O país está acima da média global na frequência das investidas e em praticamente todos os tipos de ameaças cibernéticas, revela o mais recente estudo da Check Point Software apresentado esta semana durante a conferência "Cibersegurança: Fator-chave num business plan com futuro", organizada pelo Dinheiro Vivo em parceria com a Check Point Software Portugal. Preparar as pessoas é o primeiro passo para o reforço da segurança nas organizações.
Com o mundo a braços com uma série de desafios ambientais, económicos e sociais, olhar a cibersegurança como parte efetiva e indispensável da estratégia empresarial é, não uma necessidade, mas uma obrigação. A conclusão, retirada do painel de debate que reuniu um conjunto de especialistas e de empresários durante a conferência "Cibersegurança: Fator-chave num business plan com futuro", promovida pelo Dinheiro Vivo em parceria com a Check Point Software, reforça igualmente a ideia de que toda a estratégia de cibersegurança deverá envolver as equipas de colaboradores, e de que é necessário garantir, como ponto de partida, que a literacia digital é transversal a toda a sociedade. "Nunca estaremos 100% preparados [para um ataque], mas é possível fazer simulacros que antecipem situações", aponta desde logo Henrique Fonseca.
Segundo o administrador da Vodafone Portugal, este foi um fator essencial quando, em 2022, a operadora sofreu um ataque massivo. O gestor recomenda por isso que, à semelhança da empresa que dirige, as organizações tenham uma postura proativa e transparente no que diz respeito à cibersegurança. "E que sensibilizem e envolvam os colaboradores, fornecedores e clientes", acrescenta, reforçando que a preparação prévia permite ativar com rapidez o plano de resposta. "Quando soubemos que estávamos a ser atacados, ativámos de imediato o plano de emergência para perceber os estragos e para iniciar a recuperação das plataformas, mas partimos de um trabalho feito previamente", explica.
A experiência relatada por Henrique Fonseca é bem conhecida de José Alegria, CISO (Chief Information Security Officer) da Altice Portugal que viveu episódio semelhante em 2017, depois da operadora ter sido um dos alvos do maior ataque de ransomware de sempre, com o vírus WannaCry a infetar o sistema operativo Windows em 150 países. A data marcou a mudança na abordagem da Altice à cibersegurança que hoje é pensada de forma holística.
Prevenção, pessoas, proteção, deteção e recuperação são os elementos desta abordagem integrada na estratégia empresarial, e representam os "ingredientes" chave para o modelo de governança que, na opinião daquele responsável, deve fazer parte de todas as organizações, independentemente da sua dimensão. "Falta governança na insegurança informática, especialmente nas PME", alerta, salientando que ainda existe um longo caminho a percorrer até que todas as organizações estejam sensibilizadas para este problema. "Temos que manter esta doutrina ativa porque os ataques estão a crescer", reforça.
O relatório da Check Point Software, apresentado esta semana, não deixa margens para dúvidas de que assim é. De acordo com os dados mais recentes, o cibercrime cresceu 42% a nível global, com Portugal a contar com um aumento de 38% nos ataques informáticos, o que faz do território luso um dos que apresenta maior crescimento a nível mundial, com a maior parte das ameaças a chegar via email e a penetrar as organizações depois da abertura de ficheiros executáveis (.exe). Uma das explicações para estes números, acreditam os participantes neste debate, continua a ser falta de literacia e de preparação das pessoas. "O fator humano continua a ser o "elo mais fraco"", apontou igualmente Peter Sandkujil, vice-presidente Engineering & Software Evangelist da Check Point para a EMEA (Europe, Middle East and África), o keynote speaker que abriu a conferência do DV.
Questionados sobre o nível de preparação das organizações nacionais para o tema da cibersegurança, os participantes no debate não têm dúvidas de que o país se move a duas velocidades. "As grandes empresas estão ao nível das congéneres europeias, mas o grosso do tecido empresarial encontra-se em patamares muito inferiores", afirma Rui Duro. Para o country manager da Check Point Software Portugal, tem de haver um trabalho massivo de sensibilização, incentivada e promovida pelo governo e por instituições como o Centro Nacional de Cibersegurança (CNCS), com vista a eliminar o fosso entre estas duas realidades. "Não podemos continuar a ter empresas que investem milhões em cibersegurança, e outras que acreditam que é suficiente recorrerem a software grátis". Nuno Fernandes, coordenador da área de capacitação técnica e organizacional do Centro Nacional de Cibersegurança (CNCS), partilha da mesma opinião e reforça que as diferenças entre o grau de preparação das empresas é também o fator que determina o maior ou menor impacto de um ataque.
Já sobre o papel do CNCS, o responsável defende que "cabe a todos os atores da cibersegurança criar uma oferta formativa abrangente e para todos" e destaca os diversos projetos que a instituição que representa já tem disponível. "Temos formação gratuita em cibersegurança em modelo de e-learning, certificação em cibersegurança para PME com três níveis, abrimos sete centros de competências em todo o país para criar polos locais do CNCS e temos a C-Academy que oferece formação avançada em cibersegurança", enumera.
Na opinião de Rui Duro, esta sensibilização serve também para erradicar o típico mito de que apenas as grandes empresas são atacadas ou de que os custos de proteção são demasiado elevados. "Mesmo que não sejam o alvo principal de um ataque, as pequenas e médias empresas participam, muitas vezes e de forma inusitada, em ataques pois os seus sistemas são usados como veículo", alerta o responsável da empresa especializada em software de cibersegurança.
Ajudar os parceiros e todo o ecossistema financeiro é, na perspetiva de Ricardo Madeira, a missão de responsabilidade social da SIBS, empresa que faz a gestão da rede interbancária nacional. Segundo o chief technology officer (CTO), a instituição leva a cabo um conjunto de iniciativas com a missão de ajudar os parceiros a lidar com os desafios da cibersegurança porque acredita que a preparação para este tema começa com a formação dos recursos humanos.
"A inovação na área financeira é muito grande e acontece muito rapidamente pelo que é essencial garantir a preparação de todas as pessoas", defende. Mas, acrescenta Teresa Rosas, diretora-geral de informação e tecnologia da Fidelidade, "é preciso conhecer o risco". Na área seguradora isto é ainda mais importante, refere a responsável, porque "para protegermos as pessoas, que é a nossa missão e o nosso negócio, temos que garantir que as equipas estão preparadas, porque a segurança começa dentro de casa". A consciência e o conhecimento são, na sua opinião, o primeiro passo nas organizações porque "todos somos um alvo em movimento".
Teresa Rosas revela ainda que a procura por produtos de proteção na área da cibersegurança tem aumentado nos últimos dois anos, o que demonstra uma maior preocupação por parte das organizações. Ainda assim, acredita que "a perceção efetiva da perda e do risco continua a estar aquém do que seria ideal".