Os ataques cibernéticos estão cada vez mais presentes na sociedade. Estão mais frequentes e são um fenómeno reconhecido. A que se deve tal aumento deste número?
Cláudio Nunes (C.N.): Nós só temos acesso a cerca de 0,01% das estatísticas reais dos ataques globais, em termos de ataques a infraestruturas que realmente podem lesar um país ou uma organização, porque, quando se trata de cibersegurança, só temos conhecimento de um ataque quando ele está a ter lugar ou quando já aconteceu. Não existe algo como uma “tentativa” de ciberataque, um ataque cibernético é planeado, concretizado e pode ou não ser continuamente desenvolvido, consoante a intencionalidade do atacante. A impreparação está a causar demasiados danos na sociedade, devido à sua regularidade e recorrência na
simplicidade com que enfrentamos a sua implicância. A nível global, está a ser penosa.
Porque é que ainda se fala de tanta impreparação, sobretudo quando estão em causa instituições estatais e outras de áreas estratégicas, como a Banca, ou a Saúde? Até que ponto é que as pessoas levam os ciberataques a sério?
C.N.: O nosso grau de impreparação resulta do facto de lidarmos com a cibersegurança como se esta fosse de fundamento e base tecnológica. Falamos demasiadamente de cibersegurança relacionando o conceito com
a importância de ligações, dispositivos, smartphones… Mas a cibersegurança é algo mais vasto. Na verdade, estar preparado é ter higiene tecnológica, isto é, investir o mesmo tipo de cuidado que temos na limpeza da nossa casa, por exemplo, ou na nossa segurança, quando andamos na rua, no mundo digital. Não podemos responder sem pensar a um email que recebemos de um Banco onde nem temos conta aberta dizendo que é preciso que atualizemos os nossos dados, ou a um email no qual nos é transmitido um possível prémio monetário. Falta-nos ter esta higiene, não basta transmitir confiança e uma negligente sensação de segurança, como indivíduos devemos consciencializarmo-nos das nossas reações, por exemplo: ler e reler os emails; identificar os seus
remetentes; e por fim ter percepção da nossa ação aquando do clique em qualquer momento e em qualquer sítio no mundo online, mesmo este sendo de aparente confiança. As nossas MPME (Micro, Pequenas e Médias
Empresas) não estão tão preparadas, e isso incorpora Bancos e empresas públicas e privadas também da área da Saúde, entre outras áreas como a Energia e as Telecomunicações. É por isso que, no que concerne à Vastis, desde 2017 que fazemos questão de contactar as autarquias locais, organizações governamentais e não governamentais, para transmitir que temos capacidade de os apoiar nesta proteção. Mas a verdade é que, em todos os setores – público e privado – falta muita formação. Por isso, vemos companhias aéreas, hospitais e serviços públicos a serem atacados.
Encontramos esta impreparação e falta de formação evidentes, mesmo em instituições de alto desempenho governamental?
Cláudia de Almeida (C.A.): Encontramos, e é simples perceber a razão para tal. Para a grande maioria das pessoas, onde estão naturalmente incluídos os indivíduos que trabalham em organismos públicos, a cibersegurança é vista como sendo “apenas tecnologia” e, portanto, todas as questões de segurança e salvaguarda de dados, sejam documentos, imagens, passwords, acabam por se resumir a um antivírus instalado nos dispositivos – computadores de secretária, computadores portáteis, tablets e smartphones. A cibersegurança é muito mais que antivírus, basta observarmos o número crescente de pessoas lesadas através do esquema de phishing “Olá Pai, Olá Mãe”, cujo “gatilho” resulta exatamente da impreparação das pessoas. A cibersegurança
é acima de tudo uma questão sociológica, devendo ser tratada como tal. No que às instituições governamentais diz respeito, e fazendo referência apenas aos ciberataques perpetrados a organismos públicos como o Ministério da Economia, a Segurança Social, é facilmente perceptível a ausência de preparação para esta nova realidade na
Administração Central. No entanto, e não desvalorizando os efeitos nocivos dos ataques que referi anteriormente, temos uma outra realidade, a meu ver mais preocupante: o caso das autarquias locais, que sendo uma espécie de “primeira porta” de contacto entre os cidadãos e o Estado, estão particularmente impreparadas, e temos percebido isso no último ano. Esta impreparação, resulta no meu entender do facto de termos uma Estratégia Nacional de Cibersegurança (ENSC) ainda muito teórica, uma vez que, está baseada em princípios muito
jurídicos, pouco adaptados ao contexto real da sociedade e dos seus hábitos.
“A maioria das autarquias
está totalmente impreparada
e, por isso, temos assistido
a tantos ataques a estes órgãos
governativos no último ano”.
(Cláudia de Almeida)
Quando falamos em falta de literacia tecnológica e falta de reconhecimento do que é a higiene tecnológica, até que ponto não seria realmente interessante, na vossa opinião, começarmos por formar os mais novos, através da escola ou de outro tipo de ações?
C.N.: À nossa sociedade, tudo chega tarde. Temos um atraso geracional de cerca de 40 anos e, atualmente, temos uma faixa de pessoas em idade ativa muito baixa. Isso provoca graves danos sociológicos numa sociedade. Ora, a cibersegurança é sociológica, senão vejamos: partilhamos links, fotos, notícias, interagimos
socialmente e é isso que nos coloca em risco. Mas como é que nós podemos alertar uma sociedade em que aqueles com mais experiência têm uma intransigência no que toca à receção de informação dos mais novos? A nossa sociedade vive de hierarquia etária e não de aprendizagem contínua, portanto devemos respeitar os legados, tentando simultaneamente que os cidadãos com maior experiência estejam recetivos também a uma complementaridade de conhecimentos. Portanto, e apesar de os conteúdos programáticos do ensino terem
mudado imenso, os nossos jovens não podem exigir aos seus pais e avós que estejam sentados numa cadeira a tentar aprimorar competências quando há uma teoria de descendência e não de ascendência do conhecimento. A minha proposta é que os mais experientes, isto é, os nossos pais ouçam mais os mais jovens. Porque, na cibersegurança, é essencial a aprendizagem. Sem isso, ficaremos obsoletos, o que reforça a vulnerabilidade da sociedade e, por consequência, a vulnerabilidade da economia e das infraestruturas críticas. Todos somos seres
humanos, multiplicamos socialmente capacidades e incapacidades. A cibersegurança é uma vulnerabilidade ou uma capacidade, compete à sociedade e aos indivíduos que a constituem essa escolha.
A Estratégia Nacional de Cibersegurança está em fase de revisão. Quem poderá ajudar a construir uma nova Estratégia, mais ampla e adaptada a tudo o que é necessário? Como se pode efetivar a sua aplicação junto das empresas e da comunidade?
C.N.: O futuro tem de passar pela criação da disciplina de cyber profile, que ajudará à prevenção destes ataques, na medida em que conseguiremos reduzir a eventualidade de, sequer, alguém querer cometer um crime
cibernético. E é aqui que entra o trabalho dos psicólogos e neurolinguistas. Esta é uma tática de ataque ao ataque que podemos sofrer. Veja: os comportamentos de ataque são precedidos de pensamento, portanto precisamos de entender a forma como os hackers raciocinam, porque fazem o que fazem, e chegar até eles. Tal
não significa ir buscar estes atacantes a casa, significa que eles nunca chegarão a ter este tipo de pensamentos, porque temos uma sociedade preparada para valorizar os seus conhecimentos técnicos e tecnológicos, o que lhes permitirá aplicar estes conhecimentos ao serviço de algo positivo. Muitos destes hackers nunca viram a sua capacidade técnica reconhecida. Isso frustra-os. Quando o fizermos, provavelmente reduziremos os ataques em cerca de 70%. A maioria das pessoas que se torna hacker está depressiva, procura uma forma de demonstrar
as suas irreverências. Está fechada num quarto e o único contacto com o mundo é o hacking. Uma Estratégia Nacional de Cibersegurança deve ser adaptável e juridicamente consciente da iminente mudança geográfica e interoperável em qualquer cenário. As empresas e a sociedade devem ser sensibilizadas como um todo, e
devem ser alvo de uma estratégia pragmática de educação, formação e capacitação, em todas as faixas setárias e etárias.
C.A.: Acredito que, para uma boa Estratégia Nacional de Cibersegurança, toda a sociedade tem de estar envolvida. A cibersegurança tem de ser um todo e não só um problema das pessoas que trabalham nas áreas da tecnologia.
“Muitos destes hackers
nunca viram a sua capacidade
técnica reconhecida.
Isso frustra-os.
Quando o fizermos,
provavelmente reduziremos
os ataques em cerca de 70%”.
(Cláudio Nunes)
Para empresas que trabalham na área da cibersegurança, como é o caso da Vastis e da CdA – Negócios & Consultoria, o caminho passa por aplicar técnicas de neurolinguística e prevenção psicológica para, efetivamente, reduzir o número de ataques? São estas as áreas em que estão a trabalhar atualmente?
C.N.: A Vastis está apostada em três campos de referência interna: o primeiro baseia-se no facto de já não estarmos no campo da prevenção ou do ataque a ciberataques. Estamos dedicados à neurolinguística e neuroanálise, apostados em introduzir algoritmos de prevenção de ciberataques, antes de eles serem, sequer,
ciberataques; o segundo campo de referência é a construção de três datacenters a nível nacional, que atinjam uma capacidade de autossuficiência de backups e também para que o serviço público seja prestado com excelência. Nós queremos criar, nos próximos dois anos, datacenters próprios, com capacidades de até 80 petabites, para garantir que existe capacidade para inutilizar qualquer ataque, na medida em que um ciberataque só é bem-sucedido se conseguir, de facto, inutilizar um sistema; o último campo passa por perceber como iremos, dentro das universidades e dos centros de emprego, buscar pessoas extremamente capazes mas que foram tornadas obsoletas pelo sistema, investindo depois em formação dentro da empresa.
C.A.: Tendencialmente, a minha grande preocupação é a segurança dos dados das pessoas e o cumprimento dos regulamentos de privacidade – RGPD. Aquilo que mais tem sido procurado são os serviços de cibersegurança, de
análise de risco, de RGPD, mas curiosamente, e ao contrário do que seria expectável, também tem crescido o serviço de construção de sites, logótipos, e imagens corporativas. Acredito que as empresas estão cada vez mais cientes da importância que é a comunicação corporativa e apostam nela.
