A Cibersegurança é, cada vez mais, um tema na ordem do dia. Ontem o grupo SONAE foi alvo de um ataque às suas plataformas online e nesse mesmo dia a seven-key e a NOS estavam a promover uma conferência sobre cibersegurança no Hotel Segredos do Vale Manso em Abrantes.
Sendo um dos problemas nos nossos dias, os ataques são, em larga escala, efetuados a grandes companhias, mas o cidadão deverá ter, cada vez mais, uma preocupação acrescida com a segurança digital, ou seja, a segurança da sua vida no ciberespaço.
Nos nossos dias, ter apenas um antivírus no pc de casa ou na empresa não é sinal de segurança porque do outro lado podem estar grandes organizações internacionais dedicadas ao cibercrime.
Rogério Bravo, coordenador de Investigação Criminal da Unidade de Cibercrime, destacou a diferença que existe, na cibersegurança, entre cibercrime e crime informático, "duas coisas diferentes". O primeiro aponta a eventuais burlas, fraudes ou até pedofilia. O segundo diz respeito a roubo de dados, de informação.
E de acordo com o inspetor da PJ o ciberespaço é, hoje, tudo o que tenha a ver com a transmissão eletrónica de dados. “A alma do ciberespaço são os dados” e o direito penal ainda não está compatibilizado com o ciber o que cria mais problemas nas soluções dos problemas que vão surgindo.
Ainda segundo Rogério Bravo hoje tem de haver mais preocupações do que apenas o tráfego nos meios digitais. Aponta a necessidade de aceder a dados, metadados dos utilizadores e não apenas os endereços (IP’s) dos dispositivos utilizados.
Naquilo que são os desafios o investigador aponta a complexidade do ambiente do ciberespaço no que diz respeito aos interesses e valores “que pode ser materializado numa pessoa coletiva, mas que resulta da interação de muitas pessoas.”
E depois, sobre os quadros das empresas, Rogério Bravo diz que devia haver um outro comportamento com as pessoas que saem das estruturas empresariais. Quer isto dizer que uma pessoa que saia hoje de uma empresa deveria ter uma entrevista de saída, deste ponto de vista, para evitar fugas de dados ou de acessos, mesmo que de forma involuntária, dessa mesma estrutura. Para o este investigador a saída de um quadro de uma empresa deveria ter um tratamento muito semelhante ao da entrada.
Naquilo que são as grandes preocupações atuais, do ponto de vista empresarial, Rogério Bravo defende que a formação deveria ter mais preocupações com ensinar direito para engenharias e engenharias para o direito, assim como o direito e as engenharias para a gestão e a gestão para as engenharias e direito. São questões cada vezes mais necessárias no ciberespaço.
Felipe Galofaro, da empresa de segurança Elytron, substituiu na palestra o chairman desta empresa de cibersegurança João Lucas Melo Brasio, e mostrou um conjunto de números que deveria colocar o cidadão, mesmo o menos familiarizado com estas questões, preocupado. Em 2021 o Brasil teve um total de 167 mil ataques cibernéticos por minuto.
E depois deixou ainda a nota de que quando um ataque em curso é detetado ele já está a acontecer, em média, há 100 dias. “É alarmante.”
Já o representante do Centro Nacional de Cibersegurança, Vasco Vaz, explicou como funciona o centro e de que forma pode ajudar nestas questões, salientando que tem manuais disponíveis.
E há uma área que deveria ter cada vez mais aderentes, a certificação da cibersegurança no âmbito das empresas que lidam com as tecnologias da informação e comunicação.
E na intervenção deixou algumas dicas de como as empresas devem ter os backup’s e com a nota que não devem estar sempre ligados em redundância. Pode ser mas dispendioso, mas será mais seguro.
E depois deixou o apelo para que as empresas ou os cidadãos que tenham problemas destes façam queixa nas forças policiais. Mesmo que a investigação não resolva esses eventuais crimes, as mesmas entram para as estatísticas e “não há governo nenhum que dê atenção aos problemas se estes não estiverem nas estatísticas.”
Para as pequenas empresas, que podem não ter tanta disponibilidade para investir em cibersegurança, o Centro Nacional pode sempre dar algumas sugestões, mas a base pode começar por fazer um diagnóstico numa plataforma oficial: https://webcheck.pt/pt/.
Aos jornalistas, Vasco Vaz deixou algumas preocupações sobre a segurança e começou pelas aplicações que temos nos nossos telemóveis. Em geral, estas empresas recolhem os nossos dados e acabam por ir vendê-los a outras empresas para vendas e marketing. Mas deixou o alerta sobre outras utilizações mais maliciosas.
E uma das preocupações pode ser bem explicada num exemplo dado na conferência. Uma aplicação de lanterna para o telemóvel, que apenas deveria acender e apagar o led, não precisa de aceder a contactos ou à localização do aparelho, logo do seu utilizador.
Já para as pequenas e médias empresas, Vasco Vaz, diz que uma boa prática será consultar os documentos que o Centro Nacional de Cibersegurança disponibiliza, que muitos deles são destinados a este tipo de públicos que, muitos deles, não têm capacidade financeira para contratar empresas especializadas.
Vasco Vaz
O ex-inspetor da Judiciária e consultor do Centro Nacional de Cibersegurança indicou que depois dos ataques à Impreza, Cofina, Laboratórios Germano de Sousa e Vodafone houve uma maior procura de informação das empresas junto do Centro.
Já da parte da tarde Cláudia Pina, Juíza de Instrução Criminal atualmente destacada no Eurojust com a coordenação da equipa de apoio à European Judicial Cybercrime Networtk, trouxe ao auditório os problemas, cada vez mais crescente, do ransomware. E importa desde logo explicar que o “ransomware é um malware que emprega criptografia para manter as informações de uma vítima em resgate. Os dados críticos de um utilizador ou organização são criptografados para que não possam aceder a arquivos, bancos de dados ou aplicações. É exigido um resgate para fornecer a chave acesso.”
Cláudia Pina deixou três exemplos de ataques de ransomware: um ataque em setembro de 2021 a um hospital em Dusseldorf; o Notpetya que se registou na Ucrânia em junho de 2017 e ainda o ataque do Stuxnet (ataque ao programa nuclear do Irão). A juíza deixou claro que existem muitas famílias de ransomware e as investigações são, ou devem ser sempre, transnacionais, porque os atacantes estarão num país, as vítimas noutro, os dados noutro e o dinheiro do resgate pode ir para outro.
Há, naturalmente, muita preocupação porque cada vez mais se pode se olhar para este ambiente, o ciberespaço, com outros objetivos, com outro tipo de ações, como a ciberguerra. E temos bem o exemplo do que poderá estar a acontecer nos nossos dias.
A Juíza, que vem da formação na área dos crimes económicos e corrupção, concluiu a dizer que esta área é, igualmente, “difícil, muito difícil”. E fechou a sua intervenção com a garantia que “a Justiça é uma parte da equação, mas a outra é a educação dos cidadãos.”
Galeria de Imagens