, recorrendo a sites legítimos e com formas de pagamento seguras; utilizar uma VPN para acesso à Internet; não utilizar redes Wi-Fi públicas e desprotegidas; atualizar convenientemente os equipamentos com as atualizações de segurança que são distribuídas pelos fabricantes; e redobrar os cuidados com a instalação de apps nos dispositivos móveis.
Sobre a autenticação, devem utilizar-se passwords fortes e que sejam alteradas frequentemente. As passwords devem ser diferentes para os vários serviços e não devem conter palavras que possam estar em dicionários. Os utilizadores devem ativar, sempre que disponível, vários fatores de autenticação (por exemplo, login/password e mensagem de SMS) e, para facilitar a gestão de passwords, devem recorrer a gestores de passwords disponíveis.
Nas empresas destaco as seguintes medidas: estabelecer uma cultura de cibersegurança e apostar na formação continua e no treino dos colaboradores. Ao nível técnico a aposta deverá incidir primeiramente na prevenção, através da autoavaliação e análise de risco em cibersegurança, com vista a identificar as principais vulnerabilidades e medidas de mitigação.
Nas componentes de detecção e reação, as empresas devem adotar mecanismos de segurança que identifiquem as potenciais ameaças (por exemplo através de sistemas de detecção de intrusões) e reajam em conformidade. A monitorização constante dos servidores e da rede é, pois, fundamental para uma identificação rápida de vulnerabilidades e ameaças que possam comprometer a infraestrutura de TI/SI e, consequentemente, o negócio.
Por todas estas razões, é fundamental uma educação para a cidadania digital por parte dos cidadãos e, nas empresas, a contratação de técnicos com conhecimentos adequados à implementação dos mecanismos de segurança mais adequados à empresa.
Ao nível da gestão do negócio, tem igualmente de haver cada vez mais sensibilidade para as questões relacionadas com a cibersegurança e, definitivamente, os gestores devem promover uma cultura de cibersegurança que envolva toda a organização. Um ciberataque bem-sucedido vai necessariamente comprometer, e muito, o negócio, com impactos claros no volume de faturação e na imagem da empresa perante os stakeholders.
E quem está em teletrabalho e usa o computador próprio?
Esta nova realidade, em parte reforçada pela pandemia causada pela Covid-19, trouxe enormes desafios à cibersegurança com os quais os cidadãos e as empresas não estão inteiramente familiarizados. Assim, além dos cuidados descritos anteriormente, é importante distinguir a utilização que damos ao computador para uso pessoal e ao da empresa, onde temos dados confidenciais, eventualmente do negócio. O primeiro cuidado a ter é não usar o computador pessoal para realizar tarefas da empresa, como por exemplo, processamento de emails e acesso a serviços da Intranet. O contrário também deve ser tido em conta, ou seja, não usar o computador da empresa para fins pessoais. Deve ser uma prática obrigatória a utilização de uma VPN (Virtual Private Network) para acesso aos serviços da empresa e à Internet. Desta forma, a comunicação a partir do computador pessoal é cifrada e garante-se a confidencialidade e integridade dos dados que são transmitidos.
Que instrumentos públicos e/ou de referência existem para ajudar as empresas com a estratégia face a ciberataques em Portugal?
Há vários instrumentos que as empresas têm à sua disposição para melhorarem o seu nível de proteção. Desde logo, existe um vasto leque de normas internacionais de referência em cibersegurança e segurança da informação, como por exemplo as da família ISO-27000, com as quais as empresas devem garantir conformidade. A certificação nestas normas é igualmente um passo importante para as empresas e, em alguns setores de atividade, mandatório para que se mantenham competitivas no mercado global.
Realço ainda a atividade do Centro Nacional de Cibersegurança (CNCS) que é a autoridade nacional de cibersegurança. Esta entidade promove diversas ações de sensibilização, formação e certificação a que as empresas podem recorrer. O CNCS coordena ainda várias atividades e serviços importantes, como o plano de ação da estratégia nacional de segurança do ciberespaço, a identificação e resposta a incidentes e vulnerabilidades de cibersegurança levadas a cabo pelo CERT.PT e a análise e tratamento de informação através do observatório de cibersegurança.
“É urgente que as empresas adotem uma cultura de cibersegurança, que abranja todos os funcionários, em todos os setores e departamentos”.
A cibersegurança ainda é uma preocupação apenas do departamento de IT ou tem- se estendido a outros departamentos das empresas?
A cibersegurança deve ser, cada vez menos, uma preocupação exclusiva do departamento de IT e deve ser vista como uma preocupação global, da organização como um todo. É urgente que as empresas adotem uma cultura de cibersegurança, que abranja todos os funcionários, em todos os setores e departamentos. Por exemplo, o departamento de recursos humanos deve chamar a si a responsabilidade de incluir, na admissão dos funcionários, os aspetos relacionados com a cibersegurança, nomeadamente a formação e treino continuo em cibersegurança e a avaliação continua de conhecimentos relacionados com esta temática.
Em suma, a cibersegurança é cada vez mais e acima de tudo um problema cultural que está muito relacionado com as pessoas, que operam os computadores nas empresas. Tem naturalmente uma forte componente técnica e tecnológica, mas, acima de tudo, trata-se de um problema que diz muito (ou deve dizer) às pessoas.
“É igualmente importante que o cidadão comum (e também as empresas) saiba o que fazer quando é alvo de um ransomware, de uma burla informática ou de um comentário ofensivo nas redes sociais”.
Os portugueses estão familiarizados com os aspetos legais?
Na minha opinião, não. Não estão familiarizados com as questões legais em geral e também não estão com os aspetos legais relacionados com o cibercrime e a criminalidade informática. É outro aspeto que deve ser mitigado na “educação para a cidadania”: como funciona o sistema judiciário e qual a organização das normas e leis existentes. Por exemplo, há um conjunto de normas e leis que deveriam ser explicadas ao cidadão comum e também às empresas, de uma forma acessível, como o RPGD e a lei do cibercrime, entre outras.
É igualmente importante que o cidadão comum (e também as empresas) saiba o que fazer quando é alvo de um ransomware, de uma burla informática ou de um comentário ofensivo nas redes sociais.
Quais as principais mensagens que podemos encontrar na 2.ª edição do “Introdução à cibersegurança – A internet, os aspetos legais e a análise digital forense”?
Este livro teve um objetivo principal claro: através de uma linguagem simples, ser mais um instrumento de ciberconsciencialização e chegar a todas as pessoas com um mínimo de conhecimentos em informática. Embora haja um fio condutor entre os capítulos, estes são auto-contidos nos conhecimentos que transmitem.
Para nos protegermos de algo, temos de compreender o seu funcionamento e, nessa medida, o livro começa com uma explicação introdutória sobre o funcionamento da Internet, recorrendo sempre que possível a metáforas simples e abstraindo os aspetos mais técnicos das tecnologias em causa.
Os tópicos sobre as redes sociais, o enquadramento jurídico e a gíria do cibercrime são apresentados de uma forma igualmente simples, possibilitando ao leitor uma sistematização dos aspetos mais importantes sobre estes temas. A introdução à análise digital forense pretende apresentar um conjunto de técnicas que poderão ser utilizadas em contexto de investigação criminal ou com vista à recuperação de dados. As técnicas de OSINT, o funcionamento da dark web e as criptomoedas encerram o livro, despertando o leitor para estes tópicos relacionados com a segurança no ciberespaço.
Em suma, são três as mensagens principais que queremos passar com este livro: a importância do conhecimento sobre o funcionamento da Internet, para melhor compreendermos os mecanismos de proteção e segurança; o conhecimento sobre a gíria informática, nomeadamente sobre os principais ataques e vulnerabilidades e os procedimentos mais adequados para a sua mitigação; a descrição das principais atividades de crime informático e o enquadramento legal que lhes está subjacente.
“O futuro da cibersegurança afigura-se assim desafiante, mas também promissor em termos das melhorias que pode trazer para as empresas, para os cidadãos e para as sociedades”.
Como olha para o futuro da cibersegurança?
Com otimismo! E por duas razões principais. Em primeiro lugar, parece-me evidente que os próximos anos serão de grande procura por profissionais altamente qualificados na área da cibersegurança para os quadros das empresas e das instituições públicas. Este facto vai implicar a formação e requalificação de jovens para a cibersegurança, o qual traz benefícios não só para as empresas que os contratam, mas também para o país e para a sociedade.
Em segundo lugar, o investimento crescente que se vai fazendo na cibersegurança terá resultados a médio prazo. As empresas e os cidadãos vão gradualmente melhorar as suas defesas, quer através de intensificação das ações de formação e treino, quer através da implementação de mecanismos e serviços de segurança da informação e da infraestrutura de redes e servidores. E é bom que haja uma melhoria significativa da cibersegurança, tendo em conta a expectável evolução da Internet, através de novos serviços, o avanço da inteligência artificial e o aperfeiçoamento continuo da digitalização dos negócios.
O futuro da cibersegurança afigura-se assim desafiante, mas também promissor em termos das melhorias que pode trazer para as empresas, para os cidadãos e para as sociedades.
Que conselhos daria a um jovem empreendedor que está a lançar um negócio online?
O conselho é simples: independentemente do negócio que se pretenda colocar online, a cibersegurança tem de fazer parte do desenho da solução, desde o início. Atualmente não é razoável pensar num negócio online sem ter em conta o desenho e implementação de soluções que promovam ativamente a confidencialidade e integridade dos dados (do negócio, dos clientes e dos fornecedores) e a utilização de tecnologias que protejam os servidores.
*Coautor do livro “Introdução à Cibersegurança – A internet, os aspetos legais e a análise digital forense”