Por ocasião da 10ª Edição da Conferência C-Days, evento de referência nacional cujo objetivo primordial é promover a discussão e a reflexão das grandes temáticas relacionadas com a segurança (e riscos) do ciberespaço, naquela que é a grande iniciativa anual organizada pelo CNSC, foram avançados alguns dados relevantes no que se refere à análise do ano 2023, com especial destaque para o facto desse ano ter sido marcado por sérios ciberataques de ransomware à administração pública.
Se antes, o ciberataque baseado em ransomware tinha como alvos principais organizações com um baixo nível de cibersegurança, atualmente, os cibercriminosos têm como alvos, as grandes organizações, incluindo hospitais, sistemas de transporte e, preocupantemente, a própria administração pública. A mudança para estes alvos high profile deve-se, sobretudo, à perceção de que essas entidades possuem uma maior capacidade económica, e, portanto, maior proveito imediato, mas também pela necessidade (obrigação) urgente de recuperação da operação dos seus sistemas, e por inerência, da sua própria atividade. A administração pública lida com uma vasta quantidade de dados sensíveis, onde se incluem informações pessoais dos cidadãos, detalhes financeiros e documentos confidenciais sendo, por isso, o impacto de um ciberataque baseado em ransomware altamente perigoso, podendo para além de permitir roubar e colocar esses mesmos dados ao dispor do mundo cibercriminoso, levar ainda à paralisação de serviços críticos, desde a emissão de documentos oficiais à gestão de infraestruturas vitais como redes de transporte e saúde pública. É um género de ciberataque tipicamente desastroso em vários patamares que obriga a um longo processo de recuperação tecnológica, funcional, e até de credibilidade e reputação no mundo digital. Além do transtorno imediato, os efeitos a longo prazo podem incluir a perda da confiança dos cidadãos nos serviços públicos, altos custos de recuperação e danos reputacionais, agravados pelo aumento significativo nos investimentos necessários para fortalecer a cibersegurança. Um exemplo evidente foi o ciberataque de 2022 à Segurança Social e também já no ano passado, ao Município de Gondomar, este último proveniente de um servidor russo e cujo pedido de resgate chegou aos 750 mil euros, resultando na exposição de dados em modo “leilão” na dark web. Sabe-se ainda que, esta autarquia gastou cerca de 1,5 milhões de euros para recuperar a sua infraestrutura digital e restaurar a sua atividade. Este incidente, tal como a grande maioria dos ciberataques baseados em ransomware – geralmente muito destrutivos e desastrosos – servem para relembrar a importância da robustez e maturidade digital quando se vive no ciberespaço, e a resiliência e a maturidade em cibersegurança só se alcançam através de um processo contínuo de autoavaliação e correção aliada com uma estratégia de cibersegurança promovida pela gestão de topo. A fragilidade da administração pública não tem somente a ver com as suas redes e infraestruturas digitais. O sucesso de um ciberataque muitas vezes (se não, na sua grande maioria) começa, não só na exploração da tecnologia, como também na exploração da vulnerabilidade humana. Apesar de já existir maior conhecimento sobre este tema e as pessoas por norma, já desconfiarem, suspeitarem ou colocarem algo em causa, continua a ser (cada vez mais) necessário transformar essa desconfiança “natural” em procedimentos práticos – a prevenção tem de ser tangível. Por isso, evidencio a lei do cibercrime em Portugal como outra séria lacuna ao nível da legislação. Pergunto, quantas vezes assistimos a notícias sobre casos de ciberataques mediáticos, estatísticas sobre cibercriminosos e quanto lucraram? Muitas vezes. E quantas vezes assistimos a notícias referindo que o “cibercriminoso X por detrás do ataque Y foi condenado”? Tal já não acontece com a mesma frequência. Bem sabemos que existe efetivamente uma dificuldade de atribuição de condenação ao cibercrime, também devido às características “nublosas” do próprio ciberespaço, contudo, a questão está relacionada com um problema legislativo. A legislação atual ainda está muito focada para o mundo analógico e considera-se o mundo digital como a exceção – ainda assim, uma grande parte da sociedade depende do digital - significando que, então, estará na altura de o digital passar a ser, a regra, também no patamar legislativo. Por fim, é ainda recomendável, a criação de mais incentivos à divulgação e/ou denúncia dos próprios ciberataques, bem como uma maior proteção (de privacidade) às vítimas.
Conteúdo co-produzido pela MediaNext e pela VisionWare |