Assinalamos o Dia Internacional da Internet Segura com a opinião de três especialistas da Galp. Luís Morais, CISO (Chief Information Security Officer), Edgar Oliveira, head of Cyber Security, e Jorge Afonso, CDO (Chief Data Officer), respondem a quatro questões sobre a utilização da internet com dicas para estarmos todos mais protegidos.
Luís Morais
CISO (Chief Information Security Officer), Galp
A internet está mais segura?
A frieza dos números oficiais, provenientes das diversas autoridades judiciais e observatórios especializados, é clara e inequívoca – existe um crescimento continuado e global do cibercrime. Em Portugal, o último relatório de segurança interna (referente a 2019) anuncia um aumento de 42,7% na ocorrência de crimes informático e apesar de ainda não dispormos de dados finais relativos a 2020, um relatório intercalar da Procuradoria Geral da República demonstrava já um aumento de 139% deste tipo de crimes no final de maio 2020, quando comparado com todo o ano de 2019. A grande maioria destes casos são relativos a fraudes online, difusão de mensagens com malware, campanhas de phishing para roubo de credenciais de acesso ou tentativas de extorsão digital (ex: ransomware), uma tendência global e não observada apenas na realidade portuguesa.
A própria Galp (como muitas outras empresas) viu em 2020 a sua imagem ser utilizada em campanhas fraudulentas e maliciosas, obrigando à emissão de alertas aos clientes e público em geral. Estes números frios têm uma explicação clara e concisa – o cibercrime profissionalizou-se nos últimos anos, e tornou-se numa economia muito lucrativa. Enquanto que no passado os cibercriminosos atuavam sozinhos, hoje em dia fazem parte de organizações muito bem estruturadas e capacitadas, que operam à margem da lei em "paraísos legais", e que vendem os seus serviços a outros criminosos, numa lógica de cibercrime as-a-service (chave na mão). Alguém que pretenda, por exemplo, obter dados de cartões de crédito válidos ou credenciais de acesso a serviços de homebanking para levar a cabo fraudes financeiras, pode adquirir estes dados na internet (numa parte conhecida como darkweb) a um grupo de cibercriminosos que se foca apenas em roubar estes dados. Para colocar esta economia em perspetiva, o Fórum Económico Mundial estima que em 2021 o valor global dos danos causados pelo cibercrime ascenderá a 6 triliões de dólares americanos (5 biliões de euros), o equivalente ao produto interno bruto da terceira maior economia mundial.
Aliás, um dos exemplos claros desta capacidade de organização e competência por parte dos cibercriminosos foi a forma como em 2020, aquando do surgimento mundial da pandemia da covid-19 e respetivas mudanças na forma de trabalhar e viver, rapidamente se reajustaram e exploraram fragilidades nos cidadãos e organizações que passaram a depender muito mais dos meios digitais. Mas nem tudo são más notícias, pessoalmente (e porque sou um otimista por vocação) acho que existe hoje, quer na sociedade, quer nas organizações, uma muito melhor consciencialização e perceção para este risco, e esse é o primeiro passo para todos estarmos mais bem preparados para nos protegermos melhor como indivíduos e como organizações.
Como é que cada um de nós se deve proteger?
A principal mensagem é estarmos alerta para tudo que nos surge nos diversos canais digitais que consumimos – ou como diziam os nossos avós "Cautelas e caldo de galinha…". O principal cuidado que devemos ter como cidadãos é assegurarmo-nos de que quem está do outro lado do ecrã, é efetivamente quem nós achamos que é. Quer estejamos a falar de um e-mail, uma mensagem SMS ou telefonema, ou um site na internet para onde somos encaminhados, confirmando sempre o endereço.
Mesmo que conheçamos a pessoa com quem estamos a interagir, lembrem-se sempre que pode ser sempre um cibercriminoso que se apoderou da entidade digital do nosso interlocutor. Se estivermos perante um pedido invulgar ou essa pessoa utilizar expressões que não são comuns, não demevos ter vergonha em confirmar a veracidade do pedido. Basta pegar no telemóvel e ligar de volta para essa pessoa.
Recomendo também que sejam feitos os cursos online e gratuitos disponibilizados pelo Centro Nacional de Cibersegurança – Cidadão Ciberseguro e Cidadão Ciberinformado. São ótimas ferramentas que nos preparam para os riscos do mundo digital, uma espécie de aulas de "estudo do meio e cidadania" para uma sociedade digital.
Como se devem proteger as organizações?
O cibercrime veio para ficar na vida das organizações e os cibercriminosos não escolhem sectores, geografias, dimensões, ou outros fatores atenuadores que permitam "poupar" esta ou aquela organização. Os criminosos olham para as organizações como potencial fonte de lucro e como elementos orgânicos que contém vários riscos passiveis de serem explorados. Além disso não procuram apenas fragilidades tecnológicas, mas também nas suas pessoas, ou nos processos que suportam as suas operações. As organizações devem por isso abordar o tema de uma forma pragmática e orientada ao risco a que estão expostas, por forma a garantir a sua resiliência cibernética. Infelizmente o sector da cibersegurança ainda passa muito a ideia de que basta investir na solução A ou B para proteger e evitar a exposição aos riscos cibernéticos. Esta é uma ideia falsa que é preciso desmistificar. Não existem soluções tecnológicas 100% seguras. Tal como todas as pessoas (como humanos que são) vão cometer erros. E tal como os processos da organização não serão sempre tolerantes a riscos cibernéticos (dado que os cibercriminosos estão sempre a inventar novas formas de os quebrar). As organizações devem por isso investir na proteção de três vertentes – tecnologia, pessoa (através de formação e consciencialização) e processos. Mas não devem ficar apenas por aí, devem investir na capacidade de antecipar os riscos cibernéticos (por exemplo testando e avaliando regularmente os mecanismos de proteção) e, tão ou mais importante, criar uma capacidade de resposta e recuperação a incidentes de cibersegurança, por forma a garantir que no dia em que os mecanismos de proteção falharem, a organização é resiliente e consegue resistir e recuperar aos vários ataques cibernéticos que vai sofrer.
Qual deve ser a prioridade de todos?
Numa altura em que todos (indivíduos e organizações) estão cada vez mais dependentes do digital na sua vida (e que em muito a simplificam), é importante a consciencialização de que com essas oportunidades e desenvolvimento surgem também alguns riscos. No entanto, se tivermos um conjunto de cuidados básicos como cidadãos e nos prepararmos para este risco como organizações, podemos reduzir significativamente o impacto do cibercrime e das ciberameaças e contribuir para uma sociedade mais digitalmente resiliente.
Edgar Oliveira
Head of Cyber Security, Galp
A internet está mais segura?
Cada um de nós está cada vez mais consciencializado para os esquemas fraudulentos e tentativas de roubo de informação, por exemplo através de engenharia social, e de como agir para evitar cair na armadilha dos ciber criminosos.
A atividade maliciosa na internet tem vindo a aumentar tendo em conta a facilidade em executar este tipo de ataque, o baixo custo para o realizar e um retorno elevado. Um bom exemplo disso e da capacidade de adaptação e criatividade dos cibercriminosos é o aproveitamento da atual crise pandémica para explorar os medos, fragilidades e insegurança das pessoas para lançar campanhas maliciosas em larga escala. Cabe a cada um de nós respeitar determinados princípios, pondo em prática os ensinamentos adquiridos e assim tornar segura a utilização da internet.
Como é que cada um de nós se deve proteger?
Uma das principais recomendações para nos protegermos na internet é ter em conta a célebre expressão "There ain't no such thing as a free lunch". Os cibercriminosos são conhecedores das vulnerabilidades do ser humano que não resiste a um prémio, uma viagem, uma vacina ou uma cura para a covid-19, uma partilha de informação em troca de uma subscrição temporária de um serviço, usando estes "iscos" para atrair, comprometer e atingir os seus fins. É necessário refletir, analisar e ponderar antes de tomar ações de modo a evitar as suas consequências. Se algo parece bom demais para ser verdade, aplica-se a expressão “If something is free, you are the product".
Como se devem proteger as organizações?
As organizações têm de, por um lado, ser conhecedoras de todo o seu ecossistema digital, identificando riscos associados a essa exposição e reduzindo as fragilidades que possam ser exploradas pelos atacantes para comprometer os sistemas e informação. Em adicional, devem adotar mecanismos de proteção para os principais vetores de ataque utilizados pelos ciber criminosos, como o email e o acesso dos colaboradores a websites. Não menos importante é a capacitação dos colaboradores em temas de cibersegurança, de modo a estarem conscientes dos perigos e assim protegerem-se a si e à organização, atuando como uma extensão das equipas de cibersegurança.
Qual deve ser a prioridade de todos?
Se cada um desempenhar o seu papel e conseguir ser um veículo de disseminação das melhores práticas de cibersegurança, ao final do dia contribuiremos para esse esforço coletivo de aumentar a segurança da internet. As instituições de ensino e as organizações têm adicionalmente um papel fundamental na incorporação de temáticas de cibersegurança nos seu programas, formando e reforçando a indústria de cibersegurança para a luta desigual contra os cibercriminosos.
Jorge Afonso
CDO (Chief Data Officer), Galp
A internet está mais segura?
A intensificação e aceleração digital e a contínua necessidade de reinventar os negócios, colocam os dados no centro do ciclo de valor das organizações. São eles que permitem introduzir inteligência na forma de como interagimos com o exterior, de como trabalhamos e utilizamos os recursos, de como tomamos decisões informadas e de elevado impacto.
À medida que os dados assumem um papel cada vez mais crítico na subsistência do tecido empresarial, são também eles, uma fonte apetecível, muito suscetível a violações, quer seja por ataques exteriores, perda ou mesmo por utilização indevida ou divulgação “involuntária”. Mas seja qual for o motivo, é inegável a necessidade de garantir a sua proteção e preservar a sua confidencialidade, disponibilidade e integridade.
Mesmo num ambiente corporativo (e aparentemente seguro) é muito simples expor dados e aumentar os riscos associados à sua utilização. Quer seja através do uso da internet para a realização de pesquisas de suporte à atividade, quer seja através de aplicações ou apps de gestão de contactos ou documentos. Ou até mesmo, situações em que os colaboradores utilizam as mesmas credenciais, tanto no contexto de trabalho como no contexto pessoal. Todos esses “vestígios digitais” podem-se virar “contra o feiticeiro” e serem usados indevidamente para tentar obter informações sensíveis que podem causar danos severos (e muitas vezes irreversíveis) às organizações em múltiplos aspetos.
E isso, muito devido à massificação da internet, que cria desafios ainda maiores no âmbito da proteção de dados. A fronteira entre o mundo profissional e o pessoal é cada vez mais ténue. E é muito difícil controlar essa realidade, pois as pessoas acabam por partilhar ou divulgar dados na internet, em plataformas ou aceder a sites de jogos e redes sociais que, por princípio, recolhem os dados de cada utilizador. E nessas situações, é muito difícil saber o que é feito com esses dados e para que fins são utilizados.
Como é que cada um de nós se deve proteger?
A atual realidade social e económica acelerou toda a transformação digital no mundo, tendo levado a um crescimento exponencial das transações de dados on-line. E, sobre essa matéria, há um ativo valiosíssimo, indiscutível para qualquer organização: os dados dos seus clientes. A utilização dos mesmos para efeitos comerciais e de marketing nunca foi tão importante como agora, em que a vantagem competitiva baseia-se muito no conhecimento diferenciador que se pode extrair dessa informação.
O potencial de valor dos dados, aliado a métodos analíticos e de gestão de informação sofisticados, permite as organizações inovar constantemente e gerar insights exclusivos sobre os seus clientes. Insights esses que permitem antecipar tendências, observar comportamentos e obter um conhecimento personalizado e completo do potencial de cada individuo. Assim, tornando efetiva qualquer ação comercial com elevada probabilidade de realização. As tecnologias de gestão de informação assumem um papel crucial, sendo um dos pilares essenciais para habilitar estas capacidades, acelerando e automatizando todos os processos de analise e extração de conhecimento inerentes.
Como se devem proteger as organizações?
A utilização de múltiplos dispositivos, das redes sociais e da internet são bons exemplos de como as fronteiras entre o mundo externo e o corporativo rapidamente desaparecem. Diariamente estes recursos são usados para divulgação e promoção mais orientada de produtos e serviços; e para direcionar ações comerciais de valor acrescentado os diferentes públicos. E, num mundo sem fronteiras físicas, em que se multiplicam as ameaças na captura ou deturpação destes dados, é fundamental que as organizações implementem mecanismos que permitam salvaguardar a informação dos seus clientes, quer seja no seu armazenamento, quer seja na sua ligação com o mundo exterior.
Nesse sentido, é preciso considerar-se a adoção de plataformas e processos que garantam a segurança, criptografia, anonimização e diversos outros fatores para proteção dos dados. A legislação também tem vindo a ser reforçada nesse sentido, com a entrada em vigor do RGPD, trazendo maior transparência e possibilidade dos clientes decidirem que informações podem ou não ser utilizadas. Mas tudo isso é apenas uma parte da equação.
Qual deve ser a prioridade de todos?
Neste dia da internet segura, é importante relembrar que a prevenção e a responsabilidade de cada organização, de cada profissional e de cada individuo ou cliente são os maiores aliados no combate ao cibercrime. Isso é fator chave. A segurança de dados sensíveis e as fronteiras da sua utilização entre dispositivos pela internet nunca foi tao discutida e aprofundada como agora. E continuará a ser, seguramente, um dos temas centrais na agenda estratégica de qualquer organização digital orientada a dados. Todavia, também depende muito de cada um de nós. Adotar comportamentos e ações responsáveis na utilização que fazemos dos dados, tendo maior consciência dos riscos e dos limites associados, passando a ser agentes ativos na prevenção e na segurança dos mesmos.
