A julgar pelo recente caso de invasão aos computadores do Ministério das Finanças (Minfin), depois de ter já acontecido com a Sonangol, falou, nesta entrevista, sobre o sucedido e avançou números relativamente aos transtornos, até monetários que tal acarreta, em termos de despesas não previstas mas que acabam por ser atendidas com alguma urgência até porque, sob pena, nalguns casos, de comprometer os salários da função pública e não só.
O que é um ataque cibernético e qual é o seu fim?
Ataque cibernético é qualquer tentativa de expor, alterar, desactivar, destruir, roubar ou obter acesso não autorizado ou fazer uso não autorizado de um dispositivo. Estes ataques geralmente são voltados para sistemas e tecnologias de informação e inclui computadores, infraestruturas, redes de computadores ou dispositivos de computadores pessoais, smartphones, IPads, entre outros equipamentos. Tem como objectivos principais aceder a dados sigilosos que podem ser utilizados posteriormente para roubos de identidade, fraude, extorsão, golpes e outras práticas criminosas e maliciosas.
Geralmente, quem são os mais visados?
Isso pode acontecer tanto com pessoas físicas quanto jurídicas. Os protagonistas são vários e vindos de vários lados, incluindo os colaboradores da organização e as causas para estes ataques são várias. No entanto, o objectivo é o furto de informações para depois serem usadas para extorsão, exposição indevida, entre outros males.
Entre estes males, estão os prejuízos que causam às economias. Existem muitos casos no mundo de grandes perdas financeiras?
De acordo com a empresa de consultoria Gartner, a estimativa é que, em 2019, foram perdidos 128 bilhões de dólares em ataques cibernéticos, um aumento de 8,7 por cento em relação a 2018. Por outro lado, um estudo da IBM Security, divulgado em Julho de 2019, mostrou que cada ataque cibernético que uma empresa brasileira sofre custa, em média, 1,35 milhão de dólares, 19 por cento a mais do que em 2018. As pequenas e médias empresas, no entanto, têm perdas maiores em comparação com grandes negócios, chegando a registar 2,5 milhões de dólares em média por ataque.
A pior parte é que o estudo mediu que apenas 60 por cento dos danos causados são sentidos imediatamente, com ⅓ de todos os prejuízos sendo sentidos nos segundos e terceiros anos após o ataque. Isso acontece porque, além de danos financeiros directos, uma falha de ciber-segurança também afecta a reputação da empresa.
Como se pode aferir, fala agora da afectação à reputação de empresas. Estes ataques não servem apenas para roubar informações?
Podemos ter aqui a percepção dos prejuízos que as empresas enfrentam com os ataques cibernéticos. Estes ataques não visam apenas atingir computadores ou smartphones de uso pessoal, pretendem atingir, sobretudo, infra-estruturas críticas de países, tais como, fluxos ferroviários, redes on-line de governos, empresas, bancos, aeroportos, hospitais, centros de investigação e inovação, etc. Além de servir para roubar informações, os ataques cibernéticos também comprometem o funcionamento da sociedade contemporânea, podendo gerar outros problemas sociais e económicos para as nações. Pretende-se com isso dizer que os prejuízos para a economia são incalculáveis, visto que estes ataques além de prejuízos financeiros, também comprometem a imagem e reputação das empresas e até de países.
"O que aconteceu com o Minfin é uma grande falha”
Entra para um assunto que merece o seu comentário, já que se refere aos equipamentos tecnológicos e à busca por actualização constante. Há dias, o Ministério das Finanças de Angola (Minfin) alega ter sofrido um ataque cibernético, tem conhecimento do facto?
Li com alguma atenção o comunicado público do Minfin e um outro que se presume ser do Minfin, que andou a circular nas redes sociais. A situação é preocupante e leva-nos a fazer sérias reflexões. Segundo o comunicado, havia alguns funcionários que acediam à plataforma tecnológica a partir de dispositivos móveis e, por outra, em alguns andares era possível aceder a informação a partir de dispositivos de armazenamento externos em equipamentos ligados à rede informática deste Ministério. Se isso for verdade, é uma grande falha de segurança, uma vez que, a partir destes dispositivos, qualquer indivíduo mal-intencionado pode aceder, com relativa facilidade, à plataforma informática do Minfin, porquanto este se torna na porta de entrada.
Tinha que ser proibido aceder a dispositivos de armazenamento externo a partir de um equipamento ligado ao sistema informático do Minfin. É extremamente fácil configurar mecanismos de bloqueio das portas de acesso lógico destes dispositivos. Aliás, a política de ciber-segurança do Minfin, se a tiver, tinha que proibir estes acessos.
Quanto aos equipamentos como laptop, smartphones e outros usados para trabalho, em princípio, deveriam ter a mesma protecção de segurança definida pela Minfin. Não se pode, em pleno século XXI, cometerem-se falhas básicas desta natureza, quando se sabe que este Ministério faz parte dos activos estratégicos do país.
É uma falha grave que não deveria acontecer, pelo que não basta sair emitir um comunicado a tranquilizar os cidadãos e "assegurar que os sistemas de arrecadação de receitas se encontram em pleno funcionamento”, mas é, sobretudo, importante apurarem-se responsabilidades por forma a evitar que situações idênticas voltem a acontecer. Penso que há bem pouco tempo, cerca de 2 anos, já tinha ocorrido um caso destes numa grande empresa na nossa praça, pelo que já deveríamos ter ficado com a lição bem estudada.
"As empresas precisam de investir em cibersegurança”
Depois da "invasão”, quanto se gasta para voltar à normalidade?
Penso que aqui não devemos dar muita importância ao que se gasta para voltar à normalidade, mas ao que se investe para prevenir que estes ataques aconteçam. Em primeiro lugar, precisamos de ter consciência de que o acesso remoto ao ambiente corporativo a partir das nossas casas cresceu de forma exponencial e desordenada, devido à pandemia da Covid-19. Nós estamos a aceder a dados/informações das organizações com os nossos equipamentos pessoais, a partir das nossas casas, em redes, algumas vezes, com protecção deficiente.
A organização pode até ter definido e implementado uma política de ciber-segurança. No entanto, a partir do momento em que o trabalhador sai da bolha da organização, tem logo a segurança comprometida. Se na organização existem políticas de segurança para a salvaguarda dos seus activos, a partir do momento que se acede a esta infra-estrutura de fora da organização tudo fica comprometido.
Por exemplo, o controlo de acesso existe nas organizações para evitar acessos não autorizados à infra-estrutura tecnológica da organização. Quando o acesso é feito a partir de casa, quem garante que aquele equipamento de acesso seja um smartphones, um laptop, ou outro dispositivo, é protegido e quem garante esta protecção? Como é que se protege este equipamento e como é que se protegem os dados que estão neste equipamento?
Da forma como cresceu o acesso doméstico às redes corporativas, também cresceu o interesse dos bandidos cibernéticos em invadir as redes domésticas e a partir delas terem acessos privilegiados dos ambientes corporativos, sendo o trabalhador usado como ponte para concretizar este acesso.
Por isso, a partir do momento em que se permite que os colaboradores tenham acesso à infra-estrutura a partir de casa tem que se definir quais são os equipamentos em que estes podem ter acesso, a partir de casa. E começamos logo que, para aqueles equipamentos mais complexos, as pessoas não podem ter acesso. O que podemos fazer é criar máquinas virtuais, instaladas nos seus equipamentos e os colaboradores trabalharem nestas máquinas.
E depois disto…
…depois aferir a necessidade dos colaboradores acederem à informação a partir de casa e disponibilizar equipamento da empresa com as protecções de segurança definidas pela empresa. Disponibilizar também redes virtuais (VPN’s) para que os trabalhadores, ao trabalharem em casa, tenham o mesmo nível de segurança como se estivessem a trabalhar na empresa (espaço físico).
Por outro, mas não o último, as empresas precisam de investir em ciber-segurança. Trata-se de um conjunto de técnicas de prevenção de ataques e invasões no sistema de uma empresa.
Pode também adoptar estas 5 regras básicas de prevenção: manter o equipamento sempre actualizado, utilizar senhas fortes e não partilhá-las com ninguém, utilizar mais do que uma forma de autenticação (Autenticação de dois factores), ter várias camadas de protecção, por exemplo, uma firewall entre o equipamento e a Internet e uma solução confiável de anti-virus e realizar backup’s (cópias de segurança) regulares.
Está a dizer que a prevenção e a monitorização periódica são cruciais?
A prevenção e a monitorização periódica de sistemas e equipamentos são as principais medidas para se proteger contra invasões. Para tanto, a mobilização de uma equipa de TI preparada para desenhar planos, acompanhar processos de forma regular e para agir rapidamente em momentos de ataques está entre as principais atitudes a serem tomadas. Outras medidas também ajudam a aumentar a protecção contra ataques, como a orientação aos colaboradores sobre o melhor uso da internet e de equipamentos tecnológicos e à busca por actualização constante sobre os avanços na área da informação e da tecnologia. JA