“Os riscos associados às falhas de cibersegurança continuam a ser das principais categorias de risco económico e empresarial”

Os acontecimentos globais que temos vivido nos últimos tempos têm despertado a atenção para a temática da cibersegurança. Com a pandemia covid-19, a massificação do uso de dispositivos digitais ligados em rede generalizou-se e tornou-se uma ferramenta diária para todos. Mas foi sobretudo o aumento de ataques cibernéticos que colocou em alerta todas as empresas.

Este é um mercado que está a crescer exponencialmente, atingindo um valor global estimado em mais de 133 mil milhões de dólares, em 2020. Em Portugal, apesar de ser um dos mercados de menor dimensão da Europa, a atenção de todos os players é evidente e há um caminho cada vez mais necessário a percorrer.

O Observatório de Cibersegurança do Centro Nacional de Cibersegurança publicou recentemente um estudo que analisa a dimensão económica da cibersegurança. Elaborado com o contributo de investigadores da Universidade do Minho Francisco Carballo-Cruz (coordenação), João Cerejeira, Rosa-Branca Esteves e colaboração de Bárbara Rocha, é o primeiro realizado sobre a dimensão económica da cibersegurança, em especial na problemática nas empresas.

“Os riscos associados às falhas de cibersegurança continuam a ser das principais categorias de risco económico e empresarial, a curto e médio prazo, quer à escala global, quer à escala nacional. Na Europa, as principais ameaças cibernéticas são: o ransomware, o malware, o cryptojacking, as ameaças ligadas ao correio eletrónico, as ameaças vinculadas a dados, as ameaças contra a disponibilidade e a integridade, a desinformação, as ameaças não-maliciosas e os ataques contra as cadeias de fornecimento. Em Portugal as ameaças são similares, no entanto o phishing/smishing parece ter maior presença relativa, bem como algumas formas de intrusão e diversas modalidades de fraude ou burla” refere o estudo.

“O crescimento dos riscos cibernéticos das empresas está associado ao aumento da sua exposição digital. Nas diversas dimensões que aumentam essa exposição, nomeadamente, a ligação à Internet, a presença digital, as compras e vendas online, a interconexão automática com clientes e fornecedores, a adoção de sistemas de alojamento remoto, a integração de outros sistemas de operação automática/autónoma, e, mais recentemente, o forte crescimento do trabalho não presencial, as empresas portuguesas estão ainda atrás das suas congéneres europeias. Embora esta situação possa ter consequências sobre a competitividade do tecido empresarial português, do ponto de vista da cibersegurança pode ser uma vantagem” é uma das conclusões do estudo que acrescenta que “a menor exposição digital das empresas nacionais pode ser aproveitada para melhorar o seu nível de cibersegurança, através de medidas, práticas e protocolos que reduzam o número de incidentes e as suas consequências”.

Na gestão dos riscos cibernéticos a nível empresarial são fundamentais a adoção de medidas de cibersegurança, a formalização de protocolos e a promoção da cultura, pode ainda ler-se.

Com o aumento da exposição digital, a intensificação dos processos de digitalização e o aumento e diversificação dos volumes de dados privados geridos, “as empresas devem reforçar os mecanismos de proteção, deteção e resposta dos seus sistemas. Simultaneamente, devem introduzir medidas de segurança cibernética mais sofisticadas e abrangentes e prestar maior atenção a âmbitos onde as disrupções poderão ter maiores consequências financeiras e reputacionais” aconselha o estudo.

Apesar da generalidade das empresas portuguesas dispôr de alguma medida de segurança, definem ou reveem a sua política de segurança com pouca frequência e, regra geral, não a documentam. As medidas de segurança adotadas pelas empresas portuguesas estão em consonância com as empresas europeias mas os seus empregados estão menos consciencializados que a média da União Europeia sobre as suas obrigações em matéria de cibersegurança, conclui também este estudo.

Mercado em expansão

A cibersegurança é um mercado em expansão que tem crescido intensamente na última década e meia, impulsionado pela explosão das ciberameaças, em geral, e do cibercrime, em particular. Em 2020, o seu valor global aumentou até mais de 133 mil milhões de dólares, multiplicando por 38 o valor de 2004.

Os serviços de segurança constituem o principal segmento de mercado: a segurança cloud lidera seguida, com alguma distância, pela segurança de dados.

Portugal é, no entanto, um dos mercados de menor dimensão da Europa. Em 2021, o valor do mercado português de cibersegurança foi de 165 milhões de euros, aproximadamente.

“Espera-se que, nos próximos anos, o mercado português apresente elevadas taxas de crescimento anual, embora de apenas um único dígito” refere o mesmo estudo.

O estudo mostra também que quase duas em cada três PME’s dispõem de redes sociais e uma em cada cinco plataformas para dar visibilidade aos seus negócios. “As apps corporativas são ferramentas marginais, pouco mais de uma em cada dez realiza vendas online e menos de 6% obtêm mais de 20% do seu volume de negócios através de canais digitais” pode ler-se.

O estudo conclui igualmente que cerca de metade das empresas subcontratam as tarefas relacionadas com a cibersegurança e um terço realiza-as internamente, com o departamento de informática ou o responsável/eis de segurança informática assumem essas tarefas.

Questão da segurança da informação e da cibersegurança no topo das prioridades de gestão

O Hipersuper falou com Bruno Castro, especialista de Segurança da Informação/Cibersegurança, que não tem dúvidas afirmando que estamos a falar de uma área que “tem estado em constante mutação e processo dinâmico ao longo dos últimos dois anos” com o paradigma a mudar “completamente no pós-pandemia e, muito especialmente, desde o arranque deste ano. O tipo de soluções tecnológicas disponíveis, e as próprias empresas e seus gestores estão cada vez mais conscientes para a crescente tendência de proteção e prevenção de eventuais ciberataques com vista à minimização dos riscos e danos graves às suas Organizações. Vivemos uma realidade onde dispomos de ferramentas que facilitam qualquer pessoa a lançar um ciberataque com relativa probabilidade de sucesso. O pós-pandemia trouxe uma mudança de paradigma drástico em que todo o tecido empresarial, de repente, teria de saltar abruptamente para a internet sem estar efetivamente preparado para tal, e o landscape passou a contar com muitos mais alvos e muito mais vulneráveis”.

Na opinião do CEO da VisionWare, empresa portuguesa, fundada em 2005 e especializada em segurança de informação – cibersegurança, TI, investigação forense, compliance, privacidade, formação e intelligence –  “o crime cibernético tem sido aquele que mais tem aumentado desde o início da pandemia, tanto ao nível do volume de ataques registados como de denúncias, reforçando que estas situações continuam sem conseguirem ser travadas pelas entidades competentes e, nelas, estão incluídas não só as autoridades que investigam este tipo de ataques, como as próprias empresas que continuam a não dar o devido valor ou investimento a esta área de atuação”.

“Face ao incremento quase explosivo do número de ciberataques, as autoridades não dispõem de recursos necessários para responder a todas as solicitações. Para além de mais ataques, e com maior taxa de sucesso, são também cada vez mais complexos e sofisticados, e, portanto, obrigam a um esforço muito superior no processo da sua investigação. As autoridades competentes estão assim perante um enorme desafio, que, para além da capacidade de resposta, ainda se prende com o binómio técnico versus know-how especializado” considera.

“Na VisionWare, temos vindo a registar um número avultado de solicitações de empresas, as quais começam agora a preocupar-se com a questão da segurança da informação e da cibersegurança, colocando-as no topo das suas prioridades de gestão. O mindset dos administradores e gestores das empresas, que detêm o poder de decisão, finalmente está a mudar, pelo que as autoridades competentes terão de facto, um enorme desafio pela frente dada a rápida adaptação a uma nova realidade de cibercrimes” refere Bruno Castro.

Para Bruno Castro, as maiores ameaças para o sector da grande distribuição estão relacionadas “com a necessidade de constante interação com parceiros externos – fornecimentos e logística – o que acarreta possíveis riscos de contaminação externa, acrescido de lidarem tipicamente com grandes volumes de informação a nível de cliente final. Estão precisamente no “olho do furação”. Por um lado, detêm um volume de negócio elevado, associado a uma dimensão enorme de clientes finais, ou seja, é um ativo altamente apetecível para o mundo do cibercrime. Por outro lado, existem vários vetores de ataque disponíveis para serem utilizados no ataque às organizações que operam neste sector”.

“Ainda poderia acrescentar o facto de muitas vezes o nível de segurança aplicado às operações locais – postos de venda – não apresentar o mesmo nível de segurança que a estrutura da sua sede logística implementa, o que poderá também implicar risco de contaminação” refere ao Hipersuper.

“A forma de proteger este tipo de negócio é efetivamente exigente. Não existe uma solução milagrosa ou instantânea. Terá que ser implementado um modelo de governação de segurança onde se avalie e defina a estratégia de segurança em continuo face aos desafios do próprio negócio no que respeita as ameaças de cibersegurança que venham a implicar. A necessidade de responder à dinâmica do negócio irá obrigar a um esforço constante de adaptação dos critérios e mecanismos de segurança. A necessidade, e até obrigatoriedade, de proteger os clientes também será um desafio visto que cada vez mais será um ativo altamente tentador para a comunidade do cibercrime. Por fim, a implementação de mecanismos de controlo e monitorização da iteração com a rede de parceiros externa – por muitos que sejam – será crítico visto que tipicamente os níveis de maturidade de segurança são drasticamente inferiores, o que por si só, poderá acarretar riscos de contaminação” conclui.

“Trabalho contínuo e de extrema relevância”.

Perante este cenário, as cadeias de distribuição redobraram a atenção. A cibersegurança é, claramente, uma preocupação do Grupo Schwarz ao qual o Lidl pertence, que coloca a questão como imperativa, no sentido de “assegurar uma proteção eficaz e adequada da informação e dos sistemas de informação contra quebras da confidencialidade, da integridade e da disponibilidade que garante a capacidade de produção e a posição concorrencial da empresa, pelo que a mesma é parte imprescindível da nossa política de empresa, por forma a garantir a confiança junto dos nossos colaboradores, clientes e parceiros”.

Segundo a empresa, o investimento em segurança da informação, bem como todas as questões inerentes à mesma, é avaliado e definido em parceria com a área de IT do grupo Schwarz IT, “sendo um trabalho contínuo e de extrema relevância”.

Para a cadeia de supermercados Lidl é fulcral que as equipas estejam em alerta e tenham consciência para esta problemática: “neste sentido, internamente informamos de novos modos de ataques de hackers e campanhas de malware sempre que consideramos necessário, bem como temos vindo a investir em formações nesta área, no sentido de ajudarmos os colaboradores a detetarem possíveis fraudes e como deverão agir”.

Têm sido implementadas algumas políticas de segurança, relacionadas com os colaboradores e com os clientes e fornecedores. O Lidl implementou o ISMS- Information Security Management System alinhado com o standard ISO para a família ISO/IEC 27000. Neste âmbito dispomos de uma política “3- Human Resource Security” que aborda no seu capítulo “3.2 – Security Awareness and Training” a obrigatoriedade de existir um plano anual de sensibilização para os nossos colaboradores.

Há um investimento na formação te todos os colaboradores, especialmente para a segurança da informação e proteção de dados. Neste sentido, é realizado regularmente um conjunto de ações para informar, alertar e consciencializar as equipas para estas questões prementes. São exemplo de ações do grupo formações com todos os colaboradores, exercícios de ataques  como campanhas de “phishing”, treinos online, notícias mensais no portal interno, treinos para a PCI DSS (pagamento seguro com cartões eletrónicos, sessões de treino técnico e de esclarecimento, bem como sessões de sensibilização a parceiros.

O Hipersuper quis saber se há, por exemplo, algum protocolo para atuar a nível de formação e informação ao consumidor para evitar ter um ataque como, e por exemplo, o envio de uma mensagem como se fosse um voucher promocional do Lidl. A empresa está preparada  e perante uma ocorrência de “phishing”, o Lidl Portugal, “através dos seus canais de comunicação oficiais e do serviço de apoio ao cliente, informa e esclarece os seus clientes de que todas as campanhas e promoções da cadeia de retalho são divulgadas exclusivamente através dos canais oficiais da marca, nomeadamente, o site e/ou páginas oficiais de Facebook e Instagram Lidl Portugal., alertando também para que haja um cuidado especial na divulgação de dados pessoais em páginas que não são as oficiais”.