A maior digitalização da economia e dos serviços essenciais aos cidadãos traz associada uma maior exposição aos riscos cibernéticos e nos últimos dois anos a aceleração para a transição digital acabou por estar inevitavelmente ligada a um maior número de ataques informáticos, assim como a uma atividade maliciosa onde o phishing e o ransomware foram dominantes. Os conflitos políticos e a guerra da Rússia à Ucrânia agudizaram um cenário que traz preocupações a todas as organizações que enfrentam desafios para proteger os seus sistemas e serviços de ataques informáticos e roubo de dados.

Estes foram os temas lançados de base no encontro "Cibersegurança; Tendências para 2023" que se realizou no dia 11 de janeiro, no Edificio Barra Barra do .PT, com a parceria de media do SAPO TEK . Com um painel de oradoras com longo conhecimento e experiência de cibersegurança, o encontro trouxe ao debate a visão da academia, empresas e também das autoridades de segurança e onde se reconheceu a importância de criar um ecossistema mais robusto, com mais prevenção, formação dos vários intervenientes e também cooperação na partilha de informação e recursos.

A necessidade de trazer mais mulheres para a tecnologia e para a cibersegurança foi apontada logo no arranque da sessão por Luisa Ribeiro Lopes, presidente do conselho diretivo do .PT, que fez o enquadramento do tema e a ligação à parceria que viria a ser assinada no final da sessão com a Women4Cyber Portugal.

“Temos um painel só de mulheres e vamos trabalhar nessa área da importância de chamar mulheres que trabalham na cibersegurança para dar o seu contributo nesta área e para a sociedade em geral”, destacou Luisa Ribeiro Lopes.

Cibersegurança; Tendências para 2023
créditos: .PT

O debate começou com o retrato do cenário de cibersegurança em Portugal e Sónia Martins, do Núcleo de Cibercriminalidade da Polícia de Segurança Pública, destacou alguns dados que o serviço da PSP vem recolhendo das denúncias que chegam a esta autoridade e que têm vindo a aumentar. Lembrando que nem todo o cibercrime é crime informático, referiu que perto de 50% das denúncias recebidas na PSP estão relacionadas com burlas e cibercrime, na área de compra de bens e serviços mas também em falsos arrendamentos.

A atividade de proximidade da PSP faz com que esta polícia seja muitas vezes o primeiro ponto de denúncia, mas a autoridade trabalha em conjunto com outras polícias, como a Polícia Judiciária, para atuar no combate à cibercriminalidade, assim como na prevenção do cibercrime, onde tem desenvolvido várias iniciativas.

Sónia Martins faz mesmo o apelo a que os cidadãos procurem a PSP e denunciem este tipo de burlas e cibercrime, já que é importante conhecer a dimensão do fenómeno e tipificar o modo de operação dos criminosos para orientar a investigação.

Num âmbito diferente, também o .PT olha para o cibercrime com base em dados de monitorização e informação recolhida em vários canais para funcionar quase como um barómetro, identificando tendências. Inês Esteves, vogal executiva do conselho diretivo no .pt, sublinha que a missão da Associação na gestão e operação do domínio de topo de Portugal na Internet traz também responsabilidades ao nível da cibersegurança e por isso tem um conjunto de mecanismos e meios de monitorização da infraestrutura técnica e do perímetro de atuação e do que se passa no seu contexto de atuação, nomeadamente através de canais abertos de comunicação com parceiros e registars.

“Conseguimos identificar tendências relacionadas com cibersegurança e uso indevido e malicioso, sobretudo do ecossistema nacional”, explica Inês Esteves.

O crescimento rápido do digital nos últimos anos, que se traduz também no crescimento recorde do número de domínios registados, é reconhecido como uma oportunidade, mas traz igualmente desafios de cibersegurança onde o .PT quer contribuir.

O .PT tem um papel essencial de proteção de infraestrutura e dos seus ativos e contribuir para criar um ecossistema nacional mais seguro, resiliente e confiável”, justifica. Tendências de uso de nomes de domínio para cometer atividade maliciosa, veículos para disseminar phishing, malware e spam fazem parte dos vetores identificados em 2022 e a associação tem feito “uma aposta grande para capacitar a infraestrutura”, em tecnologia de monitorização e correlação da informação, mas também em recursos humanos e processos.

“Por isso surge o centro de operações de segurança, com o patrocínio da Comissão Europeia, que alavancou e robusteceu estas competências que o .PT já detinha e conseguiu aprofundar”, refere Inês Esteves, lembrando que a organização coloca ao dispor da comunidade um catálogo de serviços que passam pela formação e sensibilização mas também adoção de boas práticas de cibersegurança, muito sustentado nas parcerias.

“O objetivo é desconstruir a complexidade dos temas e endereçar as organizações e cidadãos […] é necessário aprofundar os níveis de literacia com parcerias conjuntas”, adianta.

O tema da literacia e formação foi também abordado por Carla de Faria-Lopes Zibreira, da Axians, que sublinha que esta área é cada vez mais relevante mas que há vinte anos ninguém dava importância a estes temas. A dificuldade de chegar ao cidadão e ao utilizador é uma das principais questões apontadas, até porque “somos avessos à mudança”, como refere, e os contextos e tecnologias estão sempre a mudar.

Carla de Faria-Lopes Zibreira diz que é preciso olhar para o contexto das organizações. “Há normas de cibersegurança mas é preciso olhar para o contexto político, económico, e fazer  mapeamento do ciberespaço para o contexto físico”. Para a especialista, muitas organizações viram reforçar nos últimos anos as suas operações no digital, adaptando novos ambiente tecnológicos, com as forças de trabalho a migrar para o digital, ambientes móveis e cloud, e é preciso acentuar, depois do modelo de contingência imposto pela pandemia da COVID-19 que os processos não voltam atrás.

Uma nota importante para as tendências identificadas em 2022 foi que as ameaças de phishing e ransomware se mantiveram como prevalecentes, mas que depois do processo de gestão de risco de terceiros ter sido colocado de lado, “em 2022 fomos bombardeados por clientes para fazer essa avaliação de risco, porque dependência e risco aumentou brutalmente”.

Serviços mínimos na área da cibersegurança?

A responsável pela área de Digital Trust da Axians admite que “hoje fazemos mais, mas não o suficiente”. “As organizações reguladas agem no perímetro da regulação, muitas vezes nos mínimos. As outras agem quando são atacadas”, sublinha, lembrando que o caminho para a cibersegurança é evolutivo e não se cura em dois anos, como uma vacina.

“Para nós é frustrante percebermos os riscos, o perigo e a forma como as organizações estão expostas e do outro lado não vemos reação, ou só quando as coisas estão mal”, defende Carla de Faria-Lopes Zibreira, lembrando que temos de evangelizar e promover o investimento das organizações nestas áreas e na formação.

A capacitação das pessoas, desde os cidadãos aos profissionais, foi também um dos temas destacados por Ana Ferreira, investigadora do CINTESIS - Center for Health Technology and Services Research da Universidade do Porto, que diz que há uma grande falta de profissionais na área da cibersegurança, dentro das várias especializações necessárias. “Ainda não há capacidade para termos profissionais em várias áreas. É uma questão de números, não temos gente que queira ser formada nem gente suficiente para formar”.

Cibersegurança; Tendências para 2023
créditos: .PT

Com uma experiência de mais de 20 anos em desenvolvimento de projetos de investigação em cibersegurança, sobretudo em projetos ligados ao sector da saúde, a investigadora partilhou a visão de que as organizações estão a tentar “remendar” problemas de segurança em sistemas que não previam estas questões de início. “Vai-se fazendo patching mas não é suficiente”, refere, sublinhando que isso não vai funcionar.

“A investigação pode ajudar, transformar a tecnologia que já existe em algo mais funcional com cibersegurança”, explica, mas lembra que não temos equipas de desenvolvimento multidisciplinares com conhecimento de cibersegurança para introduzir o processo de início, e que é preciso olhar para trás e redefinir o processo todo.

Para além de um esforço de literacia digital, que tem de ser feito em toda a população, Ana Ferreira defende que é necessário investir em competências básicas, logo para as crianças a quem são entregues ferramentas sem qualquer formação.

2023, um ano de aceleração e massificação de ataques

Em termos de tendências para 2023 as oradoras partilham uma visão de que o panorama não é animador, e que o nível de ataques vai piorar antes de melhorar.

Carla de Faria-Lopes Zibreira defende que vamos continuar a assistir a uma reavaliação das arquiteturas de segurança das empresas, nomeadamente no reforço dos perímetros que se alargaram com o trabalho híbrido, e alerta para um aumento esperado de ransomware e engenharia social, consequência do contexto de recessão económica que aprofunda o potencial de ferramentas de ramsomware as a service e hacker as a service.

Do lado do .PT, Inês Esteves admite que as tendências de registo de sites com dados falsos, cybersquating, com adulteração de nomes de domínios que induzem a abrir links e vias de disseminação de malware e perda de dados, são vetores que se vão manter e que é preciso reforçar os sistemas de proteção. “Em 2022 mais de metade das organizações e do tecido empresarial em Portugal foram alvo de ciberataques e esta é uma tendência que se vai manter”, sublinha.

Para inverter esta tendência é preciso apostar em formação, não só em pessoas novas a entrar nesta área mas no reskilling e upskilling dos profissionais.

Não há recursos suficientes mas há um universo de pessoas com competências a fazer reskilling para estas áreas. As organizações têm de fazer isso nos seus recursos internos e nos seus processos internos”, sublinha a vogal do conselho diretivo do .PT.

Para Inês Esteves o aspecto mais importante a reforçar é a garantia da continuidade das operações. “Temos de olhar com o posicionamento e estratégia para isso. Sabemos que vamos ser alvo de ataque por muita tecnologia e recursos que tenham. Temos de saber que vai acontecer e estar preparados para responder”.

Ana Ferreira aponta ainda os riscos de ataques mais sofisticados, com a ajuda da Inteligência Artificial, que se espera que aumentem em 2023, com os atacantes a usarem a tecnologia para desenvolverem ataques de ransomware e phishing mais sofisticados e com mais possibilidade de enganarem os utilizadores. A investigadora acredita também que vão crescer os ataques ligados a veículos autónomos, carros e drones, e que nestas áreas é preciso criar mecanismos de proteção e reforçar as questões éticas.

A necessidade das empresas fazerem as suas avaliações de risco a práticas e ferramentas, e melhorar processos de comunicação e informação sobre as ferramentas foram também pontos sublinhados por Ana Ferreira. “Temos de passar a mensagem da importância de cumprir as regras básicas da cibersegurança, pelo impacto que vai ter em nós próprios e nas organizações”.

Cibersegurança; Tendências para 2023

As recomendações deixadas pelo painel seguem em linha com as principais preocupações partilhadas quanto aos riscos identificados em 2022 e tendências para 2023. O reforço da cibersegurança e dos processos, mais formação e informação, são apontados como essenciais, com  Carla de Faria-Lopes Zibreira e Inês Esteves a porem o acento tónico também na colaboração.

“Não se fala em cibersegurança sem colaboração. Uma partilha controlada, assertiva e segura é importante é fundamental. Temos de quebrar o tabu e colaborar mais entre organizações. Isto é uma área que tem um objetivo superior à nossa existência como pessoas ou empresas”, destaca a executiva da Axians.

Para Inês Esteves esta é a grande mensagem para 2023. “Há muito trabalho feito e diferentes níveis de maturidade das organizações. As que estão num nível inicial têm de se apoiar nas que já estão mais avançadas e que estão disponíveis para ajudar e aprofundar estes temas”, destaca.

Mais mulheres na cibersegurança e em debates sobre o tema

No final do debate foi assinado um protocolo entre a Women4Cyber Portugal e a associação .PT, destacando a colaboração nesta área. Cristina Almeida, presidente do chapter português da organização que foi criada na Bélgica lembrou que os números indicam que a representação das mulheres nesta área é de apenas 7% e que isso faz com que falte perspectiva e background.

Cibersegurança; Tendências para 2023

Na sua mensagem deixou um convite a todas as mulheres que trabalham nesta área para se juntarem à comunidade Women4Cyber Portugal e revelou que o objetivo até final do ano é que não exista nenhum painel de discussão sobre cibersegurança sem representação feminina em Portugal.

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.