por Eduardo Magrani, Consultor Sénior na área de TMT da CCA Law Firm
“Se o cibercrime fosse um Estado seria a terceira maior economia do mundo, depois dos Estados Unidos e China, com um PIB de US$ 10 trilhões”, afirmou o primeiro-ministro da Albânia, considerando que o cibercrime poderá faturar US$ 10 trilhões em 2025. A indústria de crimes cibernéticos representa uma das mais lucrativas áreas de tecnologia dos dias atuais e cresce à medida que organizações criminosas evoluem e profissionalizam o desenvolvimento e distribuição de atividades maliciosas, como ransomware, phishing, roubo de credenciais, entre outros ataques.
Com números e impactos significativos, uma das principais preocupações e prioridades da União Europeia nos últimos anos é justamente a cibersegurança e isso reflete-se na elaboração de novas estratégias e regulações que têm vindo a ser aprovadas e discutidas ao longo dos últimos anos no sentido de garantir uma Europa mais segura, mais conectada e mais digital.
A primeira lei da UE sobre segurança cibernética, a Diretiva NIS, que entrou em vigor em 2016, ajudou a alcançar um nível comum de segurança de rede e sistemas de informação em toda a UE. De forma complementar, a Lei de Cibersegurança da UE, em vigor desde 2019, equipou a Europa com uma estrutura de certificação de cibersegurança de produtos, serviços e processos e reforçou o mandato da Agência para a Cibersegurança na UE (ENISA).
Nunca, no entanto, o âmbito de aplicação destas regras foi tão abrangente como a Diretiva NIS 2 (Diretiva 2022/2555), que entrou em vigor em 2023. Este novo documento revoga a Diretiva NIS (Diretiva 2016/1148/EC) e melhora a gestão de riscos de segurança cibernética introduzindo obrigações de relatórios em setores específicos. O seu objetivo principal é a aplicação de medidas que garantam um alto nível de cibersegurança comum em toda a União. Existe hoje, portanto, uma concordância geral sobre a necessidade de uma aplicação eficaz de medidas efetivas de Cibersegurança em cada um dos países.
Em Portugal especificamente, o Governo vem adotando estratégias de cibersegurança contra essas ameaças. O país já possui uma estratégia nacional voltada para a cibersegurança desde 2015. Esta estratégia foi revista em 2019 dando origem à Estratégia Nacional para a Segurança do Ciberespaço.
Conforme informação do Governo Português, a execução desta estratégia tem como objetivo tornar Portugal num país mais seguro, através de uma ação inovadora, inclusiva e resiliente, que preserve os valores fundamentais do Estado de Direito democrático e garanta o regular funcionamento das instituições face à evolução digital da sociedade. Nesta linha, o Centro Nacional de Cibersegurança está também encarregue de coordenar a elaboração, o acompanhamento da execução e a revisão do Plano de Ação da Estratégia Nacional para a Segurança do Ciberespaço em cooperação com todas as entidades responsáveis pela segurança do ciberespaço no país.
Quanto aos números de incidentes de cibersegurança em Portugal, os episódios recentes, revelam mais do que nunca, que a segurança cibernética deve ser vista como um tópico central. Verifica-se um crescimento significativo de crimes tipificados na Lei do Cibercrime (crimes informáticos) e de incidentes com elevado potencial disruptivo, registados pelas autoridades policiais. O número de incidentes registados pelo CERT.PT aumentou 14%, passando de 1781 em 2021 para 2023 em 2022. Dentro desses incidentes, ocorreram diversos ciberataques de grande impacto nas infraestruturas e serviços em Portugal. Os setores mais afetados por incidentes de cibersegurança em Portugal durante 2022 foram a Banca (sobretudo phishing aos clientes), a Educação e Ciência, Tecnologia e Ensino Superior, os Transportes e a Saúde.
Conforme informações do CNCS, verificou-se nos últimos meses um incremento na sofisticação e impacto de alguns incidentes. As ciberameaças a afetar o ciberespaço de modo mais contundente foram o ransomware, a cibersabotagem/indisponibilidade, o phishing/smishing/vishing, a burla online, além de incidentes de negação de serviços distribuída (DDoS) e outros ataques.
Muitos dos casos de phishing, smishing e vishing e burla online estão ligados a técnicas de manipulação de indivíduos, o que reflete uma falta de cultura em prevenção de cibercrime. Incidentes de comprometimento de contas e tentativa de login, são muitas vezes resultantes de palavras-passe comprometidas e de extrações de dados pessoais que poderiam por vezes ser contornadas com a implementação de duplo fator de autenticação, entre outras medidas técnicas e organizativas.
As organizações devem estar atentas e dispostas a investir nesta área uma vez que precisam de proteger os seus ativos de negócio críticos, gerar confiança e evitar danos financeiros e de reputação bem como garantir a conformidade com os regulamentos existentes. Por esta razão os números de investimento em cibersegurança cresceram 10,7% em Portugal, fixando-se em 300 milhões de euros neste ano, demostrando representar uma prioridade para as empresas e organizações, devido ao crescente risco e sofisticação dos ataques informáticos.
Uma boa estratégia de cibersegurança deve começar com um mapeamento adequado das regulações existentes como forma de compliance e um programa de gestão de dados e conscientização apropriado para cada negócio. O desenho de um programa de segurança da informação deve atender fundamentalmente a três pilares: Governação, Tecnologia e Cultura.
A Governação está ligada às estruturas de liderança e responsabilidade estabelecidas para garantir que as políticas, contratos e práticas de segurança da informação sejam implementadas e gerenciadas. O pilar da tecnologia refere-se ao conjunto de ferramentas e sistemas utilizados para proteger a informação. O pilar cultural, por sua vez, remete ao conjunto de valores, crenças e comportamentos que promovem a segurança da informação. Estes pilares desdobram-se em diferentes ações como: identificação e prevenção de riscos, deteção de incidentes, resposta e recuperação de ativos, entre outros.
É fundamental hoje as organizações terem esta governação adequada, com bons indicadores de risco e capacidade de defesa de ataques e gerenciamento de crises envolvendo as principais áreas da empresa, com objetivos e estruturas claras e bem implementadas para garantir que possuem capacidade para reagir com competência e rapidez aos novos desafios da Cibersegurança, com compromisso e expertise adequados.