Pessoas que morrem por causa de um ataque informático. O cenário pode parecer exagerado, mas para as famílias das vítimas é muito real. A pressão provocada pela possibilidade de dados pessoais de milhares de pessoas que frequentavam a rede social de relações extra-conjugais serem publicados online terá terminado da pior forma para três internautas.

Se esta ideia não o assusta existem outras fáceis de elaborar: neste momento há um cracker que está a acompanhar a sua leitura deste artigo; o seu smartphone pode estar infetado com malware que regista tudo o que faz; ou então pense que da próxima vez que se sentar em frente ao portátil, um pirata informático está do outro lado em modo Casa dos Segredos.

Em qualquer um destes casos não seria a primeira vítima. E certamente não será a última.

O mundo da cibersegurança é complexo pois se as defesas evoluem a grande ritmo, os cibercriminosos respondem na mesma moeda explorando novas engenharias de ataque e falhas de segurança até então desconhecidas. O boom registado na venda de smartphones só trouxe mais uma porta de entrada para a vida dos internautas.

“Consideramos que o malware móvel continuará a crescer e que o nível de sofisticação dos criminosos continuará a aumentar. Temos assistido nos últimos anos à democratização das ferramentas ao serviço dos cibercriminosos”, comentou o diretor de marketing da AnubisNetworks, Nuno Periquito, a propósito dos principais perigos para 2016.

O Centro Nacional de Cibersegurança também aposta nos dispositivos móveis, mas tem outras tendências em mira. “Temos observado um aumento no número de incidentes relacionados com extorsão por meio informático e de phishing. Também verificamos um aumento no número de casos de vishing, e em particular telefonemas em nome de entidades conhecidas a solicitar a instalação de software malicioso no seu computador ou smartphone pessoal”, explicou o coordenador do departamento de operações, Lino Santos.

E há quem tenha mais palpites diferentes sobre o que de pior vai haver na cibersegurança este ano. “O sector financeiro bem como as empresas em que o seu negócio assenta em plataformas de comércio eletónico continuarão a ser um dos alvos preferenciais dos cibercriminosos. Acreditamos também que o cibercrime vai crescer quer nas instituições públicas quer nas empresas de infraestruturas críticas”, antevê o vice-presidente da S21sec para Portugal, Pedro Leite.

[caption][/caption]

Três entidades especialistas a terem prognósticos tão variados. Sabe o que significa? Isso mesmo - na área do cibercrime não há certezas pois os motivos e modus operandi dos piratas informáticos mudam de país para país, de época para época e até consoante as motivações pessoais.

O CNCS adiantou ainda uma outra tendência, uma que diz que os ataques de negação de serviço (DoS) e de desconfiguração das páginas Web estão a ficar menos frequentes. Outrora imagem de marca de grupos como os Anonymous, a situação parece mostrar que o hacktivismo perdeu espaço para o cibercrime organizado.

Uma perspetiva nada positiva.

‘Abra este email, é mesmo importante!!!’

Existem conselhos básicos de segurança que as pessoas e as empresas vão aplicando na sua rotina online. Há no entanto uma mudança de cultura que é necessária fazer: estar disposto a investir para estar mais seguro, ou melhor, menos exposto.

“As organizações têm de começar a olhar para a sua segurança como uma parte intrínseca do seu core business no sentido em que as vulnerabilidades a este nível têm, como temos verificado nos últimos anos, um custo financeiro e de reputação muito elevado”, salienta Nuno Periquito da AnubisNetworks.

Não é por evitar os emails suspeitos ou por navegar no modo anónimo do browser que fica a salvo. Mas se do ponto de vista da utilização pessoal cada um terá de saber gerir a sua situação, ataques a empresas ou a entidades estatais colocam de uma só vez milhares de pessoas em xeque.

Das opiniões ouvidas pelo TeK, Portugal até tem um bom perfil de cibersegurança. Pedro Leite, da S21sec, disse que no ano passado a empresa já viu  “algumas iniciativas públicas e privadas interessantes”, adiantando que estão “conscientes que este investimento terá de aumentar até porque os cibercriminosos começam a redefinir os seus alvos”.

“No momento em que o custo de ataque é superior ao proveito, os cibercriminosos alteram a estratégia, identificando alvos mais vulneráveis e onde a probabilidade de serem bem-sucedidos é maior”, concluiu o especialista.

Já a AnubisNetworks considera que “Portugal tem feito um esforço muito grande na criação das condições que permitam a rápida mitigação de ameaças cibernéticas e educação dos cidadãos e empresas para os cuidados a ter ao nível da segurança da informação”.

[caption][/caption]

Até na área da legislação as posições que Portugal tem tomado parecem satisfatórias. “A atual Lei do Cibercrime é boa e incorpora as melhores referências internacionais”. Lino Santos, do CNCS, considera que um reforço da legislação apenas a nível nacional pode ser algo que não faz muito sentido já que o crime na Internet não tem fronteiras.

“As dificuldades com o cibercrime são as mesmas do crime organizado transnacional, do crime financeiro transnacional e de outros tantos que se escudam nas diferenças entre jurisdições e entre as respetivas capacidades de investigação. Por outras palavras, é um problema que precisa de uma abordagem global em complemento às atuais responsabilidades nacionais”.

Mas, claro, há sempre espaço para melhorias e atualizações. Mais não seja pela facto de o cibercrime ser bastante flexível. “Dada a dependência que todos temos da Internet, garantir a segurança da informação é vital neste contexto. Por isso a legislação neste processo é fundamental para o combate ao cibercrime. Acreditamos que uma legislação mais específica poderá melhorar o combate ao cibercrime. Tudo o que seja possível melhorar neste capítulo é bem recebido”, analisou Pedro Leite.

Importante no meio de toda esta dinâmica é não perder o ritmo e o foco.

Um escudo chamado CNCS

Esta postura defensiva é espelhada pelo coordenador do Centro Nacional de Cibersegurança, Lino Santos, que deixa mesmo um alerta às instâncias superiores.

“Relativamente às políticas públicas, vimos aprovada em meados do ano passado a nossa estratégia nacional de segurança do ciberespaço. A opção política na altura foi a de não produzir em paralelo o respetivo plano de ação que congregasse os contributos de todas as autoridades nacionais competentes em matéria de cibersegurança. Como consequência precisamos com urgência de produzir esse plano, com a contribuição de todos, sob pena de se esgotar o tempo de vida útil da estratégia sem a concretizar”.

E há uma segunda chamada de atenção. “Também é necessário criar o órgão político-estratégico que supervisiona a execução da Estratégia (conforme definido na própria estratégia)”, defendeu o especialista.

[caption][/caption]

Para este ano o CNCS prevê terminar um documento durante o primeiro trimestre que vai ajudar as entidades do Estado e os operadores de infraestruturas críticas - eletricidade, água e ferrovias por exemplo - a garantirem uma melhor postura relativamente à cibersegurança.

“Este documento define os requisitos técnicos, humanos, processuais e organizacionais que devem ser cumpridos num plano de desenvolvimento que permitirá avaliar cada uma das entidades pelo seu nível de maturidade em cada uma destas áreas. Este ano pretendemos celebrar protocolos de colaboração e trabalhar com cerca de 50 entidades para elevar a maturidade destas entidades até ao nível 4 (de 5 níveis disponíveis)”.

Neste novo capítulo o Centro Nacional de Cibersegurança vai assumir uma postura de consultoria, formação e exercícios durante todo este processo. Será portanto como um escudo que não só protege, mas ensina a proteger.

Pois seja qual for o negócio, é preciso saber defender-se. Caso contrário eles vão extorqui-lo, roubá-lo e infetá-lo. Disso pode ter a certeza.

Rui da Rocha Ferreira