Errar é humano e os cibercriminosos sabem disso. Desde o confinamento, os ataques têm aumentado

À medida que as nossas vidas transitam para o mundo virtual, é inegável ver como a tecnologia nos facilita o dia-a-dia, mas também como nos expõe cada vez mais à cibercriminalidade, que acompanhou a sociedade nesta mudança de paradigma. Hoje em dia, os criminosos não estão apenas na rua e nas organizações, estão em parte incerta, atrás de um computador a explorar as vulnerabilidades dos sistemas informáticos, mas, acima de tudo, do ser humano, porque afinal errar é humano e os cibercriminosos sabem disso.

Por Catarina Barreto, consultora de Segurança de Informação da everis Portugal

Os mais desatentos podem pensar “bem, eu não tenho dados sensíveis no meu portátil, no meu tablet ou no meu smartphone”, mas a verdade é que a maioria de nós usa redes sociais, abertas e carregadas de dados pessoais, acede a aplicações financeiras e até tem dados de saúde impecavelmente organizados em aplicações dedicadas. Se a isto juntarmos o acesso a um site inseguro ou à abertura de um email suspeito ou ao download de um documento de um remetente desconhecido, contendo código malicioso, facilmente se percebe que os ciberataques podem não acontecer só aos outros.

A fragilidade digital das pessoas é particularmente relevante para as organizações. Os cibercriminosos estão conscientes dessa vulnerabilidade e, utilizando métodos que exploram a ingenuidade das vítimas para atingirem os seus objectivos (como o recurso a mensagens personalizadas e apelativas), fazem-se passar por pessoas e entidades em que os alvos depositam confiança. De acordo com um estudo recente da CybSafe, cerca de 90% da fuga de dados é causada por falha humana.

De forma a atingirem os colaboradores que têm acesso a informação mais restrita, e por essa razão com mais valor, os cibercriminosos tentam entrar nas organizações através de colaboradores menos sensibilizados para estas matérias. Isto não significa que os criminosos saibam de antemão o alvo mais fácil, no entanto, todo este processo baseia-se na experiência e desenvolve-se por tentativa-erro.

Dados recentemente partilhados pelo Observatório de Cibersegurança indicam que em Março de 2020 – início do Grande Confinamento – se verificou um aumento de 176% de incidentes, em comparação com o ano transato. Um facto que indicia um aproveitamento dos atacantes relativamente à transição da população para um regime de trabalho remoto, desenvolvido a partir de redes domésticas, habitualmente menos protegidas do que as corporativas, e nas quais habitualmente todos nos sentimos mais confortáveis e menos atentos ao risco.

Apesar de mais protegidas, as redes corporativas têm também fragilidades, que são especialmente colocadas à prova com a tendência crescente dos colaboradores levarem para o espaço de trabalho equipamentos particulares (BYOD – bring your own device), o que torna mais difícil distinguir onde está a fronteira pessoal e profissional.

O Relatório de 2019 publicado pelo Observatório de Cibersegurança revela a existência de uma discrepância significativa entre os portugueses e os pares europeus relativamente ao conhecimento de alguém vítima de um ataque fraudulento de dados – 3% vs 26%. Estes dados não significam que os portugueses sofram menos ataques do que os vizinhos Europeus. Pode querer dizer sim que os portugueses estão menos sensibilizados para estes fenómenos ou para a forma e importância de os reportar.

Em Outubro, mês da Cibersegurança, muitas organizações apostaram em campanhas de sensibilização. No entanto, a cibersegurança deve ser um tema presente em todo o ano. Devemos olhar para estas evidências, para que a sociedade se mobilize no sentido de se defender melhor. Precisamos de melhorar a literacia digital e apostar em formação continua. Um esforço que tem de ser desenvolvido por autoridades, organizações e pelos próprios cidadãos.

A cibersegurança é um domínio complexo e dinâmico, que não funciona à base de fórmulas estandardizadas. Varia em função do contexto, mas compreende sempre medidas relacionadas com quatro dimensões – tecnologia, pessoas, processos e modelos de governance. Só conjugando esforços nestas quatro matérias conseguimos preparar pessoas e organizações para fazer face às ameaças do ciberespaço.