É importante dizer isto: mais de 95% dos ciberataques não exigem capacidades técnicas avançadas, apenas engenharia social, crença, acesso a programas básicos de ‘hacking’ e desleixo por parte dos utilizadores, má preparação dos serviços de segurança das empresas e pouca motivação da direção das empresas a investir mais em cibersegurança incluindo selos de qualidade e certificações dos seus especialistas neste domínio.

Quem é que sai da sua casa de manhã, e deixa a porta escancarada? Ou tem uma porta com fechadura de duvidosa qualidade? Por mais segura que seja a rua, o bairro e a confiança dos vizinhos, é como diz o ditado “a oportunidade faz o ladrão”. Quem deixa a sua casa, com todos os seus pertences entregues ao primeiro prestador de serviço, desconhecido, de mais baixo preço e pouco motivado, com gavetas sem chave?

São procedimentos insuficientes como estes, sem qualquer aderência a normas internacionais como as ISO ou regras nacionais e europeias e uma completa falta de investimento em monitorização e auditoria de procedimentos, que facilitam este tipo de atos criminosos normalmente designados como ciberataque.

Não podemos e, legalmente, não devemos deixar informações críticas de negócio, dados pessoais ou empresariais, a equipas mal preparadas tecnicamente, sobretudo muito rotativas em termos de empresa. Deve haver, um cuidado especial, em procedimentos de vigilância sobre credenciais de acesso informático e outras estratégias de acesso a informação. Deve haver uma boa organização em termos responsabilização e segregação de funções com avaliação rigorosa de quem acede a quê, no âmbito das suas atividades, e com criteriosos procedimentos regulares de verificação de conformidade das credenciações de acesso a recursos informáticos. Devemos colocar regularmente a pergunta, porque é que determinado colaborador/utilizador tem acesso a esta informação, sistema ou recurso. Se não existe necessidade aplica-se o princípio da minimização de acesso a informação. Deve haver ainda uma especial preocupação em investir em arquitecturas modernas de avaliação de risco, que envolvam sistemas baseados em Inteligência artificial (AI), a suportar a decisão das equipas de cibersegurança. Ter sempre todas as “patch” críticas e não críticas de sistemas operativos, aplicações e ‘firmware’ atualizadas. Isto exige recursos humanos com preparação e com ‘checklists’ que sempre que são identificadas fragilidades ou falhas reponham os sistemas com funcionalidades seguras. Fazer auditorias de segurança regulares por auditores especializados. E assegurar sempre, mas mesmo sempre, que os backups de recuperação repõem os sistemas e asseguram a continuidade do negócio.

Já pensaram como são os monitorizados serviços de limpeza, manutenção ou instalação na empresa/organização? Basta alguém, de forma inadvertida ou negligente, deixar debaixo do teclado a sua password e utilizador, ’et voilà’, no dia seguinte essa informação pode estar à venda na ‘dark web’. É por esta via que o agora famoso, mas com pouca vida (menos de um ano) Lapsus$ Group, inicia os seus ataques: “Engenharia Social”! Entre outros procedimentos sociais compram passwords que lhes permitem abrir portas de sites importantes e que têm sido alvo de notícias aparatosas na comunicação social.  Uma navegação rápida pelos fóruns do obscuro mundo da ‘dark web’ e lá estão a oferecer dinheiro a descontentes ou pessoas sem grande ética moral. O seu objetivo é só um, obter dinheiro!

A educação para a digitalização da economia, vida social, ou política inclusiva é um elemento crítico para a criação de um sistema resiliente a este tipo de ataque cada vez mais frequente. Conhecer as regras mínimas de uso e partilha de informação na internet, conhecer boas práticas que garantam segurança, sempre que usamos redes sociais, partilhamos informação com sites de serviços privados e públicos, e sobretudo conhecermos os princípios éticos e legais associados ao uso deste tipo de serviços. Isto é educar e ganhar competitividade em termos de sociedade digital e conectada. É importante que a sociedade responda a este tipo de incidente não com notícias de “falinhas mansas”, mas alertando para os riscos a que hoje todos estamos expostos e é fundamental que as organizações reforcem os seus programas de formação de colaboradores, invistam em implementação de programas técnicos de melhoria de segurança de sistemas, estreitem e muito as regras de contratação de prestadores de serviços técnicos de todo o tipo (“outsourcing”) e sobretudo criem uma cultura empresarial em que o respeito por clientes, colaboradores e fornecedores seja a grande força para resistir a estes ataques, no futuro cada vez mais frequentes. Para isso contarão sempre com entidades que, como o CESAE Digital e outros centos de Conhecimento, produzem conteúdos e asseguram competências digitais nestas e outras áreas tão importantes para o nosso futuro.

PUB • CONTINUE A LER A SEGUIR