Cibersegurança: um investimento essencial
Com novas ameaças emergentes em resultado do trabalho remoto a aposta na cibersegurança é hoje mais importante do que nunca.
Ninguém contesta que a transformação digital abriu uma multiplicidade de novas oportunidades. Acontece que, como já sabemos, criou, ao mesmo tempo, uma imensa panóplia de novos vetores por onde o cibercrime pode ocorrer. Depois do fator pandemia, que trouxe uma aceleração bastante repentina da digitalização, o atual conflito vivido entre a Rússia e a Ucrânia é a nova grande ameaça.
A dimensão deste problema é já tão grande que move tantos ou mais milhões do que o próprio negócio das novas tecnologias e com um know-how que tantas vezes supera o dos especialistas que trabalham no combate a este tipo de crime. Como grande atrativo para este tipo de práticas está o valor existente na enorme quantidade de informação que hoje as novas tecnologias permitem reunir, incluindo propriedade intelectual, bancos de dados de clientes ou registos financeiros.
Só na primeira metade de 2022, o número de ataques cibernéticos aumentou, a nível mundial, 42%, sendo o ransomware – captura de sistemas e informações para posterior pedido de resgates – a principal ameaça. Os ciberataques são, assim, um dos principais desafios que as empresas e outras organizações enfrentam.
Face a este cenário de elevado número de incidentes, alguns responsáveis de empresas ou instituições governamentais resistem ainda a fazer grandes investimentos em medidas preventivas de reforço da cibersegurança. Por um lado, tais gestores ainda encaram este tipo de custo como uma despesa não essencial. Por outro, como investimento preventivo que é, é mais difícil quantificar o retorno dos gastos em cibersegurança.
O resultado não é famoso. Quando estas organizações são alvo de um ataque rapidamente descobrem que a despesa que suportam no processo de recuperação após o incidente tende a ser bastante superior ao que teriam gasto em prevenção. O investimento em infraestruturas que tragam maior proteção às organizações constitui, a prazo, um grande instrumento de poupança de recursos financeiros, no caso de se dar a infelicidade de ser alvo de um ataque cibernético. Seja como for, a nada animadora realidade trazida pelas estatísticas relativas ao cibercrime está a fazer com que as empresas comecem a perceber a importância de se apostar na cibersegurança. Não só em termos de infraestruturas como através da contratação de pessoal especializado na área.
A situação em Portugal
Portugal não é exceção neste cenário de aumento da criminalidade relacionada com as novas tecnologias. O nosso país tem sido palco de um considerável número de ataques cibernéticos, de maior ou menor dimensão, que têm por alvo tanto organizações privadas como organismos estatais. De acordo com os dados mais recentes do Centro Nacional de Cibersegurança, mantém-se a tendência de subida no nosso país do número de incidentes de ataque à cibersegurança. Em 2021, o número de incidentes aumentou 26% e entre as ciberameaças prevalecentes estão, nomeadamente, o phishing, o ransomware, a fraude/burla online, a tentativa de comprometimento de contas (com ou sem sucesso) e a exploração de vulnerabilidades. Os setores mais afetados têm sido a banca, seguida das infraestruturas digitais e dos prestadores de serviços de internet.
Ainda de acordo com a mesma entidade, persistem algumas ameaças surgidas no contexto da pandemia, assim como as relacionadas com a fragilidade do fator humano, a que se junta a maior frequência de ataques de grande impacto. Note-se que a invasão da Ucrânia pela Rússia, outra fonte de ameaça, ocorreu já em 2022.
Entre as tendências internacionais com potencial impacto no ciberespaço português em 2021 encontram-se o aumento dos ataques a cadeias de fornecimento, a exploração de vulnerabilidades e a disseminação de ransomware. Já quanto a este ano e ao próximo, o Centro Nacional de Cibersegurança estima que persistam cibercrimes que façam uso do risco humano, o ransomware, as violações de dados relacionadas com credenciais de acesso e a exploração de vulnerabilidades. As marcas mais simuladas nos ataques de phishing/smishing pertencem à banca (quase 50%), seguida dos transportes e logística e das plataformas de emails.
Face a este cenário, o país apresenta um défice de especialistas em cibersegurança, estando já previsto que parte das verbas do Plano de Recuperação e Resiliência (PRR) sirvam para investir na formação de novos profissionais na área. O Governo tem por objetivo formar, nos próximos quatro anos, 10 mil novos peritos.
Para além da falta de pessoal especializado em cibersegurança, um outro problema dificulta a luta contra o cibercrime e está relacionada com as características do tecido empresarial português. Se pensarmos que mais de 90% são micro e pequenas empresas, o resultado é uma grande maioria de empresários que desconhecem a capacidade digital das próprias empresas, não estando tão pouco incutida ainda em muitas destas organizações uma cultura de segurança e de investimento na mesma.
Existe ainda um défice de literacia digital que é transversal à sociedade, abarcando não só as empresas, como os cidadãos e os próprios organismos públicos.
Com novas ameaças emergentes em resultado do trabalho remoto, dos riscos geopolíticos crescentes e do rápido ritmo de digitalização das sociedades, a aposta na cibersegurança é hoje mais importante do que nunca.