“Mais de 80% dos ciberataques devem-se ao comportamento negligente das pessoas: basta manipulá-las para agirem de forma indevida”

“Mais de 80% dos ciberataques devem-se ao comportamento negligente das pessoas: basta manipulá-las para agirem de forma indevida”

Com mais de 20 anos de experiência em telecomunicações e segurança da informação, Nelson Escravana dirige o INOV – Instituto de Engenharia de Sistemas e Computadores Inovação, uma associação privada sem fins lucrativos vocacionada para a investigação, desenvolvimento e transferência de tecnologia. Fomos ao seu encontro para perceber o que está na origem da onda de ciberataques a que assistimos nos últimos dias e como minimizar o risco de danos no uso da tecnologia. O responsável pelas auditorias de segurança na prevenção e resposta a incidentes tem vários ministérios e grandes empresas como clientes e usa, com frequência, a palavra “vulnerabilidade” quando fala sobre a transição digital. Lidar com a adversidade passa por formar especialistas em cibersegurança e apostar na literacia de todos – só conhecendo os riscos é possível geri-los.

Há razões para temer que os nossos dados estejam comprometidos?
Estão mais expostos pelo aumento da tecnologia nas nossas vidas. Para que ocorra um ciberataque, é preciso uma de três condições: vulnerabilidades tecnológicas, vulnerabilidades que decorrem do comportamento das pessoas e as associadas aos processos. Fazendo uma analogia com a segurança física, quando usamos uma chave diferente numa fechadura e conseguimos abrir a porta, a vulnerabilidade é tecnológica; se deixarmos a porta aberta e entrar lá alguém, isso deve-se à conduta negligente. Pôr a chave debaixo do tapete é ter os processos, ou as regras da interação, desprotegidos. Um potencial atacante precisa de uma vulnerabilidade, motivação para realizar o ataque e capacidade de realizá-lo. Mais de 80% dos ciberataques devem-se ao comportamento negligente das pessoas: basta manipulá-las para agirem de forma indevida. É o caso do phishing: alguém recebe um email e clica num link, permitindo que terceiros acedam ao seu computador. 

A maioria destes ataques não tem um rosto. Trata-se de crime organizado?
Estamos expostos a organizações criminosas extremamente sofisticadas que, na maioria dos casos, têm motivações financeiras. Segundo um artigo do New York Times, publicado no início de 2020, o cibercrime representa mais de 1% do Produto Interno Bruto (PIB) mundial, e estima-se que este valor aumente consideravelmente nos próximos anos e atinja 15% do PIB mundial em 2025. Depois, temos as motivações não financeiras, mas são poucas e por razões políticas. É o caso da interferência nas eleições americanas, ou na Alemanha, por exemplo, mas podem ser também ataques a infraestruturas na Ucrânia devido à proximidade da Rússia e à tensão que se vive naquele cenário.

É possível que esta onda de ataques informáticos, sobretudo o da Vodafone, tenha tido intenções políticas?
Estes casos devem ser vistos de forma individual. O que se sabe sobre o ataque à Vodafone é que inutilizou a rede, debilitou seriamente a capacidade dos serviços durante vários dias e foram apagadas cópias de segurança com o intuito de causar um grande impacto e ser difícil recuperar os dados. Para levar a cabo uma operação deste tipo, é preciso ter um conhecimento aprofundado e detalhado da estrutura da multinacional. Das duas, uma: ou o atacante era fornecedor ou colaborador da operadora, ou passou meses a estudar a infraestrutura sem ser detetado, o que é altamente improvável. O ataque não foi reivindicado por nenhum grupo, estando afastadas as teses do ativismo, do terrorismo e do cibercrime, porque, se a motivação fosse financeira, já teríamos sabido. Além disso, a Vodafone foi uma das primeiras empresas de telecomunicações, em Portugal, a recorrer ao outsourcing de recursos humanos, o que torna muito difícil gerir quem acede aos sistemas e garantir que as pessoas trabalham motivadas. A tese de ter sido um colaborador ou um fornecedor a causar estes danos faz mais sentido do que a de um atentado terrorista ou de manipulação por um Estado. Se assim fosse, atacaria o máximo de infraestruturas ao mesmo tempo, para provocar o caos.

E nos outros casos? Quais terão sido as motivações?
Nuns casos, serão ataques oportunistas, motivados pela necessidade de afirmação, ou show-off, como no caso dos média. No Grupo Impresa, a ação foi reivindicada pelo grupo Lapsus e, no caso da Germano de Sousa, parece ter sido um malware que passou as primeiras linhas de defesa e afetou alguns computadores. No mundo em que vivemos, as organizações expostas à internet são atacadas diariamente, dezenas ou centenas de vezes e, na maior parte dos casos, com motivações financeiras.

O perigo está em ter sistemas em infraestruturas críticas sem um responsável pela sua qualidade e segurança, o que ajuda à proliferação de aplicações feitas por empresas de vão de escada

As vítimas costumam pagar o resgate?
Infelizmente, há quem pague e, enquanto isso acontecer, vai sempre haver quem os peça. Segundo a ENISA, a Agência Europeia para a Cibersegurança, o ransomware foi considerado a principal ameaça para 2020-2021. Aconselhamos as entidades a não pagarem, até por não terem a garantia de receber algo de volta. Isolamos o problema, tentamos recuperar dados e avaliamos as medidas para o mitigar. No entanto, se a entidade ficar encostada à parede, acaba por pagar, pois o seu negócio depende disso e a alternativa seria fechar portas. 

A tentativa de ataque do estudante da Faculdade de Ciências foi motivada por contágio? Ou inspirada em movimentos anarquistas?
Pelo que ouvi, o jovem andava a planear a ação há vários meses e a consultar fóruns da Dark Web; teria algum desequilíbrio psicológico. Admito que uma vertente considerável do cibercrime tenha uma motivação antissistema, mas não é a maior parte. O ataque ativista procura os alvos mais fáceis, não é direcionado e tem uma perigosidade diferente da dos crimes organizados. Se o ataque informático à Vodafone acontecesse noutra infraestrutura crítica, como na energia ou na distribuição de água, poderia ter efeitos graves. O perigo está em ter sistemas em infraestruturas críticas sem um responsável pela sua qualidade e segurança, o que ajuda à proliferação de aplicações, na Administração Pública e no setor privado, feitas por empresas de vão de escada.

As empresas estão preparadas para lidar com hackers?
As empresas vivem num mundo competitivo e, apesar de terem planos estratégicos a longo prazo, pensam em como vão garantir os salários e o lucro antes de investirem em segurança.

Atacar o core do sistema é a nova forma de guerra? Edward Snowden já tinha alertado para isto. Veja-se o Facebook, que ameaçou bloquear serviços na União Europeia…
O paradigma não mudou muito, só que há mais tecnologia – e dependência dela – do que há uma década. Há 20 anos, as comunicações eram reguladas e estatais. O Facebook é um caso mais preocupante, por ser uma empresa privada a operar num espaço não regulamentado e fazer o que bem entende.

Estamos todos à mercê, portanto. O que podem os Estados fazer para se defenderem?
Os Estados não podem calar a iniciativa privada, até porque é quase impossível fazê-lo a esta escala, mas podem regular. Há o Regulamento Geral sobre a Proteção de Dados (RGPD), fruto de um entendimento entre 27 países e que demorou vários anos a atingir, não é perfeito. O decreto-lei 65/2021, em fase de adaptação, regulamenta a proteção de infraestruturas críticas, como as telecomunicações, a energia, a água e os transportes. Se falharem, põem em causa o funcionamento do País. O Estado e as empresas têm de ir mais longe, porque aquilo que temos pode não ser suficiente.

Sem querer dar a ideia de um polícia em cada esquina, o que falta fazer neste campo?
Em Portugal, existe o Centro de Ciberdefesa, acionado em face de uma ameaça de guerra, mas nunca tivemos um teste a sério. A Unidade Nacional Contraterrorismo da PJ tem competências nesta área, mas o Serviço de Informações e Segurança poderia ter uma componente mais ativa. É preciso melhorar o conhecimento da população e aproveitar os próximos anos para o efeito, porque temos fundos de investimento.

Refere-se aos 2 460 milhões de euros para a transição digital, previstos no Plano de Recuperação e Resiliência?
Sim. Embora seja uma oportunidade, tendo em mente as ações de consciencialização e a inclusão da segurança informática nos currículos, é também uma ameaça, porque vamos acelerar a passagem para o digital, que implica uma maior exposição.

Que nota daria aos cidadãos, em literacia digital e segurança informática?
Estamos muito mal! Não temos uma consciência nem uma cultura de segurança. A literacia digital devia ser encarada como as línguas, a Matemática ou a Cidadania, e estar presente em todos os graus do ensino, pois a maioria das crianças do primeiro ciclo tem telemóvel e tablet, mas não tem noção dos perigos a que se expõe. A partir do momento em que se acede a um site malicioso, a gravidade da exposição depende das proteções que se tiver, e basta colocar o username e a password da empresa para não haver proteção possível. Mesmo quando são gerados números aleatórios para acesso, de nada serve se forem dados a terceiros.

Nessa perspetiva, andamos atrás do prejuízo?
No mundo online, é muito fácil afetar a economia de um país quando a maior parte do tecido empresarial não tem noção dos riscos que corre. As empresas e as pessoas têm de perceber os riscos a que estão expostos e geri-los, ou seja, ter planos de contingência para o caso de esses riscos se concretizarem. É como andar de carro: tenho a noção do risco, posso ter um acidente e valer-me do seguro.

Na conjuntura mundial, quais os maiores riscos a que estamos expostos?
Vamos continuar a assistir à intensificação destes ataques, mesmo que não sejam tão mediáticos. A situação geopolítica é delicada no Leste, e a tese de que poderemos ser atacados por pertencermos à NATO não é infundada. Se a Ucrânia entrar em guerra com a Rússia, podem existir ataques dirigidos ao sistema financeiro europeu. O ransomware vai continuar a ser um fenómeno. Um dos grandes problemas das empresas que temos ajudado a recuperar de incidentes é terem perdido os sistemas e as cópias de segurança que lá estão, que também foram cifradas pelos atacantes.

Onde não guardar os códigos e como memorizá-los, sendo tantos e sempre a mudar?
É verdade que cada site em que nos registamos pede uma password, mas a de uma loja em que se faz compras de vez em quando não é tão importante como a da Segurança Social, das Finanças ou da conta bancária. Os códigos não devem ser guardados em documentos, nem em papel, mas no gestor de passwords, do próprio browser ou em aplicações de telemóvel. As passwords são realmente importantes devem ser memorizadas e, se as esquecer, terá o incómodo de ir à entidade em questão para que seja gerada uma nova.

E as cópias de segurança, onde devemos guardá-las? O disco externo também pode avariar…
Ou pior. Se estiver ligado ao PC, no dia em que alguém o atacar com ransomware, também cifra o disco externo.  

Nesse caso, nunca estamos realmente seguros…
Isso é garantido. E não só na tecnologia, basta sair à rua! Resta-nos ter um nível de segurança adequado aos riscos que corremos.

Mais na Visão

Mais Notícias

PRIO – Exame Informática – Peugeot, a equipa dos ralis ‘zero emissões’

PRIO – Exame Informática – Peugeot, a equipa dos ralis ‘zero emissões’

Juan Vicente Piqueras, Caçador de instantes

Juan Vicente Piqueras, Caçador de instantes

Victoria Guerra: “Estes últimos dois meses foram perfeitos para mim”

Victoria Guerra: “Estes últimos dois meses foram perfeitos para mim”

Há novas imagens do casamento de Bruna Gomes e Bernardo Sousa

Há novas imagens do casamento de Bruna Gomes e Bernardo Sousa

Passatempo

Passatempo "O 25 de abril visto por ti"

Pigmentarium: perfumaria de nicho inspirada na herança cultural da República Checa

Pigmentarium: perfumaria de nicho inspirada na herança cultural da República Checa

Quer usar brincos? Escolha uns que sejam grandes!

Quer usar brincos? Escolha uns que sejam grandes!

Molas de cabelo: 15 versões do acessório-estrela da estação

Molas de cabelo: 15 versões do acessório-estrela da estação

O que já se sabe sobre o novo processador Snapdragon topo de gama

O que já se sabe sobre o novo processador Snapdragon topo de gama

Está na altura de arriscar e assumir o cabelo grisalho

Está na altura de arriscar e assumir o cabelo grisalho

Hella Jongerius cede ao Vitra Design Museum o seu vasto arquivo

Hella Jongerius cede ao Vitra Design Museum o seu vasto arquivo

Eco Rally Portugal: os pormenores sobre o rally exclusivo para carros elétricos

Eco Rally Portugal: os pormenores sobre o rally exclusivo para carros elétricos

Ir à Casa Az-Zagal e deixar-se ficar na aldeia

Ir à Casa Az-Zagal e deixar-se ficar na aldeia

Maria Rueff: “Fico comovida, sinto que formei uma grande mulher”

Maria Rueff: “Fico comovida, sinto que formei uma grande mulher”

JL 1394

JL 1394

IPMA espera neve na Madeira na Páscoa devido à depressão Nelson

IPMA espera neve na Madeira na Páscoa devido à depressão Nelson

Um museu que nos cabe no pulso: Swatch e Tate lançam coleção artística

Um museu que nos cabe no pulso: Swatch e Tate lançam coleção artística

Quem quer ser milionário?

Quem quer ser milionário?

Especialistas vão começar a desenhar recomendações para a 'long covid'

Especialistas vão começar a desenhar recomendações para a 'long covid'

Que cão português nasceu para si?

Que cão português nasceu para si?

Páscoa: Sete restaurantes para saborear (ou encomendar) o cabrito no forno

Páscoa: Sete restaurantes para saborear (ou encomendar) o cabrito no forno

Ano de 2023 foi o segundo mais quente de sempre em Portugal

Ano de 2023 foi o segundo mais quente de sempre em Portugal

Os nomes estranhos das fobias ainda mais estranhas

Os nomes estranhos das fobias ainda mais estranhas

Ana Sofia Martins visita a Islândia

Ana Sofia Martins visita a Islândia

Charles Spencer posa com a filha e as semelhanças com a tia, a princesa Diana, são visíveis

Charles Spencer posa com a filha e as semelhanças com a tia, a princesa Diana, são visíveis

TVI propôs outro programa das manhãs a Maria Botelho Moniz

TVI propôs outro programa das manhãs a Maria Botelho Moniz

Lisboa através dos tempos na VISÃO História

Lisboa através dos tempos na VISÃO História

A oportunidade do Carbono Azul em Portugal

A oportunidade do Carbono Azul em Portugal

Doces da Páscoa.

Doces da Páscoa. "Um dia não são dias" ou há um perigo real em comer de uma só vez um pacote de amêndoas ou um ovo dos grandes?

TAP regista lucro histórico de 177 milhões no ano mais longo da sua vida

TAP regista lucro histórico de 177 milhões no ano mais longo da sua vida

Os lugares desta História, com Isabel Stilwell: Elvas, capital do Império onde o sol nunca se põe

Os lugares desta História, com Isabel Stilwell: Elvas, capital do Império onde o sol nunca se põe

JL 1395

JL 1395

Página ilustrada: o mundo a cores de Ana Seixas

Página ilustrada: o mundo a cores de Ana Seixas

Tempos de Antena ‘Miúdos a Votos’: ‘Os Sete Maridos de Evelyn Hugo’

Tempos de Antena ‘Miúdos a Votos’: ‘Os Sete Maridos de Evelyn Hugo’

Agenda 25 de Abril: O que há para ver, ouvir e fazer, de Norte a Sul

Agenda 25 de Abril: O que há para ver, ouvir e fazer, de Norte a Sul

A aposta 'preto no branco' cria um universo particular no Porto

A aposta 'preto no branco' cria um universo particular no Porto

Em “Cacau”: Tiago acusa Cacau da morte de Pipa

Em “Cacau”: Tiago acusa Cacau da morte de Pipa

Ana Moura na ModaLisboa “Vim muito bem acompanhada pela Emília”

Ana Moura na ModaLisboa “Vim muito bem acompanhada pela Emília”

A importância das plataformas na escolha de um carro elétrico

A importância das plataformas na escolha de um carro elétrico

Israel lançou um programa de reconhecimento facial na Faixa de Gaza

Israel lançou um programa de reconhecimento facial na Faixa de Gaza

Diretor executivo do SNS desvaloriza críticas do PSD às unidades locais de saúde

Diretor executivo do SNS desvaloriza críticas do PSD às unidades locais de saúde

A próxima missão para a Inteligência Artificial? Fazer cerveja

A próxima missão para a Inteligência Artificial? Fazer cerveja

Deixa-te inspirar pela natureza em 3,2,1…

Deixa-te inspirar pela natureza em 3,2,1…

Rainha Maxima adiciona aranhas ao seu visual

Rainha Maxima adiciona aranhas ao seu visual

Portugal visto pelos estrangeiros

Portugal visto pelos estrangeiros

Parceria TIN/Público

A Trust in News e o Público estabeleceram uma parceria para partilha de conteúdos informativos nos respetivos sites