A partilha voluntária de informação acerca dos incidentes de segurança da informação tem vindo a adquirir uma relevância crescente na mais recente legislação em matéria de segurança da informação e do ciberespaço. Algumas normas europeias, como a NIS (Diretiva Relativa à Segurança das Redes e da Informação) e o DORA (Regulamento de Resiliência Operacional Digital) reforçam, para além da obrigatoriedade da notificação dos incidentes às entidades de supervisão, a importância da partilha de informação em grupos (setoriais, nacionais e/ou internacionais), numa ótica de melhoria contínua, aprendizagem e fomento da resiliência. Contudo, muitas empresas optam por não partilhar qualquer tipo de detalhes acerca do incidente, por receio da exposição de vulnerabilidades e do risco reputacional, e de fragilidade face aos seus concorrentes de mercado. Porém, a lista de razões para não partilhar estas informações não fica por aqui.
Empresas que sofrem ciberataques e que estão dispostas a partilhar detalhes sobre esses incidentes com outras entidades não só ajudam a fortalecer a resiliência cibernética em geral, como também permitem que a comunidade aprenda com os erros dos outros, evitando assim a recorrência do mesmo tipo de incidentes. Com tantos benefícios associados, por que razão não é esta prática assim tão comum?
Os ciberataques, para além do impacto económico, reputacional e operacional que acarretam, configuram, na sua maioria, crimes: acesso ilegítimo, sabotagem informática, burla informática, dano relativo a programas ou outros dados informáticos, uso ilegal de marca, entre outros. Uma vez classificados como tal, as empresas deveriam, idealmente, apresentar queixa-crime junto dos órgãos de polícia criminal para identificar o(s) agente(s) criminoso(s). Porém, da investigação do incidente poderão surgir indícios de que a própria empresa não cumpriu com as obrigações legais em matéria de cibersegurança (vejamos como exemplo uma empresa que não investiu em políticas ou ferramentas de gestão de acessos aos dados e sistemas confidenciais e sofre um ataque de ransomware). Uma vez que o incidente deverá também ser reportado às entidades de supervisão, estas poderão efetuar também uma diligência de verificação dos requisitos legais implementados e aplicar uma coima em caso de não cumprimento.
Uma segunda razão para a não partilha de informação sobre incidentes está ligada com as condicionantes associadas aos seguros e resseguros de cibersegurança. Os seguros (e resseguros, tipicamente no caso das empresas de maior dimensão) poderão não cobrir os danos causados pelo ataque se se concluir que a empresa segurada foi negligente na sua abordagem ou se se descobrir que não tomou medidas razoáveis para proteger os seus ativos, ou até se a empresa segurada não estiver em conformidade com as políticas de segurança estipuladas na apólice. Não só o incidente pode ser motivo para negar a cobertura, como pode também aumentar o valor do prémio do seguro nos anos seguintes.
Em terceiro e último lugar, a exposição pública e mediática. É natural que não oiçamos falar de todos os incidentes de segurança da informação que ocorrem porque são diários e constantes, mas aqueles que afetam os clientes e as suas vidas diárias são os mais propícios ao escrutínio público - o ano de 2022 foi muito claro a evidenciar isto. Contudo, e excluindo os incidentes claros de indisponibilidade de serviços em larga escala com consequências óbvias e imediatas para os clientes, a esmagadora maioria dos ciberataques e das suas especificidades são abafados pelas empresas numa ótica de precaução reputacional; outros, impossíveis de esconder, são notificados ao público como estratégias de marketing brilhantes (aqui, uma boa equipa de gestão de comunicação e de crise faz toda a diferença). Contudo, os clientes e consumidores de determinados serviços são os mais afetados, não podendo, em momento algum, ser desconsiderados quando as suas informações ou os serviços que utilizam são afetados - aqueles a quem confiamos a custódia das nossas informações falharam na sua obrigação mínima de comunicar esse incidente, para que os próprios clientes possam, por si, tomar ações diligentes de proteção das suas informações.
Um exemplo da importância da transparência ocorreu em fevereiro de 2023, quando o Reddit (fórum online e plataforma agregadora de notícias) comunicou publicamente que tinha sido vítima de um incidente de phishing direcionado aos seus colaboradores, aconselhando os seus utilizadores a proteger as suas contas. Para além da transparência, o Reddit entendeu que o papel dos clientes era igualmente importante na contenção do incidente, envolvendo os seus utilizadores naquilo que é uma responsabilidade de todos: a segurança da informação.
O maior clichê da cibersegurança é aquele que diz que não é uma questão de "se", mas sim uma questão de "quando", mas isto não significa que as empresas não tenham de se precaver destas ocorrências. A empresa que aposta e investe em mecanismos de cibersegurança, cumpre os requisitos legais, cumpre as boas práticas de padrões de referência e é, inclusive, certificada, também pode sofrer a qualquer momento um ciberataque. O que se verifica igualmente é que a esmagadora maioria dos incidentes não são partilhados por receio de represálias, sejam elas de índole reputacional ou económica, mas se existe um receio de represálias, tal pode significar que a empresa não fez o que estava ao seu alcance para proteger a sua infraestrutura e os seus clientes.
O ponto fulcral neste dilema entre a vulnerabilidade da empresa e a construção da resiliência dos setores é o de que "quem não deve, não teme". Partilhar voluntariamente informações sobre ameaças, vulnerabilidades e incidentes não só ajuda na guerra contra o cibercrime, como serve de exemplo para as restantes empresas a nível nacional e internacional - trata-se, em último caso, de uma responsabilidade coletiva. Mas a concretização desta abordagem equilibrada entre a reputação, a transparência e a cooperação carece de um elemento essencial: uma equipa de resposta a incidentes especializada e multidisciplinar.
Mafalda de Brito Fernandes, Associada da área de Propriedade Intelectual, Tecnologias e Meios Digitais da Cuatrecasas