Nos últimos meses a imprensa mainstream tem vindo a mediatizar múltiplos incidentes informáticos que, regularmente, assolam empresas e instituições públicas, aumentando o alarme social e contribuindo para um clima de insegurança que, em boa verdade, não é recente.
Segundo a seguradora Chubb, desde 2015 que o crescimento dos incidentes informáticos a nível global tem crescido exponencialmente: 92% em 2015, 106% em 2016, 216% em 2017, 346% em 2018, 426% em 2019, 832% em 2020 e 760% em 2021. Para 2022 estima-se que esse crescimento se situe nos 465%.
Há uma razão para que os incidentes cresçam desta forma: é que, como diz o povo, “o crime compensa”.
Nos últimos anos, todos – pessoas e organizações – temos aderido de forma entusiástica às tecnologias digitais pelas vantagens que elas nos trazem para o nosso dia-a-dia. As vantagens são tangíveis e fáceis de medir: quem hoje resiste a poder encomendar refeições online, marcar viagens, fazer pagamentos ou transferências, ver séries ou interagir com os outros de forma rápida e desmaterializada? As tecnologias digitais vieram – e não há quanto a isso quaisquer dúvidas – trazer uma série de benefícios que são a causa e a razão do aumento do crime cibernético. Mas porquê? Porque ao aderir massivamente ao fenómeno digital, transferimos, para o ciberespaço, valor, não apenas no sentido material, mas também moral e afetivo: as nossas interações digitais levam a que as coisas que têm valor para nós, crescente e exponencialmente, passem a estar no ciberespaço, em geral à mercê de terceiros.
Ora, na hora de nos protegermos do crime cibernético, os números mostram com clareza que os transgressores têm sido capazes de levar a melhor. Há múltiplas razões para que isso ocorra.
Desde logo, no plano dos atores, o crime cibernético apresenta-se cada vez mais sofisticado e organizado, tendo um carácter transnacional. Por exemplo, os crimes de extorsão suportados em ransomware (fórmulas de software malicioso que encriptam ficheiros informáticos, tornando-os indisponíveis para os utilizadores, ou fragilizando os níveis de serviço, e que têm como característica a exigência do pagamento de um resgate para devolução ou reposição da funcionalidade dos mesmos) beneficiam de redes de distribuição sofisticadas, ao estilo do franchise, visando maximizar os ganhos dos criminosos, o que faz com que muitas vezes quem protagoniza o ataque não seja a mesma pessoa ou entidade que desenvolveu o software em si. Há ainda Estados como a China, Rússia, Coreia do Norte, vários países do Leste europeu (alguns mesmo parte da União Europeia), ou da América Latina, que fomentam, protegem ou “fecham os olhos” ao cibercrime, tornando-o “seguro” na perspetiva de quem o pratica. A Bloomberg anunciava, por exemplo, há uns dias apenas, que o volume de roubos em criptomoedas praticados por hackers norte-coreanos terá ascendido, em 2022, à módica quantia de 3,8 biliões de dólares, número ainda mais impressionante se pensarmos que o PIB da Coreia do Norte se situa abaixo dos 20 biliões de dólares. Ou, dito de outra forma, o roubo de criptomoedas (que não é, diga-se, a única modalidade de crime cibernético praticado sob proteção do Estado da Coreia do Norte) tem um peso maior para a economia da Coreia do Norte que todo o turismo para a economia de Portugal. As atividades ilegais não se limitam apenas ao roubo de valores materiais, incluindo a usurpação de propriedade intelectual, a monetização de dados pessoais (como, v.g., a venda de dados de saúde, credenciais de acesso, dados bancários), ou a profusão de propaganda com fins políticos (sejam fake news, seja a difusão de ideias políticas muitas vezes associadas a ideias totalitárias ou que põem em causa a dignidade humana). Neste último caso, é de registar o peso que a propaganda russa terá tido no empolamento do medo, nos meses de Fevereiro e Março de 2020, contribuindo para o clima de ansiedade que levou muitos governos a aderir a lockdowns extremos (quiçá excessivos), em boa medida para acompanhar o sentir das populações, manipuladas e intoxicadas pelo tipo de mediatismo que foi possível encontrar nas redes sociais e até nos meios de comunicação social formais e ditos tradicionais.
Já as entidades públicas e privadas enfrentam dificuldades de vária ordem na hora de tutelar os riscos cibernéticos. Desde logo, orçamentais, pois é sabido que na hora de investir sobejam muito mais recursos para a compra das soluções que resolvem os problemas e criam as vantagens, ficando – sempre – curta a parte do lençol que visa mitigar riscos cibernéticos e promover a cibersegurança. Acresce que se as vantagens do digital são tangíveis e fáceis de explicar, já os riscos e as ameaças são difíceis de antecipar, opacos, e, muitas vezes, complexos, pelo que não é sequer acessível tomar as medidas certas para um tipo de ameaça que está sempre a evoluir. Dito de outra forma, como nos protegemos de uma ameaça complexa e sofisticada que, enquanto escrevo esta crónica, muito provavelmente está a ser criada na China, na Rússia, ou na Coreia, e que conta com exércitos de minions distribuídos um pouco por todo o mundo, disponíveis para a rentabilizar?
Sabido – como é sabido – que no futuro – imediato e mediato – não vamos colocar menos valor no ciberespaço, nem inverter a digitalização de todos os fenómenos da nossa vida comunitária, deveria ser hora de sabermos já, como comunidade, como se inverte o crescimento exponencial do crime cibernético. Ou dito de outra forma, como nos tornamos mais maduros – cidadãos e entidades públicas e privadas – para diminuir os riscos exploráveis pelos criminosos?
Os criminosos exploram, nos seus ataques, quer falhas no desenho das tecnologias, quer a imaturidade dos cibernautas. Pelo que, de uma forma simplista, a solução passa, desde logo, por haver uma maior preocupação com a cibersegurança, na hora de desenhar tecnologias, apostando não apenas na sua usabilidade (na sua capacidade de nos resolverem problemas, facilitarem ou simplificarem uma tarefa, ou abrirem todo um mundo novo de experiências), mas também na segurança (no sentido de que tornarem o seu uso menos arriscado). Teremos ainda menos riscos cibernéticos se as entidades que implementam as soluções informáticas forem capazes, elas próprias, de se preocuparem não apenas com a usabilidade, mas também com a preparação para as ameaças.
Ter melhores tecnologias, mais bem implementadas, não é, contudo, suficiente. Precisamos de mais literacias digitais, de pessoas mais preparadas para compreender o mundo digital para onde se estão a atirar literalmente de cabeça. Precisamos, também, de órgãos de comunicação social que saibam compreender que os incidentes informáticos vieram para ficar, que sejam capazes de os explicar devidamente, não caindo na tentação do alarmismo de anunciar, muitas vezes de forma empolada, incidentes sem qualquer relevância, sem daí transmitir qualquer mensagem. Neste contexto, precisamos de jornalistas que percebam bem o mundo em que os incidentes operam, e a forma como o mundo está a evoluir em matéria de cibersegurança. Acima de tudo, precisamos normalizar os incidentes informáticos, dando destaque ao que merece ser destaque, e desvalorizando o que não tem importância e veio para ficar, aprendendo com o que se está a passar, enquanto conseguimos que os cidadãos se tornem mais maduros na sua relação com a tecnologia, percebendo que ela traz vantagens, mas também riscos e ameaças que cabe a cada um – antes de qualquer outro terceiro – precaver e mitigar.