A cibersegurança está cada vez mais no centro das atenções como resultado não só de ataques mais complexos e em larga escala (como os que aconteceram no Expresso, na Vodafone ou na Câmara Municipal de Gondomar nos últimos dois anos) ou os que atingem as pessoas no dia a dia, como o “olá mãe, olá pai” ou o roubo de dados pessoais.
Trata-se de uma situação transversal a todas as esferas da sociedade, a que não é alheia a crescente digitalização das atividades, que faz com que empresas e negócios dos mais diversos sectores tenham que fazer mudanças para lidar com uma ameaça que parece não dar tréguas. Por isso o Expresso pediu à GfK Metris para fazer uma sondagem sobre a perceção de cibersegurança dentro das empresas portuguesas como culminar do projeto “Conselho de Segurança”, que ao longo de seis meses promoveu a discussão de temas ligados à nossa segurança tecnológica, militar, jurídica, na saúde, no Estado e nas empresas. E os resultados das perguntas colocados junto de 255 entrevistados mostram que a preocupação é real, mesmo que aparentemente não existam tantos ataques como se possa pensar.
Apenas 3% dos entrevistados afirmam que a sua empresa foi alvo de um ciberataque nos últimos 12 meses, com 38% dos afetados a apontar os ataques de phishing (obter informações confidenciais via links em e-mails) como os mais frequentes, seguidos as intrusões em redes wi-fi, negação de serviço DDoS (sobrecarga de sites internet) e ransoware (encriptação de ficheiros com exigência de resgate para restaurar o aceso), todos com 13%.
Das oito empresas alvo de ciberataques nos últimos 12 meses, cerca de dois terços (63%) não sofreu perdas e a resposta a tais ataques foi na sua maioria (50%) rápida e eficaz, apesar de 13% considerar que foi lenta e ineficaz. Já 38% revelou que as perdas foram de dados e documentação. Cerca de dois terços das empresas auscultadas têm um responsável claro pela governança da cibersegurança que maioritariamente (69%) reporta de forma direta a um administrador ou gestor de topo.
Mais de metade (53%) dos entrevistados afirma que a sua empresa tem preocupações, ou mesmo obrigações, de conformidade em cibersegurança. No entanto não conseguem identificar os standards aplicados pela mesma (50%).
Já a maioria (55%) dos entrevistados afirma que a sua empresa tem um responsável pela conformidade, com preocupação específica em garantir a existência e implementação de controlos de cibersegurança por forma a garantir resposta às obrigações legais e regulamentares.
No campo da sensibilização para os perigos cibernéticos, um terço dos colaboradores das empresas auscultadas confirma a existência de programas para prepara, com 34% a realizarem testes de cibersegurança pelo menos uma vez por ano e 50% a apontar uma frequência maior.
Mesmo com maior atenção e mais consciencialização, ainda há passos que as instituições precisam de tomar. Nem todas as empresas usam de forma generalizada a autenticação forte (41%), apesar das 35 % que o fazem. Mesmo perante esse cenário, as palavras-passe são alteradas pelo menos uma vez por ano em 41% dos casos e 24% respondem mesmo que são mudadas mensalmente.
A maioria das empresas
não tem políticas sobre o uso profissional de dispositivos pessoaisn, metade dos entrevistados afirma que a sua empresa tem controles de acesso rigorosos para lidar com dados sensíveis, com 20% a afirmar que audita regularmente o acesso e uso de dados e 7% criptografa todos os dados confidenciais.
Entre as medidas de cibersegurança implementadas, 79% efetua ciberproteção dos seus sistemas de informação crítica e 43% recorre já a serviços de uma empresa especializada em cibersegurança.
O elevado preço das soluções existentes no mercado (31%) é apontado como a principal barreira à implementação de novas medidas para o reforço da cibersegurança nas empresas. Apesar da maioria dos entrevistados (55%) considerar que o nível de preocupação face às ameaças de ciberataques permaneceu igual nos últimos 12 meses, 40% afirma que essa preocupação aumentou.
Por isso, 37% garante que a sua empresa vai investir até €30 mil em cibersegurança nos próximos 12 meses, com apenas 2% a colocarem o investimento entre os €30 mil e os €200 mil. 61% admite desconhecimento quanto aos valores em causa ou sobre o que está a ser feito neste campo.
Os entrevistados têm dificuldades em apontar sugestões de melhoria, com 28% a dizer que não há nada a melhorar e 23% a não achar necessário indicar recursos e apoios que contribuiriam para tal. Contudo, tanto num caso como noutro, a formação dos colaboradores (6% e 11%, respetivamente) é o aspeto mais referido.
Apenas 18% dos entrevistados consideram que a empresa não está familiarizada com o processo de investigação de cibercrimes, no entanto, cerca de dois terços (64%) afirmam que a empresa nunca colaborou com entidades externas durante investigações de cibercrime.
Metade não consegue identificar as dificuldades que a empresa enfrenta na investigação de crimes cibernéticos, mas dentro dos que conseguem, a dificuldade em identificar a origem do ataque é a mais referida (19%), seguida do acesso insuficiente às ferramentas legais, com 17% de respostas, e 15% para a falta de competências e recursos internos.
Identificar ciberataques é algo que os entrevistados admitem, com maior ou menor grau de certeza, conseguir. Numa escala de 1 a 10 - em que significa “nada capaz” e 10 “muito capaz” - 20% dá um 8 à sua capacidade, com o 7 a recolher 18% e o 1 a ficar pelos 2%. “Acredito que ainda há algum desconhecimento que é urgente ultrapassar”, conclui o diretor-geral da GfK Metris, António Gomes, para quem “as empresas terão forçosamente que incorporar as medidas de cibersegurança como um fator de custo produtivo, sem o qual não podem operar no mercado, qualquer que seja o sector ou a indústria”.
Este projeto é apoiado por patrocinadores, sendo todo o conteúdo criado, editado e produzido pelo Expresso (ver Código de Conduta), sem interferência externa.
EXPRESSO
Tiago Oliveira, Jornalista