Cibersegurança nas empresas
A cibersegurança é um tema que tem ganho a atenção de cada vez mais indivíduos e, principalmente, empresas. O risco de ataques cibernéticos tem aumentado de ano para ano, tendo em conta o crescimento dos processos em rede. Nesse sentido, garantir uma maior proteção e antecipação de incidentes é um fator crucial para evitar danos.
Neste campo, as pequenas e médias empresas ocupam um lugar de destaque, quer pelo facto de constituírem a maior parte do tecido empresarial português (97%), mas também porque, ao se relacionarem com vários fornecedores e ao comunicarem com clientes, têm mecanismos em rede cada vez maiores, que se tornam muito atrativos para os cibercriminosos.
Mas como saber, então, se as empresas estão protegidas? Foi este o mote da primeira talk do ciclo MEO Empresas Talks, uma iniciativa em parceria com o ECO, na qual se exploraram os desafios da cibersegurança e foram partilhadas soluções de segurança simples de implementar e gerir, adequadas à dimensão de cada empresa.
O desafio para as PME
"Hoje o tema é dedicado à cibersegurança, mais vocacionado para PME. Nós sabemos que o negócio está a mudar. Todas as nossas empresas têm um negócio cada vez mais digital e, portanto, as PME têm o desafio de, para além de estarem num mercado muito competitivo (lembro que o nosso mercado empresarial tem aproximadamente 1.4 milhões de empresas e 97% PME), usam hoje plataformas colaborativas, como o Teams, como o Mail, usam o laptop, o desktop, usam o móvel, portanto, uma série de devices que lhes permite aceder à empresa anytime, anywhere, e isso levanta questões de segurança", começou por dizer, na abertura do evento, Nuno Nunes, Chief Sales Officer B2B da Altice Portugal.
"A questão que eu diria ser mais pertinente para as PME é o investimento que têm de fazer em cibersegurança. Têm de perceber qual o investimento correto que têm de fazer em cibersegurança, quais são as funções mais adequadas para se protegerem, a contratação de recursos nem sempre disponíveis, e muitos deles caros, e, mais importante, o conhecimento para manter as funções atualizadas", acrescentou.
Desigualdade entre PME e grandes empresas
Nesse sentido, Pedro Xavier Mendonça, responsável pelo Observatório de Cibersegurança do CNCS, enalteceu a importância de, antes de qualquer outra coisa, as PME realmente tomarem consciência da necessidade de estarem protegidas e, posteriormente, deixou algumas sugestões de como o podem fazer: "Se compararmos as PME com as grandes empresas, elas estão numa situação de desigualdade do ponto de vista da sua capacitação, o que não quer dizer que sejam menos alvo de ciberataques. Em termos quantitativos, nós sabemos que os indivíduos, cidadãos em geral, utilizadores de tecnologias digitais em geral, e as PME, são os principais alvos dos ciberataques".
"Muitas vezes, não só os indivíduos, como também responsáveis por PME, podem pensar que a cibersegurança não tem nada a ver com eles. Mas nós temos sempre qualquer coisa que pode ser interessante para os outros, nem que seja a nossa privacidade. E, no caso das empresas, dados que são fundamentais para o funcionamento da organização", continuou. Alguns dados que são claros relativamente a esta matéria e que foram apresentados por Pedro Xavier Mendonça diziam respeito a um inquérito a cerca de 120 executivos a nível internacional, realizado pelo World Economic Forum, no qual 90% desses executivos, no último inquérito que realizaram, referente a 2023, consideram que a desigualdade entre a capacidade que as PME têm para a cibersegurança e as grandes empresas "é um problema urgente de resolver".
Na mesma apresentação, o responsável pelo CNCS partilhou, ainda, dados do Eurostat, referentes a 2022, nos quais se percebe que, em Portugal, 80% das grandes empresas têm políticas de segurança das TIC implementadas, enquanto apenas 48% das PME têm. E, relativamente às ações de sensibilização realizadas junto dos empregados, há 89% nas grandes empresas e 63% nas PME.
"Portugal, como outros países da UE, tem o seu tecido económico baseado em PME. Relativamente à economia da cibersegurança, dados de um relatório que o CNCS publicou em 2022, com dados de 2021, mostram aspetos referentes à oferta e outros referentes à procura. Conseguimos identificar que pelo menos 144 empresas oferecem serviços de cibersegurança em Portugal, que os profissionais de cibersegurança são relativamente novos e com formação elevada, e que há um aumento da cooperação entre empresas com a criação de mais Comunidades de Cibersegurança", referiu.
Contudo, há problemas que persistem: "Pouco mais de um terço das PME tem um orçamento abaixo dos três mil euros anuais em cibersegurança; pelo menos uma em cada seis PME tem dificuldades em encontrar profissionais de cibersegurança, e as razões principais são a escassez de profissionais (para 78%) e o seu elevado custo (para 57%)".
Principais ciberataques
Relativamente aos incidentes, Pedro Xavier Mendonça fez referência ao aumento que se tem verificado todos os anos e deu algumas justificações para isso. "O fator humano é muito importante na cibersegurança e isso é visível em alguns incidentes de cibersegurança. Em 2022, pelo menos 51% dos incidentes registados pelo CERT.PT envolvem diretamente o fator humano. As PME continuam a ser um dos principais alvos de cibercriminosos que têm como objetivo obter ganhos económicos através de extorsões e fraudes. O ransomware é também uma preocupação, nomeadamente pelo impacto. São preocupantes os casos de comprometimento de email empresarial, com phishing, CEO Fraud, entre outros".
Para as PME, destacou o ransomware e o CEO Fraud como os mais relevantes e detalhou-os: "O ransomware tem uma componente técnica muito forte. É um malware que decifra informação, mas muitas das vezes ele entra na organização através do fator humano, através, por exemplo, do comprometimento de uma conta de email. Esse comprometimento pode ocorrer de várias formas – o atacante encontrou uma password dessa conta à venda ou disponível na darkweb; ou o atacante recolheu essa informação através de um ataque de phishing; ou, até, através de força bruta, ou seja, utiliza um software que consegue, por tentativa-erro, descobrir a password. Através deste comprometimento de conta, o atacante consegue escalar privilégios e acaba por conseguir ele próprio instalar nos sistemas um ransomware".
"Um outro caso que merece atenção é o CEO Fraud (BEC), que diz respeito a emails corporativos que são comprometidos. São enviados para figuras chave dentro da organização, ligadas à componente financeira, para que sejam alterados IBAN de fornecedores, por exemplo, e depois sejam feitas transferências bancárias para esses IBANs fraudulentos", continuou.
Algumas das soluções apresentadas para evitar estes casos foram a exploração de vulnerabilidades técnicas que não são resolvidas, "ou seja, é importante que as organizações mantenham os sistemas atualizados, precisamente para resolver estas vulnerabilidades"; o comprometimento do acesso remoto ou até simplesmente emails que trazem anexos ou links com malware; a personificação de entidade fornecedora e clientes – typosquatting; a personificação de empregado para alterar destino do vencimento; e a personificação de superior hierárquico a requisitar cartões de oferta.
Soluções de cibersegurança disponíveis no mercado
Depois da apresentação, seguiu-se a talk, que também contou com a presença de Pedro Xavier Mendonça, e, ainda, de Vitor Mota, diretor SI/TI do Grupo JAP, e Jorge Rodrigues, coordenador pré-venda de Cibersegurança da MEO Empresas.
"A cibersegurança aplica-se a todas as empresas e é um desafio para qualquer organização, seja pública ou privada, seja pequena ou grande. Aquilo que nós vemos é que há mais capacidade de endereçar os temas da cibersegurança nas grandes empresas, no entanto, sendo o tecido das PME o tecido mais representativo das empresas em Portugal, é também uma preocupação muito grande que essas empresas tenham boas práticas de cibersegurança e que elas próprias estejam seguras ao nível dos seus processos e sistemas. Muitas delas acham que não são alvo atrativo para um possível ataque, mas hoje em dia a superfície de ataque é enorme, essas empresas têm relações com outras empresas também, e, portanto, toda a cadeia tem de fazer parte deste ecossistema, que tem de estar protegido", começou por dizer Jorge Rodrigues.
Contudo, a questão do pouco investimento que as PME fazem em cibersegurança é um entrave nesta proteção, ainda que haja soluções mais acessíveis: "Os três mil euros que as PME têm, em média, para investimento em cibersegurança, é muito baixo. Mas a MEO Empresas faz investimentos avultados em plataformas e em técnicos especializados e pode, dessa forma, disponibilizar serviços e ajudar essas PME, que, sem terem que fazer investimentos muito grandes, têm ao seu dispor um conjunto de serviços bastante avançados em termos de cibersegurança, que podem ser disponibilizados as a service. Temos vários exemplos desses, nomeadamente coisas relativamente simples, como backups, soluções de firewall as a service, soluções de proteção endpoint, soluções de acesso remoto por VPN para colaboradores que têm necessidade de mobilidade".
A mesma opinião foi partilhada por Vitor Mota, do Grupo JAP, que é cliente da MEO Empresas: "Acho que, hoje em dia, qualquer empresa, seja pequena ou seja grande, tem que mudar o paradigma que usava no passado porque antigamente a segurança era apenas reativa e de perímetro. Hoje em dia, as empresas estão completamente interligadas em rede. No nosso caso, por exemplo, nós trabalhamos em seis países, temos largas dezenas de instalações, temos mais de três mil colaboradores, que hoje não usam só os PCs que nós disponibilizamos com as nossas regras, usam outro tipo de dispositivos, em casa, no café, de forma remota, portanto, para nós, a segurança, hoje em dia, é algo que tem de acontecer no dia-a-dia".
Para isso, o responsável do Grupo JAP considera ser de grande importância "convencer a gestão de topo de qualquer empresa que a segurança tem de ter um orçamento", mas alertou que esse orçamento "não pode ser só para a informática", uma vez que o processo de contratação de colaboradores tem de ser diferente, bem como a externalização de questões de cibersegurança quando assim for necessário.
Externalização de serviços de cibersegurança - IA como aliada ou ameaça?
No caso do Grupo JAP, esta externalização aconteceu, de acordo com Vitor Mota, quando começaram a "tratar de toda a alarmística em todos os ativos de rede, sejam equipamentos de rede, PCs, dispositivos móveis, servidores, firewalls". "A quantidade de alarmística e de falsos positivos que nós obtemos, não nos dá tempo de reação. E, depois, também não conseguimos ter o conhecimento interno para tratar todas aquelas situações. Por isso é que tivemos de nos rodear de fabricantes e especialistas e demos dois passos muito importantes. Um foi externalizar os data centers para ficarmos descansados de que a energia, etc, está a funcionar e de que estamos protegidos, a fim de nos focarmos mais em atividades de valor acrescentado. Outro ponto muito importante foi termos decidido que tínhamos de ter multifactory autentication, isto porque é fácil encontrar utilizadores e passwords na darkweb".
Ainda assim, apesar da necessidade de externalização de serviços ligados à cibersegurança para várias empresas, Pedro Xavier Mendonça referiu, novamente, a falta de profissionais na área como um problema que afeta a oferta. Além disso, a falta de recursos das PME e a falta de sensibilização das chefias também não ajuda. "Há o preconceito de que a cibersegurança é uma coisa apenas da informática e isso não joga a favor. O cibercrime também cresce muito com base no as a service, ou seja, são organizações que têm estrutura tecnológica que disponibilizam para pessoas que não têm conhecimento técnico, mas que depois operacionalizam a sua implementação".
Nesse sentido, o responsável pelo Observatório de Cibersegurança do CNCS, trouxe o tema da IA Generativa como um aliado na cibersegurança, mas também como uma grande ameaça. "A IA Generativa cria conteúdos que, para casos de fator humano, é terrível. Nós antevemos dificuldades e temos de ter atenção a elas. Claro que a IA também é um mecanismo de ajuda à defesa, à proteção e deteção de ameaças, de anomalias nos sistemas, e pode até substituir muito o trabalho penoso das equipas de respostas a incidentes. Mas, em termos de ameaças, aquilo que parece preocupante é a criação de conteúdos, o colocar em causa a confiança que nós temos da nossa perceção visual e auditiva. Já não chega ver para crer. Por isso, temos de ter confiança zero em termos de processos. Temos de ter mecanismos de dupla confirmação, garantir que os processos só podem ser alterados de certas maneiras. Não é falta de confiança, temos de dizer que é um mecanismo que tem de estar implementado", concluiu.