Por Diogo Bento | RC Portela
Caros companheiros,
Um tema que tem sido bastante abordado na imprensa nos últimos meses são os ataques cibernéticos efetuados por grupos de piratas informáticos. Para os mais leigos, um ataque cibernético (ciberataque) é a tentativa de expor, alterar, desativar, destruir, roubar ou obter acesso não-autorizado ou utilizar de forma não-autorizada um sistema de informação. Com a digitalização crescente da sociedade, os ciberataques têm batido recordes, continuando a aumentar diariamente.
Existem milhares de crimes cibernéticos (cibercrimes) todos os anos, que podem custar desde algumas centenas a vários milhões de euros por ano. Estes têm diversas consequências económicas, financeiras e reputacionais, tanto a nível de entidades públicas, como privados ou empresas. Referenciando o relatório “The Hidden Costs of Cybercrime”, o custo estimado dos crimes cibernéticos já corresponde a cerca de 1% do PIB mundial, com tendência para aumentar em cerca de 50% nos próximos dois anos.
Contextualizando a situação em Portugal, e de acordo com o Centro Nacional de Cibersegurança (CNC), em 2021 houve um aumento em 26% do número de incidentes relativamente a 2020. Outro estudo, da Checkpoint Research (empresa especializada em segurança informática), aponta que, em média, uma determinada organização em Portugal foi atacada 881 vezes por semana, um aumento de 81% face a 2020.
Deste modo, levanta-se a seguinte questão: Como se podem mitigar estes riscos?
É essencial que no processo de transição digital que decorre se pense no conceito de resiliência digital. (i.e., a capacidade de prevenção e resposta de um indivíduo, empresa ou entidade governamental a um ciberataque) Contudo, o caminho é ainda bastante desafiante: Conforme demonstrado no Gráfico 2, apenas uma parte das empresas tem um plano de prevenção e resposta a ameaças da internet.
Adicionalmente, o sistema de ensino não evoluiu ao mesmo ritmo do processo de digitalização que decorreu nos últimos anos, sendo necessário formar os agentes de educação acerca dos conceitos-base de segurança informática.
Para terminar, compartilho algumas medidas de prevenção de ciberataques:
- A nível organizacional, deve ser criada uma política de gestão de riscos informáticos. O Centro Nacional de Cibersegurança inclui algumas linhas-guia sobre o tema.
- Utilizar palavras-passe fortes, alterar as mesmas periodicamente (por exemplo a cada 6 meses) e não reutilizar as mesmas em vários endereços de internet (ex. páginas de bancos, contas de correio eletrónico, acesso ao computador, …). Idealmente instalar um gestor de palavras-passe.
- Assegurar que o software (aplicações informáticas) se encontra atualizado e com as últimas correções de erros (ex últimas atualizações do Windows, antivírus e firewall, etc.). Por norma, software desatualizado contém vulnerabilidades que permitem utilizadores mal-intencionados acederem de forma privilegiada a informação pessoal ou empresarial sensível.
- Eitar clicar em endereços de internet quando as fontes de dados são desconhecidas ou não-legítimas. Uma parte muito significativa de ciberataques baseia-se num conceito designado por engenharia social, que é um conjunto de técnicas de manipulação com o objetivo de levar a vítima a efetuar algo não-solicitado, permitindo o acesso de alguém mal-intencionado a informação sensível. (alguns exemplos de ataques através de engenharia social: correio eletrónico não solicitado (phishing), telefonemas desconhecidos (vishing), acesso físico a credenciais sem autorização, etc.).
- Utilizar uma VPN. Quando se acede a um computador numa rede sem fios não protegida, toda e qualquer informação fica exposta na rede, consequentemente, alguém mal-intencionado pode capturar informação pessoal ou empresarial sensível de forma não-solicitada.
- Consultar os últimos alertas e avisos do Centro Nacional de Cibersegurança.
Outros Artigos
“O meu Clube”: Rotary Club de Braga Norte
