Ciberataques - a nova pandemia


O Ciberataque tornou-se no risco mais temido pelos Governos pois, apenas 10% dos casos são denunciados, há um ataque ciber em cada 11 segundos, há 57 vezes mais resgates que havia em 2015 e grande parte dos dirigentes das empresas reconhecem que os sistemas tecnológicos para protegerem as suas informações já não se encontram suficientes.


Recentemente, e bem perto de nós, a Vodafone emitiu um comunicado onde refere que a empresa” foi alvo de uma disrupção na sua rede, iniciada na noite de 7 de fevereiro de 2022 devido a um ciberataque malicioso com o objetivo de causar danos e perturbações”.



Poucos dias antes, o Grupo Impresa ao qual pertence o Expresso e a SIC, foram igualmente vítimas de um ciberataque, em que a autoria do ataque foi reivindicada pelo Lapsus$ Group, que enviou um email aos subscritores das newsletters do Expresso, com a mensagem “os dados serão vazados caso o valor necessário não for pago. Estamos com acesso aos painéis de cloud. Entre outros tipos de dispositivos, o contacto para o resgate está abaixo”.


Atualmente, as empresas correm variados riscos ao deixar para segundo plano uma estratégia de investimento em cibersegurança, colocando em causa a confiança depositada pelos cidadãos nas suas instituições vítimas destes grupos. Explica Pedro Ribeiro, campeão de 2021 da pwn20wn, uma competição internacional onde se avalia a capacidade de instrução informática que “Portugal pela falta de investimento em cibersegurança de bom nível é um alvo fácil que agora parece estar na mira de alguns atacantes”.


No entanto, a lei portuguesa prevê multas que podem chegar aos 50 mil euros a entidades da administração pública, operadores de infraestruturas críticas e de serviços essenciais que não tenham planos definidos de segurança e contra-ataques informáticos e que não tomem medidas para prevenir ciberataques. Esta informação consta do decreto-lei 65/2021, de 30 de julho, que regulamenta o Regime Jurídico da Segurança do Ciberespaço e define as obrigações em matéria de certificação da cibersegurança. O diploma acrescenta que estas identidades devem implementar todos os meios e procedimentos necessários à detecção, à avaliação do impacto e à notificação de incidentes com impacto relevante ou substancial.


As consequências destes ataques dependem do tipo de ataque em causa, podendo ser o roubo de informação, a indisponibilização de serviços ou alteração de informação. É importante considerar, desde logo, que um ataque deste calibre irá afetar a confiança que os cidadãos depositam nestas instituições.


Em tempos de crise, os cibercriminosos tentam tirar proveito da principal crise em que vivemos - a pandemia. É de notar, conforme refere a empresa líder em cibersegurança- “Kaspery”, que os ciberataques aumentaram 25% durante a pandemia comprometendo não só informação de empresas como também de particulares.



Se antes os dados das empresas já se encontravam expostos, agora, com a implementação, em muitos casos precipitada de teletrabalho, estes dados ficam expostos devido a medidas de segurança mais vulneráveis que o normal. O teletrabalho fez com que estes riscos aumentassem exponencialmente. O trabalho a partir de casa tornou-se a principal lacuna por parte das empresas para impedir uma exposição dos dados da sua empresa.


Desde que, a União Europeia elaborou o Tratado da Convenção de Budapeste sobre o cibercrime, em 23 de novembro de 2001, que visa condutas como a interferência de dados e de sistemas, o uso indevido de dispositivos ou a falsificação e fraude informática já passaram mais de 20 anos. No entanto, apenas entrou em vigor em Portugal com a Lei nº109/2009, de 15 de setembro, na denominada Lei do Cibercrime.


Atualmente, a segurança torna-se num conceito mais alargado e complexo. As ameaças multiplicam-se no espaço digital e tornam-se transversais aos vários setores da sociedade. Exemplo visível são os casos registados de ciberataques em Portugal terem subido 219% em 2021.


Os conflitos deixam de ser locais para chegarem a qualquer parte do mundo e a resposta para este problema está certamente na cooperação entre as várias entidades nacionais com competência no âmbito da cibersegurança, mas também na cooperação internacional.


Francisca Van Dunem, ministra da justiça, demonstra-se igualmente preocupada, no entanto assegura “que estão criadas todas as condições para que o país se possa defender em caso de ataque”. O ministro da Justiça da União Europeia também já se pronunciou reiterando que o ciberataque é uma das grandes preocupações, quer no plano europeu, quer no plano internacional.


Posto isto, a Comissão Europeia defendeu, a 15 de fevereiro 2022, a criação de um “escudo” de modo a proteger as fronteiras cibernéticas da UE. O comissário europeu do Mercado Interno, Thierry Breton usa Portugal como exemplo e acrescenta” vimos recentemente, em Portugal, como os ciberataques podem fazer cair toda a rede e é por isso que é tão importante que tenhamos este sistema de apoio”.


Fontes:

  • CISCO, Microsoft Cybersecurity Ventures, Bloomley, Allan 7, US Department of Homeland Security

  • Ministério Público, 25 de janeiro 2022-Gabinete de Cibercrime