Artigo publicado originalmente a 26 de março de 2017 e foi republicado a 12 de maio de 2017 devido ao ataque informático a nível internacional.

As empresas, pelos negócios que processam, dinheiro que movimentam e informação que possuem, são cada vez mais um alvo preferencial do crime informático. Pela natureza do risco, facilmente somos levados a pensar que elas se protegem melhor que um utilizador comum, mas não é bem assim.

Um estudo levado a cabo pela consultora EY revelou que 86% das empresas não estão preparadas para ataques virtuais. O estudo teve como base respostas dadas por 1.735 organizações no mundo inteiro pertencentes a 20 setores empresariais distintos. Em comunicado, a consultora avança que 57% dos inquiridos já sofreu, pelo menos, um ataque virtual e que 42% não tem qualquer tipo de plano de prevenção para o caso de serem vítimas de um ciberataque.

O Observador falou com Andreia Teixeira, especialista na área de cibersegurança da Aon Portugal, corretora de seguros, que começou por esclarecer que “em primeiro lugar há que deixar claro que muitos dos casos nacionais de ataques a sistemas e redes ou falhas na segurança informática não são conhecidos do público, não querendo isto dizer que não sucedam”.

Andreia Teixeira explica ainda que muitas das situações atualmente conhecidas de ataques ou falhas de segurança chegam à empresa por parte dos EUA, no entanto, “não deixamos de verificar um número crescente de notícias sobre entidades portuguesas alvo de ataque ou de falhas na segurança informática”.

Andreia Teixeira, especialista na área de cibersegurança da Aon Portugal

O facto de ser um empresa portuguesa parece não ter qualquer impedimento no que toca a ser um potencial alvo a atacar. Andreia Teixeira esclarece que “Em síntese, quando falamos de riscos cibernéticos temos de vê-los extensíveis a uma escala global, não só pelas várias conexões transfronteiriças estabelecidas no recurso à internet mas também porque todos os países dependem largamente de meios informáticos e eletrónicos, não sendo Portugal exceção”.

Luís Grangeia, especialista em segurança informática da S21sec, empresa ibérica de serviços de segurança de informação, entende que “em sectores mais expostos e onde a segurança tem de ser uma prioridade como a Banca, Compras Online e serviços de Internet, acho que estamos relativamente bem e talvez até acima da média da Europa.”

Mas acrescenta: “empresas mais pequenas ou menos centradas na informática são um alvo apetecível para ataques de phishing e ransomware, como foi o caso em 2016. Por exemplo: comércio tradicional, serviços legais, indústria transformadora, saúde, média, são sectores que dependem muito da segurança informática mas que talvez não estejam a investir tanto como deveriam.”

Segundo um estudo levado a cabo pela empresa especializada em cibersegurança, Stroz Friedberg, os ataques cibernéticos têm tendência a aumentar ao longo do ano de 2017, sendo as maiores ameaças casos de ciberespionagem, um crescente aumento dos ataques que colocam em causa a integridade dos dados e uma maior ameaça por parte dos ataques que envolvem dispositivos IoT (Internet of Things ou, em português, Internet das Coisas).

Um fator que influencia o interesse dos cibercriminosos é, como seria de esperar, o tamanho da entidade. “As empresas de maior dimensão são, via de regra, mais ameaçadas por virtude da informação valiosa que alojam”, esclarece Andreia Teixeira.

Mas quanto maior a empresa maior o risco, ou todas estão potencialmente em perigo? “Depende do ponto de vista”, afirma Luís Grangeia. “Para um pequeno empresário é muito complicado não conseguir processar o pagamento de salários no fim do mês porque os sistemas estão bloqueados com ransomware, como já vi acontecer. Mas um atacante sabe que quanto maior a empresa maior é a probabilidade de conseguir um ganho financeiro significativo.”

Nas bases de dados das empresas é possível encontrar inúmeros dados referentes a clientes, funcionários, informações corporativas, de natureza comercial, de negócio, fornecedores, etc., que acabam por ter um interesse superior, visto que uma falha de segurança numa grande empresa vai provocar um maior impacto e permite obter muito mais informação, comparativamente com as pequenas e médias empresas.

“Não obstante”, refuta Andreia Teixeira, “as empresas de menor dimensão não deixam de ser alvo de ataques precisamente porque estão menos preparadas, apresentando níveis de proteção e resiliência menores e, portanto, são um ‘alvo fácil a abater’”.

“O tamanho é importante pois afeta a capacidade de investimento. A sensibilização para os problemas existe em qualquer empresa. No entanto as empresas mais pequenas têm uma menor capacidade de transformar essa sensibilização em medidas concretas que melhorem a segurança”, afirma Luís Grangeia.

Mas as empresas portuguesas estão sensibilizadas para o risco? O especialista em segurança informática da S21sec acha que sim, considerando que “o problema não é tanto a falta de sensibilização, mas saber a melhor forma de minimizar a probabilidade e o impacto de um ataque informático, e isso depende de muitos fatores: o tamanho da empresa, o que fazem, a importância que os seus sistemas informáticos têm para o negócio, etc.” E concretiza a ideia com um exemplo claro: “As medidas que as empresas tomam têm de fazer sentido economicamente. Não faz sentido gastar milhares num cadeado para proteger uma bicicleta de 200€.”

Luís Grangeia, especialista em segurança informática na S21sec

E as empresas correm todas, de forma geral, o mesmo risco? Não, de todo. Empresas do setor público, da banca, saúde, educação, hotelaria, retalho e prestadores de serviços (advogados, revisores oficiais de contas, etc.) correm um maior risco devido a serem “designadas como ’gigantes da informação’”, diz Andreia Teixeira.

Segundo a especialista em cibersegurança, “o sector da saúde tem um especial desafio pelas consequências que podem advir de uma falha nos sistemas”. O resultado proveniente destes ataques pode ter impactos mais graves do que o roubo de informação. Ao aceder aos sistemas de um hospital, o hacker pode causar danos corporais através do computador, provocando falhas nas máquinas de suporte a pacientes, em salas de operações e/ou em dispositivos médicos.

Segundo o Relatório de Cibersegurança criado pela Cisco, especialista na área tecnológica, mais de um terço das organizações que sofreram um ataque informático em 2016 tiveram perdas superiores a 20% de clientes, receitas e oportunidades de negócio. No entanto, e segundo o mesmo relatório, 90% dessas empresas está empenhada em melhorar as suas tecnologias e os processos de defesa implementados pela empresa.

Andreia Teixeira aproveitou para esclarecer ao Observador qual poderia ser o interesse visto nas empresas portuguesas por parte dos hackers e os ataques são “motivados por razões económicas e ideológicas/políticas”. “No primeiro caso”, explica, “procuram informação corporativa, confidencial ou sigilosa que tenha valor de venda, assim como dados pessoais e sensíveis”. Já no segundo caso trata-se apenas de quererem assumir uma determinada posição ou apenas provar que as empresas não são seguras, transmitindo assim uma mensagem.

No final do ano 2016, a principal ameaça virtual foi o ransomware – ataque informático capaz de tomar controlo do equipamento exigindo uma recompensa em troca do controlo da máquina -, um método que, em média, atacou uma empresa a cada 40 segundos (dados globais). Esta é uma forma de ataque que tem tendência a continuar a aumentar, sendo que, no início do ano passado, uma empresa era atacada a cada dois minutos e no final do ano a frequência aumentou em mais de 50%.

No ano passado, Luís Grangeia foi contactado, por diversas vezes, para ajudar a resolver ataques de ransomware. “E na maior parte dos casos foram pequenos negócios, particularmente afetados pois não tinham sequer um informático residente.”

A juntar a essas dados, as empresas estão na mira das principais ameaças de cibersegurança de 2017, sendo esperado um aumento dos ataques por ransomware. Como conta Andreia Teixeira ao Observador, existem várias maneiras de avaliar o risco das empresas, sendo que a Aon utiliza cinco critérios principais:

  1. Perfil de risco global da empresa — nesta primeira fase “olhamos para os seguintes fatores: setor de atividade; dimensão da empresa; localização das suas operações (nacional vs. internacional); nível de armazenamento e tratamento de dados; e os fins para os quais a empresa recorre a meios tecnológicos”;
  2. Hardware e infra-estruturas de TI — nesta segunda fase, a empresa, analisa os mecanismos de segurança informática implementados, políticas de acesso aos sistemas, nível de encriptação de dados, o recurso à cloud e o acesso às cópias de segurança dos dados armazenados;
  3. Software e aplicações de TI — a empresa encarrega-se de verificar se existe um diferente nível de acesso dos colaboradores aos sistemas e aplicações, quais são os requisitos implementados para autorização de downloads e instalações em computadores da empresa e qual o nível de autonomia da empresa num cenário de falhas de sistema;
  4. Gestão de privacidade de dados — serve para a Aon verificar a “conformidade da empresa em termos de gestão de privacidade de dados, nomeadamente, a política implementada em matéria de proteção de dados pessoais”;
  5. Exposição a ataques informáticos, falhas do sistema e violação de dados — no final “observamos o nível de vulnerabilidade da empresa a ataques, falhas nos sistemas e/ou violação de dados, nomeadamente, as políticas de gestão, planos de contingência e histórico de falhas ou violações”.

Um dos produtos oferecidos pela Aon é o “Aon Cyber Enterprise Solution” que está “disponível no mercado para responder às questões ligadas com os danos corporais e materiais que podem ser causados por ataques/falhas de segurança, com especial interesse para o sector da saúde e indústria e, também, para responder aos desafios cada vez mais prementes da ‘Internet of Things’”. Em resumo, é um seguro contra ataques informáticos.

Perguntámos a Luís Grangeia que conselhos básicos daria a um empresário que começasse agora um negócio. “Depende muito do tipo de negócio. Em qualquer dos casos, hoje em dia já existem serviços muito interessantes na cloud que nos retiram uma parte enorme do trabalho.”

Para quem tem pouco jeito para a tecnologia ou falta de noções de segurança, o consultor recomenda: “Quando temos poucas capacidades técnicas é bom relegar o controlo para quem tenha motivação para gerir e garantir a nossa segurança.