Cibersegurança: os seus dados estão seguros?

Portugal está, atualmente, entre os 30 países que mais sofrem ataques cibernéticos, com danos e perdas elevados, que ascendem a milhões de euros. Apesar disso, apenas 1% das empresas tem seguros com coberturas específicas para esta temática. Saiba como deve prevenir-se para garantir que os dados da sua empresa não ficam reféns de cibercriminosos. 

Em 2021, as empresas portuguesas sofreram, no seu conjunto e em média, cerca de 881 ataques informáticos por semana. Um número assustador que reflete o crescimento de 81% no cibercrime ao longo dos 12 meses do ano passado, segundo dados da Check Point, empresa de segurança informática. Esta tendência, que vinha a aumentar há alguns anos, deu um primeiro salto exponencial a partir do início da pandemia, e foi tomando enormes proporções desde então. São cada vez mais os casos mediáticos como os que aconteceram em Portugal desde o início do ano. Grupo Impresa, Vodafone, Laboratórios Germano de Sousa ou Grupo Sonae representam, contudo, uma pequena parte de todos os ataques a empresas nacionais.

Para 2022, a Check Point não antecipa um cenário de recuperação, muito pelo contrário. A tendência será para a concretização de ataques cada vez mais sofisticados e transversais a organizações de qualquer sector ou dimensão. A verdade é que basta estar ligado à internet – e atualmente dificilmente uma empresa não está – para abrir a porta a qualquer tipo de intrusão. Recorde-se que a grande maioria dos ataques de phishing, por exemplo, acontecem por “erro humano”. Mais de 80% das situações decorrem de ficheiros, anexos de emails, cujo malware é instalado nos equipamentos assim que o utilizador os abre, seja por descuido ou desconhecimento.

Com a pandemia, o trabalho fora dos escritórios descentralizou-se e as empresas viram-se a braços com o desafio de lidar com equipas geograficamente dispersas. Esta dispersão aumentou exponencialmente o risco de ataque informático, uma vez que, mesmo as organizações habituadas a investir em cibersegurança, não estavam preparadas para “policiar” um perímetro tão alargado. Uma mudança de paradigma que obrigou a repensar as soluções de segurança e que, para muitos, foi o primeiro passo na definição da cibersegurança como estratégica, pensada e adaptada ao negócio e às suas necessidades.

A ideia de que o cibercrime só “acontece aos outros” está, por isso, claramente ultrapassada, pelo que é importante que empresários e gestores estejam atentos e preparados para proteger o seu ativo mais valioso: os dados. Mas para fazê-lo com segurança e minimizar os riscos, é preciso que as organizações olhem para a cibersegurança como um investimento necessário e não como um custo, apostando apenas em software antivírus ou firewalls. Trancaria a sua porta de casa e instalaria um alarme topo de gama para depois deixar a janela aberta? Provavelmente não.

O negócio do ransomware

Ao longo dos últimos anos, os ataques de ransomware ganharam protagonismo e dimensão, sendo atualmente o tipo de cibercrime mais frequente. São ataques em que existe um bloqueio de dados ou infraestruturas das empresas, que são posteriormente libertados mediante o pagamento de um resgate, normalmente em criptomoeda. O não pagamento pode levar à perda total de dados, com prejuízos irreparáveis para as organizações. Segundo a Sophos, empresa especializada no desenvolvimento de software, este tipo de ataque tenderá a tornar-se mais popular entre grupos de cibercriminosos, reinventando formas de violação e apropriação de dados, e de extorsão.

Uma dessas tendências, que já começa a ser visível, são os ataques a cadeias de abastecimento. Ou seja, os cibercriminosos procuram pontos mais sensíveis nestas cadeias, acabando por interferir com o seu funcionamento. Por precaução, algumas grandes empresas nos setores logístico e da distribuição estão a tornar obrigatória a certificação em cibersegurança, conduzindo a uma atualização de todos os parceiros para garantir transações seguras. Segundo a consultora Gartner, cerca de 60% das organizações nestes setores estarão a usar ou a avaliar impor a cibersegurança como requisito essencial para a realização de transações com os seus clientes e parceiros de negócio.

Outra tendência, apontada pela Forrester Research, passa pela aposta crescente em seguros com coberturas específicas para cibercrime. Esta será uma medida de precaução para proteger os ativos, mas também muito importante para contratos, acordos ou parcerias entre diferentes entidades. Contudo, alerta a mesma fonte, esta tendência pode gerar o reverso da medalha, com os cibercriminosos a tornarem-se ainda mais sofisticados, o que aumenta o risco e, paralelamente, pode inflacionar o preço das apólices. Em Portugal, só agora começa a falar-se desta possibilidade e soube-se recentemente, através de um estudo da MDS Research, que menos de 1% das empresas nacionais já possui um seguro com risco cibernético. 

A legislação também será obrigada a acompanhar estas mudanças. Segundo a Gartner, mais de 75% da população mundial verá, ao longo de 2023, as suas informações pessoais incluídas nas leis de privacidade, o que obrigará as organizações a integrar e automatizar sistemas de gestão da privacidade.

Por outro lado, as empresas têm de olhar mais atentamente para os seus atuais sistemas de backup e de redundância, de forma a garantir que, em caso de ataque, a informação crítica não se perde. A tendência será para recorrer a sistemas de cloud mas, aconselham os especialistas, garantindo que o fazem com fornecedores devidamente reconhecidos e certificados, e avaliando os tempos desejáveis de recuperação da informação da cloud para os sistemas da empresa. Ainda assim, o mais tradicional backup em suporte físico (discos, servidores, etc…) não deve ser totalmente posto de lado, pois nunca é demais replicar a informação para garantir a sua inviolabilidade.