Por Lino Santos (*)

A viragem do ano é sempre um momento de reflexão. Momento para ponderar o passado com a devida distância e perspetivar o futuro. 2020 foi um ano particularmente intenso em todos os capítulos e a área da cibersegurança não escapou à regra. O período de confinamento obrigatório e o recurso ao teletrabalho ditaram um aumento forçado da utilização do digital, convenientemente explorada por variados agentes de ameaça. Como consequência direta deste aumento na cibercriminalidade, durante o primeiro semestre do ano, o cert.pt - equipa de reação a ciberincidentes do CNCS - deu resposta a mais do dobro de incidentes, quando comparado com o ano anterior. Destacaram-se os casos de furto de identidade, vulgo phishing, usando a imagem de entidades bancárias, mas apresentando inovações como o recurso à imagem de serviços de streaming ou de prestadores de serviços de entregas postais. O mesmo foi observado por toda a Europa, com números ainda mais expressivos.

Mas não foi só na quantidade que aumentou o cibecrime em 2020. O grau de sofisticação destes agentes de ameaça também se acentuou. Por oposição ao tradicional envio de mensagens a um conjunto indeterminado de potenciais vítimas, observou-se um crescimento nos ataques dirigidos a empresas de elevado perfil, onde o nível de exigência para o sucesso é grande, mas o prémio do resgate é muito superior. Observou-se também uma tendência crescente nos ataques indiretos, por via da cadeia de fornecimento. Foi o caso recente do comprometimento da SolarWinds, fornecedora de software de 425 das 500 empresas da lista Fortune 500, já considerado um dos mais bem-sucedidos de sempre e cujo real impacto na economia e na segurança nacional de muitos estados ainda está por avaliar.

2020 também nos trouxe provavelmente a primeira vítima humana de um ataque informático. Um ataque de extorsão por via informática a uma unidade hospitalar em Dusseldorf impediu a admissão de uma mulher em estado crítico e forçou o seu direcionamento para outra unidade hospitalar, onde não chegou a dar entrada.

Como elemento comum aos incidentes aqui descritos temos a utilização de técnicas de engenharia social que exploram o fator humano, em resultado da dificuldade na utilização de tecnologias cada vez mais complexas e opacas. Num contexto de crescente digitalização, a baixa literacia digital da população provoca danos substantivos para os próprios ou para as suas organizações.

Melhorar esta situação significa reforçar as políticas públicas de capacitação das pessoas e das organizações, e 2021 será um ano particularmente interessante neste sentido. A melhoria dos índices de cibersegurança e a diminuição da vulnerabilidade da sociedade será feita, por um lado, com uma contínua aposta na sensibilização e na criação de competências na nossa sociedade, através da criação de uma Academia de Cibersegurança. Por outro lado, por via da regulamentação do Regime Jurídico de Segurança do Ciberespaço, insistir-se-á na regulação dos agentes de atividade económica, exigindo-lhes a aplicação de medidas de segurança de forma a garantir um elevado patamar de cibersegurança nos serviços por eles prestados.

Tudo isto se alinha com o novo pacote legislativo para a cibersegurança da União Europeia, no qual Portugal, por força da sua presidência durante o primeiro semestre, assume um papel de particular relevância.

É preciso desmistificar e naturalizar a cibersegurança na vida das pessoas e das organizações. São precisas lideranças empenhadas e conscientes do valor estratégico da cibersegurança para as organizações e para a sociedade.

(*) Coordenador do Centro Nacional de Cibersegurança (CNCS)

Este artigo faz parte do Dossier O melhor e o pior de 2020. E as expectativas para 2021