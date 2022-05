As PME devem estar atentas ao aumento do cibercrime devido à escala do conflito na Ucrânia.

A invasão russa da Ucrânia é uma tragédia humana a uma escala que muitos de nós nunca experienciamos; é difícil ver as notícias sem ficar horrorizado com a violência sem sentido. O desenrolar dos acontecimentos terá também efeitos colaterais a nível económico e político em todo o mundo, disso não há dúvidas. Enquanto os combates reais decorrem no terreno, os ciberataques, os novos inquilinos da guerra moderna, podem ter impacto em negócios de todas as dimensões, um pouco por todo o mundo.

Recentemente, a Casa Branca advertiu as empresas dos Estados Unidos para se prepararem para os iminentes ciberataques com base na Rússia. O Departamento de Segurança Interna identificou 16 diferentes indústrias relacionadas com infraestruturas que serão provavelmente alvo de ciberataques, incluindo transportes, energia, saúde pública e comunicações. As empresas que fazem negócios na Ucrânia estão a assistir a mais ataques e as empresas que tomam medidas para limitar a sua interação com a Rússia podem também estar a colocar um alvo nas suas costas.

O cibercrime não é um fenómeno novo, mas as tendências recentes agravaram-se: desde que a invasão começou, em finais de fevereiro de 2022, o número deste tipo de ataques cibernéticos contra os contratantes no setor da defesa dos EUA aumentou 800%. Do mesmo modo, os esforços baseados na Rússia para recolher nomes de utilizador e passwords também cresceram drasticamente, de cerca de 50 para 400 por dia, desde 27 de fevereiro.

Porque é que a cibersegurança é importante para as empresas?

As empresas podem não fazer parte de uma das indústrias de alto risco identificadas, mas isso não significa que não devam estar mais preparadas. As pequenas empresas são frequentemente, e particularmente, vulneráveis aos ciberataques, por duas razões:

- Em primeiro lugar, porque muitas vezes não dispõem de tempo, espaço ou recursos para se dedicarem à gestão e segurança informáticas, um desafio que se torna ainda mais sério com a mudança para o trabalho remoto durante a pandemia da covid-19, que expandiu dramaticamente a superfície de ataque fora das infraestruturas de uma empresa;

- Em segundo lugar, porque são frequentemente alvo de cibercriminosos que procuram alvos fáceis, como um ladrão de carros que procura o veículo com as janelas abertas e as portas destrancadas.

Os hackers exploram passwords fracas e utilizam e-mails de phishing para obter controlo dos computadores e da rede empresarial. Uma vez conseguido o acesso aos pequenos fornecedores, utilizam redes ligadas e alavancam relações estabelecidas e de confiança para enviar as suas cargas úteis (payloads) maliciosas pela cadeia de abastecimento até atingirem os alvos pretendidos.

Estas ameaças podem ser assustadoras e avassaladoras; como resultado, muitas empresas optam por não fazer nada, ficando desnecessariamente vulneráveis. E, embora as ameaças existam sempre, existe um conjunto de coisas muito básicas que as empresas podem fazer para reduzir significativamente a sua vulnerabilidade.

1) Criar uma cultura de segurança

Há muita tecnologia envolvida na cibersegurança, mas muitos dos riscos são, na verdade, "humanos". Mais de 80% dos ciberataques ocorrem devido a passwords ou credenciais comprometidas, na sua maioria devido ao comportamento humano. Educar a empresa e os colaboradores e consciencializar acerca das questões de segurança é fundamental. Todos devem compreender o seu papel na proteção dos dados e recursos da empresa.

2) Seguir um conjunto básico de melhores práticas

Assim que os colaboradores compreenderem a importância da segurança, é importante pôr em prática os melhores hábitos para minimizar os riscos. Estes incluem a higiene básica das passwords: utilizar passwords fortes, alterá-las frequentemente, não as reutilizar e não as partilhar de forma a poderem ser roubadas. A utilização de autenticação multifator acrescenta outra camada importante de proteção. Além disso, a gestão dos direitos de acesso dentro das empresas, limitando o acesso de equipas mais pequenas a sistemas críticos, ajuda a reduzir a exposição ao risco. Ferramentas que ajudam a filtrar ataques de phishing ou impedem o acesso de dispositivos comprometidos à rede empresarial são medidas complementares que podem ser tomadas como uma camada adicional de segurança se as passwords forem comprometidas, mas a melhor defesa é mesmo minimizar a probabilidade de tal acontecer.

3) Facilitar a vida dos colaboradores

Estas melhores práticas parecem óbvias, mas conseguir a sua adoção nas empresas pode ser um desafio, porque se estará a pedir aos colaboradores que mudem o seu comportamento. Utilizar um gestor de passwords pode facilitar estas práticas nas equipas, permitindo gerir todos os aspetos de acesso e autenticação num único local. A utilização de uma única solução de login em conjunto com uma ferramenta de gestão de passwords pode tornar a gestão do acesso tanto mais fácil para as equipas de TI, como descomplicada para os colaboradores.

4) Medir a eficácia do programa

Como diz o ditado, you can"t manage it if you can"t measure it (não o pode gerir se não o puder medir). Por isso, é importante começar com uma linha de base e medir as melhorias na segurança das empresas. Uma forma de o fazer é utilizando uma função de saúde da password que rastreia as pontuações de segurança da empresa ao longo do tempo. Um teste/auditoria de segurança também pode ser útil para ajudar a rastrear e melhorar as métricas - como quantos colaboradores estão a reutilizar a mesma password ou quantos estão a utilizar passwords fracas.

Os ciberataques estão a aumentar, e acontecimentos como a horrível invasão da Ucrânia apenas tornam isso mais óbvio. A ameaça cibernética pode ser intimidante para qualquer empresa, mas especialmente para as pequenas empresas que não têm recursos ou conhecimentos especializados para lidar com estas vulnerabilidades. Existem, no entanto, algumas ações muito básicas que todas as empresas podem levar a cabo e que reduzem significativamente a sua exposição ao risco. Ao concentrarem-se numa cultura de segurança, tornando o comportamento de segurança consciente fácil para os colaboradores, e medindo o progresso, as empresas podem tornar as questões de segurança simples para o negócio e para os colaboradores.

JD Sherman, CEO da Dashlane