
CIBERSEGURANÇA.
NÃO DIGAM QUE EU NÃO AVISEI ...
Se para uma pequena franja da população, nomeadamente a administração pública, operadores de serviços essenciais e infra-estruturas críticas, a cibersegurança faz parte do seu léxico diário, a verdade é que a esmagadora maioria de nós a entendemos como um problema restrito a este nicho de entidades de maior relevância, dada a sua exposição, responsabilidade e sensibilidade dos dados tratados. Na fertilidade da nossa (in)consciência é como se existissem dois ciberespaços distintos, um dos grandes players estatais, comunicação, saúde, banca, etc., altamente aliciante para a prática do cibercrime e outro completamente irrelevante quanto a estes ataques, onde subsistem as pequenas e médias empresas. Nada mais errado! E nada mais errado pelo seguinte:
1. O ciberespaço pode ser definido como uma infraestrutura que permite potenciar a comunicação global entre todos os utilizadores e equipamentos digitais. Sendo assim, trata-se espaço virtual único, no qual todas as entidades presentes estão permanentemente sob ameaça.
2. É facto que, na nossa memória, constam apenas ciberataques a grandes empresas como é o caso da Impresa, EDP, TAP, Vodafone, Germano de Sousa, Sonae MC, etc., a que se juntam muitos mais casos de dimensão global, destacando, entre muitos outros os que ficaram vulgarmente chamados por WannaCry e NotPetya, com repercussões internas na antiga Portugal Telecom, Serviços Partilhados do Ministério da Saúde (SPMS) e Serviço Nacional de Saúde (SNS). Contudo o que os números e a atividade constante das empresas tecnológica como a F3M indicam, é que a esmagadora maioria dos ataques são efetuados e efetivados em pequenas e médias empresas. Isto é factual!
3. Se por um lado as grandes organizações, entendendo a complexidade e premência do problema, têm vindo a formar os seus quadros no âmbito da ciber-higiene e da cibersegurança, os estudos indicam que esse mesmo trabalho não tem sido feito nas pequenas e médias empresas, que apenas reagem após serem atacadas e quando o assalto ou o resgate já estão efetivados. Nestes casos, mesmo salvando toda a informação, o que muitas das vezes é impossível, o custo financeiro/operacional é drasticamente maior ao que o investimento na prevenção pode representar.
Para além de tudo isto, transversalmente, à medida que o tempo passa, a atividade ilícita do ciberespaço vai evoluindo e diversificando-se. O aumento da superfície de ataque, a sofisticação e especialização de alguns agentes de ameaça e a dificuldade em imputar responsabilidades, são fatores constantes de incremento da volatilidade dos ativos de cada organização. Aliado a isto está também “a emergência de instrumentos de criação de conteúdos através de IA (inteligência artificial), ao dispor do utilizador comum, por vezes de forma gratuita”, proporcionando “acesso imediato a ferramentas usadas na prática de ações maliciosas no ciberespaço, sem necessidade de conhecimentos técnicos, por parte de qualquer indivíduo”. Por fim, o incrível e complexo mundo da Internet das Coisas (IoT) coloca o ciberespaço como uma presença constante em praticamente todas as dimensões da vida económica e social, com a nossa vida e os nossos dados espalhados por telemóveis, computadores, tablets e smartwatches.
E sobre isto acresce ainda as questões relacionadas com a proteção de dados! Não esquecer que para as empresas, enquanto Responsáveis pelo Tratamento ou Subcontratantes, qualquer violação aos dados pessoais que afete a sua segurança, integridade e confidencialidade, pode ter fortes implicações no quadro financeiro (através das sansões previstas no RGPD) e no quadro reputacional.
Por todo este quadro de alta complexidade e múltiplas ameaças, com forte tendência de crescimento em ação e diversidade, todos teremos de procurar responder à altura, sensibilizando continuamente as nossas equipas e protegendo a nossa atividade através de estratégias e meios adequados e permanentemente atualizados, face à evolução das práticas ilícitas no âmbito do cibercrime. E isto não é matéria adiável nem algo que aconteça apenas aos outros… a qualquer momento pode acontecer à sua organização.
Agora, não digam que eu não avisei!
Pedro Vital | Senior Services Consultant
F3M Information Systems, S.A.
Voltar