O ano de 2022 foi marcado pelos sucessivos incidentes de segurança da informação. Diversos operadores de serviços essenciais e prestadores de serviços digitais viram a atividade e sistemas comprometidos, quer numa perspetiva de disponibilidade, como também de confidencialidade dos dados atingidos, os quais preocuparam os utilizadores.
A 2 de janeiro de 2022, o Grupo Impresa foi alvo de um ciberataque, o que resultou na indisponibilidade dos websites do jornal Expresso, da SIC, SIC Notícias, da plataforma de streaming Opto, entre outras do mesmo grupo. O ataque, reivindicado pelo grupo Lapsus$, terá sido inicialmente categorizado como um ransomware, contudo, o Grupo Imprensa revelou posteriormente que não existiu qualquer pedido de resgate e que se tratou de um acesso ilegítimo aos servidores utilizados pelo Expresso e pela SIC.
Um mês depois, foi a vez da Vodafone que, a 7 de fevereiro, sofreu uma disrupção das camadas de rede que suportam os serviços: redes 3G, 4G e 5G, serviços fixos de voz, televisão, SMS e serviços de atendimento voz/digital. Tratou-se de um ataque malicioso que comprometeu a comunicação de milhões de portugueses, mas também de várias empresas assentes na rede Vodafone.
Ainda o ano não ia a meio e, a 26 de abril, o Hospital Garcia de Orta, em Almada, sofreu um ransomware, possibilitado por um link malicioso enviado por e-mail (phishing). O ataque tornou indisponíveis os sistemas de atendimento aos utentes, comprometendo a realização de consultas e cirurgias. Um mês volvido, o hospital ainda se encontrava em contingência a recuperar dos danos causados pelo ataque.
Em agosto, mais uma vítima: a companhia aérea portuguesa TAP sofreu um ataque informático, associado ao comprometimento de dados de acesso. Embora as operações da empresa não tenham sido comprometidas, os dados de milhões de clientes da TAP foram expostos, entre os quais se incluem nome, nacionalidade, sexo, data de nascimento, morada, e-mail, contacto telefónico, data de registo de cliente e número de passageiro frequente.
No seguimento do aumento exponencial de ciberataques às empresas à escala mundial, também potenciado pela situação pandémica vivida desde 2020, o Parlamento Europeu (PE) e o Conselho publicaram a Diretiva (UE) 2022/2555, relativa a medidas destinadas a assegurar um elevado nível comum de cibersegurança da União. A Diretiva NIS2 (em português, diretiva relativa à Segurança das Redes e da Informação - SRI), na sua segunda versão, consagra obrigações direcionadas em especial aos operadores de serviços essenciais. A nova proposta, aprovada a 27 de dezembro de 2022, traz agora uma nova realidade aos operadores de serviços essenciais, nos quais se incluem as entidades supracitadas. Entre as novas regras encontram-se:
· A criação de políticas, procedimentos e implementação de mecanismos de segurança da informação, gestão de riscos, resposta a incidentes e continuidade de negócio;
· Implementação de ferramentas e soluções de criptografia;
· Aposta na certificação relacionada com a cibersegurança;
· Gestão ativa de vulnerabilidades;
· Investimento na formação em segurança da informação;
· Alargamento da rede de autoridades com poderes de supervisão;
· Regras para notificação de incidentes;
· Partilha voluntária de informação acerca do panorama de ameaças, para aumentar a resiliência dos setores.
O mercado das criptomoedas e criptoativos não fugiu ao panorama de ataques e, durante 2022, em especial no último trimestre, a plataforma de negociação e de investimento coletivo de criptomoedas FTX, à data envolvida em escândalos de fraude e de má gestão corporativa pelo CEO, sofreu um conjunto de ataques que, de forma continuada, atingiram principalmente as carteiras digitais dos utilizadores, num valor de cerca de 3,5 mil milhões de dólares de criptomoedas.
O sistema bancário e financeiro já se caracterizava pela descentralização de medidas de segurança e de reporte de incidentes, razão pela qual o PE e o Conselho aprovaram, também em 2022, o Regulamento relativo à Resiliência Operacional Digital (DORA), no qual se incluem os prestadores de serviços e emissores de criptoativos. Este regulamento trará ao setor bancário, financeiro e de criptoativos uma revolução de segurança da informação e das redes, com medidas que passam pelo desenvolvimento e melhoria das políticas e procedimentos, a revisão anual dos mesmos e a identificação de funções e responsabilidades em toda a organização. Nestas, incluem-se responsabilidades quanto à deteção, resposta e mitigação dos incidentes de segurança, implementação de mecanismos técnicos de gestão de acessos, gestão de alterações, princípios da funcionalidade mínima, segregação de redes e sistemas, testes de intrusão trianuais, planos de continuidade de negócio e de recuperação de desastre, gestão e avaliação de entidades terceiras e cooperação em caso de incidente de segurança. O Regulamento DORA trará uma revolução ao sistema bancário e financeiro, que se pautará pelo esforço e promoção da resiliência das organizações, mas que resultará numa maior prontidão e diligência em caso de incidente de segurança, protegendo em larga escala o setor.
Os ciberataques deixaram de ser algo que "só acontece aos outros", para ser um foco de preocupação e de investimento das organizações. Contudo, ainda existe alguma resistência na implementação de melhores ferramentas e de desenvolvimento de processos complexos (porém, úteis) na prevenção, resposta e recuperação de incidentes de segurança, como os planos de continuidade de negócio e de recuperação de desastre.
As empresas abrangidas por estes dois diplomas europeus terão um trabalho e orçamento acrescidos na implementação e adaptação destas regras nas organizações, razão pela qual o início do investimento deverá ser imediato, sob pena da aplicação de sanções, a aplicar pelas entidades de supervisão e controlo, devido ao não cumprimento com estes requisitos.
A previsão é de que 2023 seja tão ou mais danoso para as organizações do que 2022 e, como tal, será um excelente momento para pôr em prática as resoluções ciberseguras do novo ano.
Joana Mota Agostinho, sócia co-coordenadora da área de Propriedade Intelectual, Tecnologia, Media e Telecomunicações da Cuatrecasas
Mafalda de Brito Fernandes, associada da área de Propriedade Intelectual, Tecnologia, Media e Telecomunicações da Cuatrecasas