OS NOVOS ERROL FLYNN, MAS SEM CAPA E ESPADA
Julgo que em Portugal, nunca, como nos últimos dias, se terá falado tanto de pirataria informática e de cibersegurança.
Depois de inúmeros episódios de maior ou menor dimensão, o ataque ao território digital da Impresa e as implicações no seu universo de publicações e, especialmente, no Expresso, as interferências havidas nos sites da Presidência da República e da Assembleia da República e, esta semana – e com implicações muito mais profundas - o ciberataque à Vodafone, colocaram à vista de todos os riscos a que estamos expostos face à quase total digitalização das nossas vidas e das vidas das nossas organizações.
A paralisação que a interferência nos serviços da Vodafone provocou, tem custos, repercussões e riscos elevadíssimos e é fácil perceber que estes ciberataques estão em escalada e que nada nem ninguém se pode considerar totalmente a salvo. E tornaram ainda mais evidente a urgência de planos de prevenção e de contingência que consigam limitar os danos respectivos.
Como dizia António Costa, no seu editorial no ECO, “o ciberataque à Vodafone corresponde a pôr em causa uma empresa e o seu negócio, sim, mas também infraestruturas críticas de um país, com consequências catastróficas, para a Vodafone e seus clientes particulares, mas também para centenas de clientes com impacto social e na vida dos portugueses”.
No Expresso lia-se, entretanto, que, “tal como o bater de asas de uma borboleta, o ataque em larga escala que paralisou grande parte dos serviços da Vodafone gerou um efeito em cascata que provocou um tornado em vários setores, numa era em que tudo depende das comunicações. Afectou negócios de milhares de empresas, atingiu a rede multibanco, criou constrangimentos no INEM, deixou hospitais sem central telefónica, comprometeu os serviços de piquete da Polícia Judiciária, perturbou o funcionamento de tribunais e vários organismos do Estado e até a meteorologia”.
Longe vão os tempos do filme War Games e dos hackers bonzinhos que, romanticamente, tentavam vencer o desafio de penetrar as defesas informáticas de entidades de referência, que tentavam desvendar mistérios insondáveis escondidos na esfera digital ou que usavam as suas ‘habilidades’ para denunciar as maldades deste mundo ou os podres dos poderosos.
Hoje, a sociedade confronta-se com verdadeiras redes criminosas, que utilizando recursos normalmente muito mais avançados do que os utilizados pelas entidades que atacam, se dedicam, à captura de ‘reféns’ e a pedidos de resgate para a sua ‘libertação’. Mistura de redes de sequestro com piratas dos oceanos. Sempre sem rosto. E Portugal parece estar a tornar-se um recreio para as suas diversões.
A inovação tecnológica, a robotização, a digitalização e a desmaterialização correspondem a uma fantástica evolução societária, mas também a uma evolução – como cada vez percebemos melhor – não isenta de riscos, nem de quem, por ganância e ausência de escrúpulos, converta esses riscos em perigos fortíssimos para o nosso dia-a-dia. E o sucesso e visibilidade destes ciberataques geram a tentação e a motivação para que outros decidam agir de igual forma.
Definitivamente, ninguém se pode sentir seguro. Por mais completos que sejam os seus planos de contingência e por mais eficazes que sejam os seus mecanismos de redundância.
Referem os peritos que a melhor forma de defesa se resume em três palavras: prevenção, prevenção e prevenção. Não esquecendo que grande parte das debilidades aproveitadas para fazer estas intrusões resultam das nossas próprias negligências, enquanto colaboradores das entidades a que estamos ligados e que essas debilidades são ainda mais sensíveis pelos novos modelos de trabalho híbrido e à distância, com acesso aos sistemas internos de empresas a partir de redes externas que não estão preparadas para conter os níveis mínimos de segurança exigíveis.
De acordo com um estudo da Check Point, apenas 9% das empresas têm em vigor práticas consistentes de cibersegurança para proteger as suas redes e os equipamentos dos seus colaboradores e uma em cada quatro confessa não se sentir preparada para enfrentar o ataque de software nocivo que seja usado para bloquear dados de computadores e servidores infectados.
Uma das maiores empresas tecnológicas, especializada na produção de softwares de segurança para a Internet, a russa Kaspersky, tinha identificado, no final de 2021, a exploração das fragilidades geradas pelo trabalho remoto, os ataques às cadeias de abastecimento e a pirataria sobre alvos na cloud como os principais riscos na área da cibersegurança para o corrente ano.
Pelo lado das empresas, há que actuar na prevenção, sensibilizando – como sugere a Check Point – os colaboradores para práticas de cibersegurança, investindo na formação nesta área, implementando soluções anti-phishing na net e via mail, realizando backups de forma regular e recorrente, realizando a actualização constante de sistemas, fazendo testes consistentes e repetidos de segurança e adoptando soluções eficazes de protecção de redes, cloud e equipamentos móveis.
Qualquer espectador minimamente atento de televisão ou cinema sabe que os Estados e as Polícias se recusam a pagar resgates a sequestradores para libertação dos seus reféns, porque se considerar que se está a premiar um crime e a motivar que outros ajam de igual forma. Contudo, tal como as respectivas famílias estão disponíveis a arranjar os valores solicitados na esperança de verem regressar sãos e salvos os seus familiares, também as empresas, quando confrontadas com estes ataques, são tentadas a pagar, para evitar a sua paralisação, para evitar quebras de fornecimento dos seus produtos e serviços, para limitar os prejuízos económicos e os danos reputacionais.
Mas estes novos piratas nada têm que ver com os galantes Errol Flynns, de capa e espada, que nos seus barcos com a bandeira da caveira, atacavam nas Caraíbas os galeões que traziam as riquezas da América ou que nos mares da Indonésia saqueavam as embarcações vindas das China e do Extremo Oriente. Nem mesmo se confundem com os que, há bem pouco tempo, atacavam em lanchas rápidas os petroleiros e os porta-contentores que sobem o Mar Vermelho em direcção ao Canal do Suez.
Estes são piratas de nova geração. De rosto coberto e com as mãos limpas. E que conseguem obter, pelo sequestro de informação, muito mais do que o valor obtido com cargas ou mesmo com vidas humanas. Piratas que exigem também novos polícias, preparados para investigar e agir naquele mesmo território, antecipando movimentos, seguindo rastos informáticos e perseguindo o dinheiro criminosamente acumulado.
Enfrentar este desafio é, pois, mais uma Espada de Damôcles que pende sobre as nossas cabeças, sobre a cabeça das autoridades e, obviamente, sobre as cabeças das nossas empresas que vêem, também por esta via, agravadas as suas dores de cabeça, num período em que elas têm sido tão frequentes e motivadas por tantas razões distintas. Uma Espada cuja complexidade ultrapassa, em muito, a capacidade de defesa que uma ampla parcela de empresas tem ao seu dispor.
A modos como um jogador de damas de fim-de-semana que, de repente, se vê em frente a peças de xadrez e e encara, do outro lado da mesa, um grande mestre daquele desporto. O tabuleiro de jogo é o mesmo, tudo o resto é de outro nível.