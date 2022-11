Computador © Pixabay

Depois de o site do Parlamento Europeu ter sido alvo de um ataque informático, no dia em que os eurodeputados aprovaram a resolução que determina Rússia como Estado patrocinado do terrorismo, a União Europeia adotou a Diretiva SRI 2, que visa harmonizar requisitos e a aplicação de medidas de cibersegurança entre os 27 Estados-membros. O objetivo passa por definir mecanismos de cibersegurança entre autoridades e melhorar a gestão do risco cibernético na UE.

"Se, por um lado, a pandemia criou condições de contexto para ataques com vista à captura de dados sensíveis, ataques de phishing/spear phishing bem como de práticas de extorsão, o atual contexto de perturbação geopolítica e estratégica apresenta-se como particularmente propenso a ações de atores estatais ou paraestatais com objetivos ligados à ciberespionagem ou à sabotagem, tendo como alvos a Administração Pública, os órgãos de soberania, as infraestruturas críticas e os operadores de serviços essenciais", afirma Luís Sousa, especialista em riscos cibernéticos da Marsh Portugal, ao Dinheiro Vivo (DV).

De acordo com o estudo The Changing Face of Cyber Claims da Marsh, os ataques informáticos aumentaram 37% em 2021. Para este ano, Luis Sousa refere que a frequência dos ataques até se reduziu, mas a situação continua a merecer atenção. "Os ataques de ransomware [um tipo de malware que impede os utilizadores de acederem aos seus sistemas ou ficheiros e exige-lhes o pagamento de um resgate para devolver o acesso] continuam a ser o principal destaque no tipo de ameaças registadas. Seguem-se, os casos de phishing e engenharia Social, data breach, crime (fraude financeira), investigações regulatórias e ataques de negação de serviço (DDoS)", realça.

O especialista da Marsh Portugal indica que também se tem vindo "a assistir a um aumento dos ataques às cadeias de abastecimento", sublinhando que o cenário cibernético é cada vez mais complexo, o que requer "maior capacidade de melhorias continuas e proatividade na cooperação com todos aqueles a quem as organizações permitem acessos externos ao sistema".

E, em Portugal, qual é o panorama? O país "não fica alheio" ao panorama internacional. Contudo, apresenta "um nível de maturidade manifestamente baixo", sendo "notória uma cada vez maior consciencialização por parte da gestão de topo e dos responsáveis pela gestão de risco das empresas face ao tema da cibersegurança e as implicações que eventos desta natureza podem ter nas suas organizações".

"De um modo geral, [as empresas portuguesas] têm procurado aumentar os seus investimentos com vista a uma maior proteção contra ciberataques", assevera Luís Sousa.

Luís Sousa, Cyber Risk Specialist da Marsh Portugal. © D.R.

De acordo com o mesmo responsável, a Marsh identifica os setores da banca e saúde, bem como o das infraestruturas digitais e indústria como "os mais afetados" pelos ataques informáticos. Só na indústria, registou-se "um aumento de cerca de 378% no número de incidentes reportados entre 20219 e 2021", tendo em conta a tardia digitalização do setor.

Ainda assim, houve uma diminuição da perda média por cada incidente, passando de 1,9 milhão de euros (2019) para pouco mais de um milhão de euros (2021), segundo o referido estudo da Marsh.

Relativamente à origem dos ataques, Luís Sousa explica "o número de eventos maliciosos continua a aumentar ao contrário dos eventos acidentais ou causados por facilitismo dos funcionários". "Podemos associar a diminuição dos eventos acidentais ao aumento do investimento em medidas de mitigação de risco adotadas e, também, ao aumento da formação, treino e capacitação dos trabalhadores das organizações - que continuarão a ser a primeira linha de defesa dos organismos", acrescenta. Todavia, ressalva, que o "o aumento do número de eventos ou ataques maliciosos passará pela habilidade dos atacantes em evoluir rapidamente e desenvolver novas e mais sofisticadas técnicas de ataque".

E é muito frequente as empresas pagarem resgates perante ataques informáticos? O estudo da Marsh conclui indica haver um decréscimo do número de empresas que pagaram resgates cibernéticos. Do quarto trimestre de 2021 para o segundo trimestre de 2022, observou-se uma redução de 34% no pagamento médio de resgates.

Para Pedro Machado, data protection officer grupo Ageas Portugal, assumir que a principal motivação de um ataque informático é económica "pode permitir que se pense que as demais motivações, no universo total dos ataques, não são relevantes ou expressivas, o que não é absolutamente verdadeiro". "Especialmente no momento atual, em que grande parte dos conflitos geoestratégicos assume a forma de guerra híbrida, existindo um conflito no ciberespaço de atores estatais e de motivações hackativistas, representativas de ideologias políticas, éticas e crenças várias".

Segundo o relatório de Threat Landscape for Ransomware Attacks deste ano, da agência europeia ENISA, estima-se que mais de 60% das organizações atacadas poderão ter pago um resgate. O especialista diz tratar-se de um "número demasiado elevado", e que se deve ter em atenção que o pagamento "serve muitas vezes como financiamento de atividades criminosas", mas relembra que se trata de um "decréscimo expressivo de 23% face ao período homólogo". "Já será resultado das campanhas de sensibilização para o não pagamento, até porque 35% das organizações que pagaram, não obtiveram acesso aos mesmos, agravando ainda mais as perdas e responsabilidades criminais", adianta.

Observando a realidade portuguesa, Pedro Machado declara haver "assimetrias verificáveis no mercado", relativamente às melhores atitudes a tomar pelas organizações perante um ataque informático. Aliás, realça, muitas das melhorias observáveis na atuação das empresas decorre do "cumprimento de obrigações legais e regulatórias, que podem ser diferentes de setor para setor".

Outro dado relevante no caso português é que, segundo um inquérito às empresas sobre a utilização de tecnologias, a principal medida de segurança no acesso a sistemas das empresas consiste numa palavra-passe. "Portugal tem vindo a realizar um percurso que visa estimular o aumento da maturidade", avalia Pedro Machado, notando que ainda há uma "grande oportunidade" de evolução no nível de maturidade em cibersegurança.

"Em muitas das avaliações à maturidade são considerados, para além de outros critérios, o número de incidentes de segurança. Ora, grande parte do aumento registado do número de incidentes deve-se ao incremento de controlos detetivos, que por si só já revela-se similarmente positivo. Há muito que os incidentes ocorriam e, por falta de ferramentas detetivas. A maioria das organizações nem se apercebia. A partir do momento em que implementa estas ferramentas, seja por tomada de consciência do risco, seja por mero cumprimento de obrigações legais e regulatórias, passa a ter evidência de vulnerabilidades e de ameaças, levando a uma maior consciencialização do risco, que muitas vezes é erroneamente confundido com a maturidade da organização", explica.

A melhoria no nível de maturidade em segurança informática descrito pelo especialista deve-se à "desde logo pela maior preocupação e atenção da gestão de topo". Talvez por isso, na área seguradora, os programas alusivos aos riscos cibernéticos estejam a ser mais procurados. "Representam uma decisão inteligente de transferência do risco. Neste sentido, admitimos que a tendência de negócio será em curva crescente, com declive matematicamente proporcional ao nível de consciencialização do mercado para os riscos no ciberespaço", conclui.