O ataque informático à Impresa não só marcou o arranque de 2022, em Portugal, como voltou a mostrar que, a par das grandes empresas internacionais, as companhias nacionais também são alvos de redes de criminosos informáticos profissionais. Antes, ciberataques a grandes empresas, como a EDP e a Altice Portugal, já tinham evidenciado como os negócios em território nacional não estão imunes aos perigos da internet. Agora, a Impresa, pela natural exposição mediática do negócio, reacendeu a luz para um perigo que há muito os especialistas em cibersegurança alertam: o cibercrime é real e o risco de ciberataques é permanente.

"Todas as empresas do mundo estão expostas à possibilidade de sofrer um ciberataque", afirma ao Dinheiro Vivo Luís Martins, vice-presidente da Cipher em Portugal, a divisão de cibersegurança da Prosegur. Para este especialista, os ataques informáticos multiplicaram-se, nos últimos anos. Em 2020 e 2021, a pandemia acelerou a digitalização dos negócios e das rotinas de trabalho, criando novos desafios na segurança das redes. Resultado? Os ciberataques são hoje "um dos fatores de risco mais importantes para as empresas", segundo Luís Martins.

Uma análise da Microsoft, divulgada em outubro de 2021, concluiu que a "economia do crime cibernético evoluiu para indústria criminosa madura". Já o 2021 Cyber Security Risk Report, da seguradora AON, à escala mundial, apontava que apenas duas em cada cinco organizações estão preparadas para enfrentar ameaças à cibersegurança. Em Portugal as ameaças informáticas às organizações nacionais têm crescido.

O último relatório de Relatório Anual de Segurança Interna (RASI), do governo, relativo a 2020, apontava que desde março desse ano - o primeiro mês de confinamento devido à covid-19 - se notava um "aumento do número de incidentes [de cibersegurança]". Os dados do RASI ganham força, tendo em conta que o relatório Riscos & Conflitos 2021 do Centro Nacional de Cibersegurança revelou que o risco de alguma entidade registar um ataque informático aumentou 94%, em 2020. A percentagem caiu para 86%, em 2021. O perigo permanece elevado.

Os especialistas afirmam que a cibersegurança é hoje um tópico prioritário para as empresas, que querem melhorar o nível de maturidade das organizações. "Além disso, a maior cobertura mediática dos recentes ataques está a aumentar a sensibilização das empresas e a segurança cibernética começa a estar presente na agenda dos gestores", afiança o gestor. "Creio que os portugueses em teoria já estarão mais sensibilizados para estas situações", realça Luís Lobo e Silva, managing partner da Focus2Comply. O gestor refere, contudo, que persiste a ideia "de que só acontece aos outros e que ainda se facilita no modo como se utilizam os meios digitais e equipamentos".

Não obstante, salienta o responsável da Focus2Comply, as empresas portuguesas começam a ter "diversos mecanismos, sejam tecnológicos, mas também de caráter técnico-organizativo, de paulatinamente irem adotando e implementando nas suas políticas e infraestruturas", em matéria de cibersegurança. "Não é por acaso que, em alguns setores, já existem orientações regulatórias para que o CISO [administrador com o pelouro da cibersegurança] tenha assento no conselho de administração das organizações, anota Luís Lobo e Silva.

A estratégia das empresas deverá passar por terem um plano de atuação. No fundo, "terem um levantamento documentado dos seus ativos de risco e uma análise de risco bem definida, por forma a definirem um plano de recuperação tecnológico para agirem de maneira concertada em caso de incidente", aconselha o gestor da Focus2Comply.

Esse tipo de atenção, investimento e ação preventiva das empresas já ocorre. Mas Luís Martins, da Cipher, alerta: "Apesar do crescente aumento do investimento em cibersegurança, a capacidade de inovação dos cibercriminosos é frequentemente maior do que a do próprio mercado. Significa isto que muitas organizações têm de repensar a sua estratégia de cibersegurança para garantir que possuem os protocolos e sistemas de segurança mais avançados, uma vez que os ciberataques estão a tornar-se mais numerosos e sofisticados".

"Os principais desafios serão proteger as organizações nas suas estratégias de transformação digital, principalmente na sua evolução para a cloud, o aumento do teletrabalho e a obsolescência de alguns dos seus ambientes. Além disso, o fator humano continua a ser um dos mais importantes desafios a enfrentar e é prioritário estabelecer planos de sensibilização adequados, uma vez que este fator desempenha um papel crucial na ativação do malware. De acordo com as estatísticas, o fator humano é o ponto mais vulnerável nas questões relacionadas com a Segurança da Informação", acrescenta o vice-presidente da Cipher.

A falta de ação e prevenção das empresas podem ter resultados negativos. Primeiro, na credibilidade e reputação das empresas, uma vez que os dados de clientes, parceiros, funcionários e outros podem ficar comprometidos. Em segundo, a falta de atuação pode contribuir para que um incidente se traduza em prejuízos financeiros para os negócios. "Estes custos costumam ser uma fração das perdas totais para os acionistas que implicam as possibilidades de fragilização da marca, perda da confiança do consumidor, dos credores e dos parceiros corporativos, custos legais por violação do sigilo do consumidor, bem como interrupção de serviços", afirma Luís Martins, da Cipher.

Ricardo Negrão, responsável pela área de análise ao risco cibernético da seguradora Aon, em Portugal, estimava, numa entrevista ao DV, em novembro de 2021, que os ciberataques podem custar às grandes empresas até dez milhões de euros. O impacto pode ser superior - a falta de dados não permite aos especialistas em cibersegurança uma quantificação mais rigorosa. O cálculo foi feito só com base em ataques de ransomware - o que ocorre mais vezes -, com a certeza de que Portugal é cada vez mais "apetecível" e a cultura empresarial ainda é barreira à segurança cibernética.

Quem são os principais alvos dos ataques? "O Estado de um modo geral, o setor da saúde (setor público e setor privado) e o setor financeiro. Depois temos ataques premeditados pelas mais diversas razões", aponta Luís Lobo e Silva. O já referido relatório da AON aponta, ainda, as empresas de media e de telecomunicações - "grandes agregadores de dados" - como alvos comuns.