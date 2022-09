À semelhança do arranque do ano de 2022, assistimos nos últimos dias a inúmeros ciberataques em praticamente todas as áreas - futebol (Sporting e FC Porto), fintech (Revolut), imprensa (Jornal i), transportes (Uber e TAP), estatais (Forças Armadas) e ainda, videojogos (GTA). Todos estes exemplos reforçam que, em matéria de cibersegurança, raras são as áreas que escapam à espiral crescente de ciberataques e, consequentemente, prejudicam a sociedade, a credibilidade e confiança no mundo digital, e por fim, os próprios consumidores destes serviços.

Para além da exposição de dados pessoais de milhares de cidadãos - o que é grave per se -, estes poderão ainda ser expostos e reutilizados para outros fins fraudulentos ou maliciosos. A título de exemplo, podemos ver o caso da TAP, no qual foram expostos dados de 1,5 milhões de clientes, inclusive do número de passageiro frequente; da Revolut, através do qual foram expostos dados pessoais também sensíveis, como dados de cartões de pagamentos; e ainda, o registo de diversos incidentes informáticos ao Estado General das Forças Armadas, com a exposição de documentos confidenciais enviados pela NATO a Portugal.

Em jeito de contextualização, refiro ainda os casos em que os websites ficam indisponíveis, nomeadamente nos casos dos ciberataques perpetrados ao Sporting e FC Porto do tipo DDoS (Distributed Denial of Service), e ainda o caso do órgão de comunicação - Jornal i, através do qual não foram efetuadas publicações da edição impressa devido a bloqueios no sistema de produção e gestão de conteúdos. Um pequeno exemplo do que pudemos aliás assistir no início do ano face ao ataque ao Grupo Impresa (Expresso).

Vejamos, ainda, o ciberataque à Uber que reforça a importância para a proteção das suas credenciais (passwords) - o conselho mais basilar que qualquer colaborador de empresa ou cidadão deverá ter em atenção - aliás, reforçando sempre, e cada vez mais, a implementação de mecanismos adicionais de autenticação para além da (frágil) "password". O ataque ocorreu através do acesso a diversos esquemas de comunicação e de infraestrutura tecnológica da empresa aparentemente através do roubo de credenciais. O mesmo grupo cibercriminoso elaborou ainda um ataque cibernético à produtora do GTA, divulgando vários vídeos e imagens da versão mais recente do jogo.

Como tenho vindo a referir ao longo destes meses, o crescente número de ciberataques continua a demonstrar o pouco que estamos (todos) tão mal preparados e atentos no que toca à cibersegurança e maturidade digital. O reforço do investimento nesta área foi, é e continua a ser, fundamental, precisamente para que a cultura organizacional e "mindset" da própria organização respeite os riscos do atual mundo cibernético. Se não conseguem viver neste novo paradigma digital, fazendo valer a segurança da sua informação e do seu negócio, então não podem viver nesta comunidade. Voltamos novamente ao tema dos ecossistemas de segurança e dos requisitos mínimos para poder viver dentro desses mesmos ecossistemas. Mais do que nunca, urge que os gestores e os grandes decisores invistam neste aspeto dentro das suas empresas ou organizações para que consigam contornar um dos maiores flagelos - o roubo, a divulgação e comercialização ilegítima de informação referente ao seu negócio (envolva ou não dados pessoais) - o que conduz inevitavelmente a uma quebra de confiança generalizada (e sem retorno) por parte do mercado na sua generalidade.

Mais do que alocar budget da organização em aquisição de infraestrutura como solução milagrosa, é crucial apostar num modelo de segurança evolutivo e contínuo, que alcance a tecnologia, os procedimentos e as próprias pessoas. Neste último, e face ao aparecimento de inúmeros (novos) especialistas de segurança, importa também reforçar que a escolha do seu parceiro de segurança é crucial. A opção de optar por serviços "banais" de segurança meramente baseado no "fator preço" sem ter em consideração a experiência ou especialização na área, é obviamente um caminho para o insucesso e frustração a curto prazo. A evolução da complexidade e inovação dos ataques cibernéticos obriga a ter ao seu lado um especialista com experiência, e não, meramente alguém que aderiu à "moda" da segurança e que, para além de vender impressoras ou soluções de gestão documental, também faz umas "coisas" de cibersegurança.

Bruno Castro, CEO da VisionWare