0
0
tema da cibersegurança está cada vez mais em voga, mas em Portugal são muito poucas as empresas que investem seriamente na proteção cibernética do negócio. Resultado? Um simples ataque de ransomware (software malicioso que bloqueia acessos a dados e sistemas) às grandes empresas do país pode gerar, em média, perdas de entre cinco a dez milhões de euros.
O cálculo é feito por Ricardo Negrão, o especialista em sistemas de informação e cibersegurança que ocupa há um mês o cargo de head of cyber risk da Aon Portugal. Em entrevista ao Dinheiro Vivo, o gestor – que já passou pela Capgemini, Ordem dos Advogados, Ministério da Justiça e PLMJ – explica que o valor é uma extrapolação apenas sobre um tipo de específico de ataque informático, tendo como base o que aconteceu à EDP, em abril de 2020 – um ataque informático afetou, pelo menos, metade dos servidores da energética, todos da Microsoft -, assumindo que a empresa perdeu um milhão por cada dia de impacto daquele ataque.
Ricardo Negrão lamenta não ter dados mais concretos sobre o prejuízo financeiro potencial dos ataques informáticos nas empresas, independentemente do tipo. Considera que a informação que corre é “insuficiente”, porque as organizações “não estão preparadas” para a cibersegurança e, ainda, porque receiam partilhar esse tipo de dados por “uma questão reputacional”. Ora, ocultar um ciberataque “só promove a criminalidade”, afiança o gestor, que foi recrutado pela Aon Portugal para dinamizar a área de negócio vocacionada para a análise de risco cibernético e o impacto desta nas organizações.
Segundo o novo responsável pela área de cyber risk da seguradora de origem britânica, em Portugal, não há muitas seguradoras com competências na área e também “é muito baixo o volume de apólices” em cibersegurança.
A falta de noção sobre a cibersegurança não se verifica só em Portugal, mas, observando o país, Ricardo Negrão assegura que há por cá um problema de perceção, falta de recursos e uma cultura empresarial desatenta à questão. Isto numa altura em que se crê que Portugal avança na transição digital e na digitalização dos negócios. Este cenário levanta questões, sobretudo quando “a adoção de tecnologia foi acelerada fortemente com a pandemia, mas sem ser tida em conta a cibersegurança”.
Portugal com pouca maturidade
No fundo, Portugal é um país imaturo quanto à cibersegurança. “O Reino Unido, França e Alemanha têm níveis de maturidade bastante elevados. Num patamar global, estão num nível médio abaixo do médio. Portugal tem níveis de maturidade muito iniciais”. Que quer isso dizer? “Que há ainda muito caminho a percorrer”, nota Ricardo Negrão. “Mas, mais grave que isso, é que há um problema de perceção, a maior parte das organizações acha que um ataque não vai acontecer”.
Portugal é apetecível para “hackers”
O que as organizações não sabem, o que agrava o impacto potencial da impreparação das organizações, é que Portugal tornou-se “num alvo apetecível”, sobretudo para ataques de ransomware – o tipo de ataque mais utilizado, segundo Negrão.
“Há um ano diria que Portugal não era apetecível, mas a realidade mudou significativamente e passamos a ser um alvo, porque há uma indústria a massificar o ransomeware – com pouco esforço produz resultados financeiros significativos. Acresce o ataque tipo denial of service [que bloqueia negócios por completo], que se deve à deslocalização de centros tecnológicos para Portugal”, revela.
Há outro alerta que Ricardo Negrão faz: o país começou também a registar atividades que se podem associar a ciberespionagem. “Começamos a ter ataques direcionados a determinados negócios”, afirma, salientando que a área de indústria é a mais visada. O gestor explica que, nesse campo, há “outro tipo de engenho, estratégia e trabalho para atingir outro fim”.
Até há pouco tempo, o cibercrime “resultava das portas abertas”, que as organizações por desconhecimento não fechavam. Agora, conta o especialista, já se registaram casos em que “alguém contratar outro para penalizar uma terceira entidade, causando dano para benefício de terceiros”. “Algo que antes não acontecia”, reflete.
Prevenção custa 20 mil euros
Para o gestor da Aon, só as organizações que sofreram algum tipo de ataque estão cientes do tema, embora mesmo essas enfrentem barreiras. As outras, por ignorância, “têm muitas dúvidas como abordar o tema”. “Há um problema nacional e internacional de literacia sobre as ameaças cibernéticas”, diz.
A iliteracia contribui para que não existam estratégias, planos de segurança e, sobretudo, investimento nas pessoas. Além de que também há uma escassez de recursos humanos especializados na área, segundo Ricardo Negrão.
Ora, para solucionar essas barreira, quanto custaria a uma organização investir na proteção cibernética do seu negócio? O head of cyber risks explica que com cinco mil euros qualquer entidade consegue fazer uma avaliação do estado de maturidade. Para ter “procedimentos e políticas de cibersegurança”, o investimento rondaria os 20 mil euros. Mas a falta de awareness das organizações “é uma questão cultural, que tem de ser promovida desde as chefias até às bases”.
Perante uma avaliação de maturidade, as organizações poderiam “mapear prioridades de acordo com o negócio da organização” e perceber quais são as “prioridades” em matéria de cibersegurança – se é proteger a propriedade intelectual, sistemas de automação ou blindar informação sensível. Depois, há que investir nos recursos humanos.
“O elo mais fraco do ponto de vista da cibersegurança são as pessoas. Deve de haver uma visão holística da cibersegurança. Todas as peças fazem parte de um todo que pode ser vulnerável a um ataque”, explica. Neste ponto Negrão defende o investimento na capacitação dos trabalhadores das empresas – ainda mais numa altura em que o trabalho remoto é tendência e muitos recorrem a material informático pessoal.
Neste aspeto o responsável da Aon diz que é no momento de trocar informação entre entidades que podem surgir mais ataques: “90% dos problemas de cibersegurança nas organizações têm origem nos parceiros, e não na própria organização”.
“Todas as organizações investem muito na segurança no local de trabalho – têm um antivírus, anti-spam, VPN, acessos por multifatores -, mas que investimento fizeram para que as pessoas não caiam num esquema de phishing?”, interroga-se. “O problema não é um clique inadvertido, o problema é não conseguir identificar um ciberataque perante algo que não é normal. Deveria ser automático ter essa capacidade de reconhecer”, complementa.
Contudo, “falta recursos no mercado [nacional]”. “Perante um problema de cibersegurança, as organizações têm muita dificuldade em encontrar quem os ajude”, comenta, deixando um exemplo: “se precisar de analisar em 72 horas 300 computadores para avaliar o potencial risco de um roubo de dados não se encontra ninguém para o fazer, em Portugal”.
“Não há nenhuma organização com essa capacidade, e esse é um problema do nosso mercado”, acrescenta.
A falta de recursos também é um “problema global”. Portugal tem “boa escolas”, mas os talentos vão trabalhar para fora do país, na sua maioria, segundo Ricardo Negrão. “A nossa capacidade nacional não é aproveitada para o mercado interno”, lamenta. O obstáculo são os salários, sendo que a área de cibersegurança no estrangeiro oferece “mais possibilidades” que Portugal.
E a legislação é favorável para a cibersegurança? Ricardo Negrão sublinha que o País “não está mal”, mas “a falta de maturidade e experiência nesta matéria traduz-se na forma como são tratados os incidentes, como se penaliza o roubo de dados ou se avalia o seu impacto”. E, nesse aspeto, apesar do “esforço que é reconhecido”, aplicar “a legislação nos momentos certos” ainda é um desafio.
FONTE: DINHEIRO VIVO