No dia 8 de Fevereiro, a Vodafone emitiu um comunicado a informar que tinha sido alvo de um ataque informático. O anúncio surgiu após uma “interrupção abrupta da quase totalidade” dos seus serviços de telecomunicações, com quatro milhões de clientes – incluindo correios, bombeiros, bancos, a SIBS e o INEM – impedidos de realizarem chamadas e de acederem à televisão e aos dados móveis.
O gabinete de crise da empresa foi activado de imediato para tentar conter os efeitos do ataque e repor os serviços mas, duas semanas depois, a operadora de telecomunicações ainda trabalha para restituir serviços internos indirectamente afectados. “O ciberataque de que a Vodafone foi alvo é exemplificativo de que nenhuma empresa pode colocar-se à margem deste esforço de protecção, que passa pelo envolvimento de todos, organizações, colaboradores e cidadãos”, explica a empresa ao NOVO, acrescentando que, até à data, ainda não apurou a totalidade dos custos deste ataque.
Mas a Vodafone não é caso único, tendo o ano de 2022 arrancado com uma série de ataques informáticos a diversas entidades portuguesas, como os grupos de média Impresa e Cofina ou os laboratórios Germano de Sousa. Os sucessivos ataques colocaram o tema da cibersegurança no centro do debate e evidenciaram uma das piores facetas da transformação digital.
Num mundo crescentemente digitalizado e conectado, investir em cibersegurança é imperativo, mas algo que não está ao alcance de todos. A questão levanta desafios às empresas, sobretudo às micro, pequenas e médias, que não têm, na sua grande maioria, capacidade financeira para suportar os custos que este investimento acarreta.
“Estes empresários estão mais preocupados com o dia-a-dia, em saber como vão conseguir pagar os salários, impostos e despesas de contexto, do que propriamente com a questão da cibersegurança”, afirma ao NOVO Jorge Pisco, presidente da Confederação Portuguesa das Micro, Pequenas e Médias Empresas, lembrando que estas representam 99% do tecido empresarial português.
O vice-presidente da organização, Duarte Lobo, identifica dois grandes desafios para estas empresas: falta de conhecimento e de noção de risco e elevados custos. “Um firewall [o elemento mais básico de segurança] para colocar numa empresa pode ir de várias centenas a largos milhares de euros”, começou por detalhar, apontando que a isto se soma a parte de manter políticas de segurança activas e consultoria, o que implica um investimento ainda maior. Esta falta de meios deixa as empresas mais vulneráveis. “O apagão da Vodafone implicou uma semana de paragem e isto tem um impacto económico enorme. Se um microempresário tiver uma semana de paragem porque o seu sistema de facturação não funciona, isso pode levar ao fecho de uma empresa”, nota.
O presidente da confederação considera que a digitalização, que apelida de “chavão do Governo”, avançou sem que fossem criadas políticas para sustentar o processo. “Fala-se muito da digitalização, da necessidade de incentivar o desenvolvimento no interior, mas sabemos trabalhar com computadores? Temos rede de fibra óptica? Temos um conjunto de apoios ao nosso alcance para que seja desenvolvido? Não temos”, lamenta. Sobre o Plano de Recuperação e Resiliência (PRR), que destina às empresas uma verba para a transição digital, Jorge Pisco afirma que este não está desenhado nem feito para as micro e pequenas empresas. “Temos a fantasia de que o PRR é o salva-tudo, mas não salva ninguém”, garante.
A opinião de que Portugal deu um passo maior que a perna é também partilhada por Rolando Martins, especialista em cibersegurança da Faculdade de Ciências da Universidade do Porto. “Em Portugal somos vítimas do nosso próprio sucesso. Acho que fizemos uma transição para o digital relativamente acelerada, mas isso não foi acompanhado pela parte de cibersegurança. Agora estamos a correr atrás”, disse. Já Carlos Carvalho, presidente executivo da empresa de cibersegurança Adyta, acredita que “a noção que uma organização tem das questões de cibersegurança é a mesma que têm os seus principais decisores e gestores, independentemente de ser uma grande ou pequena empresa”. Como tal, insiste que é crucial explicar aos decisores políticos e empresariais “quais os perigos e, acima de tudo, os ganhos em investir em cibersegurança”.
O que pode ser feito
Os ataques informáticos não vão deixar de acontecer – aliás, a tendência é para aumentarem. No final de Janeiro, o Gabinete de Cibercrime da Procuradoria-Geral da República divulgou que 2021 foi o ano com mais denúncias de cibercrimes, com as queixas a duplicarem de ano para ano. Mas, se há falta de meios, como podem as empresas proteger-se? “Têm de investir na protecção, na detecção e na remediação. As grandes e médias empresas, com algumas excepções, já o fazem de uma forma estruturada. Quanto às pequenas e médias empresas... é, de, facto um grande problema. O que sugiro é que invistam no elo mais fraco da cibersegurança: as pessoas. Às vezes basta uma chamada telefónica...”, começa por explicar Rui Shantilal, CEO da Integrity part of Devoteam, empresa fornecedora de serviços de segurança da informação em auditoria e consultoria, advertindo, contudo, que risco zero “só desligando os sistemas”.
Além disso, recomenda que utilizem tecnologias que, por si só, sejam seguras, ou seja, “utilizar serviços na cloud” [termo utilizado para descrever uma rede global de servidores] e aconselha os empresários a pensarem em cenários extremos. “Se não pensássemos em desastre não tínhamos cintos de segurança, triângulos e coletes no carro. Só temos porque antevemos que possa acontecer. A lógica deve ser a mesma neste caso: se tiver um incidente, qual o meu nível de preparação de resposta? Porque, de facto, a capacidade de recuperação e resposta é o que diferencia um incidente de um megaincidente”, garante, alertando para um tipo de ataque emergente que vai aumentar a pressão sobre as pequenas e médias empresas.
“Surgem cada vez mais ataques em que os responsáveis não atacam directamente o alvo final, mas sim um fornecedor. Por causa disso, as PME que forneçam serviços a grandes empresas vão, cada vez mais, sentir a pressão para apostar na cibersegurança. As grandes empresas já estão a começar a desenvolver programas internos para auditar os fornecedores e verificar o nível de segurança”, alerta.
Esta preocupação é reforçada pelas declarações da Vodafone que, ao NOVO, disse que continuará a investir na cibersegurança e a estimular os clientes e parceiros a fazerem o mesmo, “procurando alertar para a constante necessidade de as empresas aprimorarem a sua protecção activa”, uma vez que a sofisticação da segurança da empresa “é acompanhada pela sofisticação de meios de quem pretende desafiá-la”.
Novas guerras
“A maior informação e a maior riqueza estão, hoje em dia, na informação, nos dados”, alerta Carlos Carvalho, assumindo que as novas guerras se travam no ciberespaço. “No mundo virtual não existem propriamente fronteiras. Podemos ter as nossas instituições atacadas por pessoas que estão confortavelmente sentadas no sofá, no outro lado do mundo.”
Questionado sobre o estado de prontidão do país, o especialista diz que tem havido preocupação em melhorar a segurança, mas alerta que Portugal, “país europeu, pacífico e membro da NATO”, está num meio apetecível. “Tendemos a pensar que, por sermos um país muito tranquilo, não geramos interesse, mas, como todos os países, somos um alvo”, conclui.
