“Mais de 80% dos ciberataques devem-se ao comportamento negligente das pessoas: basta manipulá-las para agirem de forma indevida”

“Mais de 80% dos ciberataques devem-se ao comportamento negligente das pessoas: basta manipulá-las para agirem de forma indevida”

Com mais de 20 anos de experiência em telecomunicações e segurança da informação, Nelson Escravana dirige o INOV – Instituto de Engenharia de Sistemas e Computadores Inovação, uma associação privada sem fins lucrativos vocacionada para a investigação, desenvolvimento e transferência de tecnologia. Fomos ao seu encontro para perceber o que está na origem da onda de ciberataques a que assistimos nos últimos dias e como minimizar o risco de danos no uso da tecnologia. O responsável pelas auditorias de segurança na prevenção e resposta a incidentes tem vários ministérios e grandes empresas como clientes e usa, com frequência, a palavra “vulnerabilidade” quando fala sobre a transição digital. Lidar com a adversidade passa por formar especialistas em cibersegurança e apostar na literacia de todos – só conhecendo os riscos é possível geri-los.

Há razões para temer que os nossos dados estejam comprometidos?
Estão mais expostos pelo aumento da tecnologia nas nossas vidas. Para que ocorra um ciberataque, é preciso uma de três condições: vulnerabilidades tecnológicas, vulnerabilidades que decorrem do comportamento das pessoas e as associadas aos processos. Fazendo uma analogia com a segurança física, quando usamos uma chave diferente numa fechadura e conseguimos abrir a porta, a vulnerabilidade é tecnológica; se deixarmos a porta aberta e entrar lá alguém, isso deve-se à conduta negligente. Pôr a chave debaixo do tapete é ter os processos, ou as regras da interação, desprotegidos. Um potencial atacante precisa de uma vulnerabilidade, motivação para realizar o ataque e capacidade de realizá-lo. Mais de 80% dos ciberataques devem-se ao comportamento negligente das pessoas: basta manipulá-las para agirem de forma indevida. É o caso do phishing: alguém recebe um email e clica num link, permitindo que terceiros acedam ao seu computador. 

A maioria destes ataques não tem um rosto. Trata-se de crime organizado?
Estamos expostos a organizações criminosas extremamente sofisticadas que, na maioria dos casos, têm motivações financeiras. Segundo um artigo do New York Times, publicado no início de 2020, o cibercrime representa mais de 1% do Produto Interno Bruto (PIB) mundial, e estima-se que este valor aumente consideravelmente nos próximos anos e atinja 15% do PIB mundial em 2025. Depois, temos as motivações não financeiras, mas são poucas e por razões políticas. É o caso da interferência nas eleições americanas, ou na Alemanha, por exemplo, mas podem ser também ataques a infraestruturas na Ucrânia devido à proximidade da Rússia e à tensão que se vive naquele cenário.

É possível que esta onda de ataques informáticos, sobretudo o da Vodafone, tenha tido intenções políticas?
Estes casos devem ser vistos de forma individual. O que se sabe sobre o ataque à Vodafone é que inutilizou a rede, debilitou seriamente a capacidade dos serviços durante vários dias e foram apagadas cópias de segurança com o intuito de causar um grande impacto e ser difícil recuperar os dados. Para levar a cabo uma operação deste tipo, é preciso ter um conhecimento aprofundado e detalhado da estrutura da multinacional. Das duas, uma: ou o atacante era fornecedor ou colaborador da operadora, ou passou meses a estudar a infraestrutura sem ser detetado, o que é altamente improvável. O ataque não foi reivindicado por nenhum grupo, estando afastadas as teses do ativismo, do terrorismo e do cibercrime, porque, se a motivação fosse financeira, já teríamos sabido. Além disso, a Vodafone foi uma das primeiras empresas de telecomunicações, em Portugal, a recorrer ao outsourcing de recursos humanos, o que torna muito difícil gerir quem acede aos sistemas e garantir que as pessoas trabalham motivadas. A tese de ter sido um colaborador ou um fornecedor a causar estes danos faz mais sentido do que a de um atentado terrorista ou de manipulação por um Estado. Se assim fosse, atacaria o máximo de infraestruturas ao mesmo tempo, para provocar o caos.

E nos outros casos? Quais terão sido as motivações?
Nuns casos, serão ataques oportunistas, motivados pela necessidade de afirmação, ou show-off, como no caso dos média. No Grupo Impresa, a ação foi reivindicada pelo grupo Lapsus e, no caso da Germano de Sousa, parece ter sido um malware que passou as primeiras linhas de defesa e afetou alguns computadores. No mundo em que vivemos, as organizações expostas à internet são atacadas diariamente, dezenas ou centenas de vezes e, na maior parte dos casos, com motivações financeiras.

O perigo está em ter sistemas em infraestruturas críticas sem um responsável pela sua qualidade e segurança, o que ajuda à proliferação de aplicações feitas por empresas de vão de escada

As vítimas costumam pagar o resgate?
Infelizmente, há quem pague e, enquanto isso acontecer, vai sempre haver quem os peça. Segundo a ENISA, a Agência Europeia para a Cibersegurança, o ransomware foi considerado a principal ameaça para 2020-2021. Aconselhamos as entidades a não pagarem, até por não terem a garantia de receber algo de volta. Isolamos o problema, tentamos recuperar dados e avaliamos as medidas para o mitigar. No entanto, se a entidade ficar encostada à parede, acaba por pagar, pois o seu negócio depende disso e a alternativa seria fechar portas. 

A tentativa de ataque do estudante da Faculdade de Ciências foi motivada por contágio? Ou inspirada em movimentos anarquistas?
Pelo que ouvi, o jovem andava a planear a ação há vários meses e a consultar fóruns da Dark Web; teria algum desequilíbrio psicológico. Admito que uma vertente considerável do cibercrime tenha uma motivação antissistema, mas não é a maior parte. O ataque ativista procura os alvos mais fáceis, não é direcionado e tem uma perigosidade diferente da dos crimes organizados. Se o ataque informático à Vodafone acontecesse noutra infraestrutura crítica, como na energia ou na distribuição de água, poderia ter efeitos graves. O perigo está em ter sistemas em infraestruturas críticas sem um responsável pela sua qualidade e segurança, o que ajuda à proliferação de aplicações, na Administração Pública e no setor privado, feitas por empresas de vão de escada.

As empresas estão preparadas para lidar com hackers?
As empresas vivem num mundo competitivo e, apesar de terem planos estratégicos a longo prazo, pensam em como vão garantir os salários e o lucro antes de investirem em segurança.

Atacar o core do sistema é a nova forma de guerra? Edward Snowden já tinha alertado para isto. Veja-se o Facebook, que ameaçou bloquear serviços na União Europeia…
O paradigma não mudou muito, só que há mais tecnologia – e dependência dela – do que há uma década. Há 20 anos, as comunicações eram reguladas e estatais. O Facebook é um caso mais preocupante, por ser uma empresa privada a operar num espaço não regulamentado e fazer o que bem entende.

Estamos todos à mercê, portanto. O que podem os Estados fazer para se defenderem?
Os Estados não podem calar a iniciativa privada, até porque é quase impossível fazê-lo a esta escala, mas podem regular. Há o Regulamento Geral sobre a Proteção de Dados (RGPD), fruto de um entendimento entre 27 países e que demorou vários anos a atingir, não é perfeito. O decreto-lei 65/2021, em fase de adaptação, regulamenta a proteção de infraestruturas críticas, como as telecomunicações, a energia, a água e os transportes. Se falharem, põem em causa o funcionamento do País. O Estado e as empresas têm de ir mais longe, porque aquilo que temos pode não ser suficiente.

Sem querer dar a ideia de um polícia em cada esquina, o que falta fazer neste campo?
Em Portugal, existe o Centro de Ciberdefesa, acionado em face de uma ameaça de guerra, mas nunca tivemos um teste a sério. A Unidade Nacional Contraterrorismo da PJ tem competências nesta área, mas o Serviço de Informações e Segurança poderia ter uma componente mais ativa. É preciso melhorar o conhecimento da população e aproveitar os próximos anos para o efeito, porque temos fundos de investimento.

Refere-se aos 2 460 milhões de euros para a transição digital, previstos no Plano de Recuperação e Resiliência?
Sim. Embora seja uma oportunidade, tendo em mente as ações de consciencialização e a inclusão da segurança informática nos currículos, é também uma ameaça, porque vamos acelerar a passagem para o digital, que implica uma maior exposição.

Que nota daria aos cidadãos, em literacia digital e segurança informática?
Estamos muito mal! Não temos uma consciência nem uma cultura de segurança. A literacia digital devia ser encarada como as línguas, a Matemática ou a Cidadania, e estar presente em todos os graus do ensino, pois a maioria das crianças do primeiro ciclo tem telemóvel e tablet, mas não tem noção dos perigos a que se expõe. A partir do momento em que se acede a um site malicioso, a gravidade da exposição depende das proteções que se tiver, e basta colocar o username e a password da empresa para não haver proteção possível. Mesmo quando são gerados números aleatórios para acesso, de nada serve se forem dados a terceiros.

Nessa perspetiva, andamos atrás do prejuízo?
No mundo online, é muito fácil afetar a economia de um país quando a maior parte do tecido empresarial não tem noção dos riscos que corre. As empresas e as pessoas têm de perceber os riscos a que estão expostos e geri-los, ou seja, ter planos de contingência para o caso de esses riscos se concretizarem. É como andar de carro: tenho a noção do risco, posso ter um acidente e valer-me do seguro.

Na conjuntura mundial, quais os maiores riscos a que estamos expostos?
Vamos continuar a assistir à intensificação destes ataques, mesmo que não sejam tão mediáticos. A situação geopolítica é delicada no Leste, e a tese de que poderemos ser atacados por pertencermos à NATO não é infundada. Se a Ucrânia entrar em guerra com a Rússia, podem existir ataques dirigidos ao sistema financeiro europeu. O ransomware vai continuar a ser um fenómeno. Um dos grandes problemas das empresas que temos ajudado a recuperar de incidentes é terem perdido os sistemas e as cópias de segurança que lá estão, que também foram cifradas pelos atacantes.

Onde não guardar os códigos e como memorizá-los, sendo tantos e sempre a mudar?
É verdade que cada site em que nos registamos pede uma password, mas a de uma loja em que se faz compras de vez em quando não é tão importante como a da Segurança Social, das Finanças ou da conta bancária. Os códigos não devem ser guardados em documentos, nem em papel, mas no gestor de passwords, do próprio browser ou em aplicações de telemóvel. As passwords são realmente importantes devem ser memorizadas e, se as esquecer, terá o incómodo de ir à entidade em questão para que seja gerada uma nova.

E as cópias de segurança, onde devemos guardá-las? O disco externo também pode avariar…
Ou pior. Se estiver ligado ao PC, no dia em que alguém o atacar com ransomware, também cifra o disco externo.  

Nesse caso, nunca estamos realmente seguros…
Isso é garantido. E não só na tecnologia, basta sair à rua! Resta-nos ter um nível de segurança adequado aos riscos que corremos.

Assine a VISÃO, apoie o jornalismo, por apenas €6/mês.

ASSINE AQUI

Mais na Visão