Investir em cibersegurança custa muito dinheiro. E justifica-se. Mas é preciso que a pessoa que está em frente ao computador não carregue na tecla errada.
A TAP foi alvo de um ciberataque reivindicado pelo Ragnar Locker, grupo de piratas informáticos.
Nesta segunda-feira os hackers publicaram dados que, alegam, são dados pessoais de 1,5 milhões de clientes.
E acusaram a companhia aérea de não resolver as vulnerabilidades da sua rede, alertando que toda a informação pessoal na rede da TAP não estava encriptada.
Será a TAP a única empresa a não “esconder” informações que supostamente seriam confidenciais?
Não. Resposta curta, pegando nas palavras de Miguel Oliveira, especialista em cibersegurança na empresa M.O.R.D.E – Recuperação de Dados & Análises Forenses.
“Pelo que se vê, as empresas não têm as melhores práticas estabelecidas“, começou por dizer Miguel, em entrevista ao ZAP.
Entre o mundo das pequenas e médias empresas portuguesas, faz-se “muito pouca coisa” em relação à segurança digital.
A maior parte do tecido empresarial nacional “não está preparada” para lidar com um ataque como o que atingiu a TAP.
“Atenção que é um ataque muito complexo, que só ataca grandes empresas. Os piratas são pessoas com muita capacidade, que têm muita gente por trás, com contexto militar, operação conjunta com pessoas de diversas nacionalidades”, descreveu.
As grandes empresas portuguesas têm alto nível de protecção mas ficou uma comparação com o futebol para explicar o que acontece: “Eu nem gosto de futebol mas, numa grande penalidade, o guarda-redes nunca é suficiente para defender uma baliza inteira. O guarda-redes tenta adivinhar para onde vai a bola, mas quem remata é que sabe para onde quer atirar a bola”.
“Há empresas muito bem protegidas mas estes grupos arranjam sempre forma de entrar“, resumiu.
O maior problema
“O problema não é os piratas quebrarem o código”, continuou Miguel.
Então qual é? “É a falta de formação que os colaboradores têm sobre cibersegurança. Podemos estar a gastar milhões de euros em sistemas de segurança, mas se a pessoa que está em frente ao computador carregar na tecla errada…“.
Investir na cibersegurança dá trabalho e envolve muito dinheiro. E os decisores querem “rentabilizar o tempo dos trabalhadores o melhor possível”. Ter dados muito protegidos causa impacto no desempenho dos funcionários, as pessoas vão estar “limitadas”. A maioria dos gestores ainda não encontrou o equilíbrio neste contexto.
Há outra questão complexa neste assunto: a disrupção nas empresas. Ainda sobre o desempenho dos trabalhadores, Miguel Oliveira pegou numa trilogia: confidencialidade, integridade e acessibilidade.
“Se um ficheiro for confidencial e íntegro, não é acessível. Se for confidencial e acessível, não é íntegro. Estes factores nunca ficam juntos, anulam-se. Alguém de uma empresa quer aceder a um ficheiro relacionado com a contabilidade. Se estiver encriptado e se a pessoa não souber trabalhar nesse ambiente…”.
“Não são operações baratas, são operações contínuas“. Mas são operações que se justificam, assegurou. Com nova comparação: “Temos seguro de saúde. Se apostamos que o nosso corpo, um dia, vai falhar, também apostamos que, um dia, a segurança vai falhar. Não é “se”, é “quando”. Claro que compensa investir em cibersegurança. A maioria das empresas está muito dependente do ambiente digital”.
O segredo seria “formação constante e obrigatória, em todas as empresas. E formação a sério”.
Miguel também sugere uma política de “zero confiança” porque, revelou, há trabalhadores que copiam dados do computador da empresa para o computador pessoal e depois vão trabalhar para a concorrência. “Temos relatos destes todas as semanas”.
“É mesmo um tema muito complexo. É um jogo que nunca acaba“, completou Miguel, nesta sequência.
Mas ainda surgiu outra preocupação na conversa: “O que é preocupante é que a TAP foi atacada e existe jurisprudência na legislação europeia para quem não cumpre certos requisitos digitais, que prevê multas elevadas. Se a TAP for multada, somos nós que pagamos e somos nós que ficamos com os dados expostos. Somos duplamente castigados. Mas acredito que a TAP não vá pagar multa neste caso, como é empresa pública…”.
Para fechar: “Daqui a 10 anos esta conversa que tivemos agora será ridícula. Nem se vai questionar isto, porque vai ser obrigatório haver cibersegurança em todas as empresas”.
… Querem comparar o ataque informático da TAP com o que aconteceu com a Vodafone? Que deixou milhares de clientes sem serviço??… A Vodafone já resolveu a TAP nem por isso…
Ligações encriptadas é o básico do básico em termos de protocolos de segurança. Não me venham falar em investimentos de milhões de euros pfv. Total irresponsabilidade de uma empresa grande que permite de mãos dadas que agências de espionagem tenham acesso a dados de milhões de cidadão portugueses e estrangeiros de forma quase gratuita.
Para quando leis que obriguem as empresas grandes a terem certificações de segurança?? Há empresas a fazer isto em todo o mundo. Aqui fica-se a ver navios.. não percebo qual é a resistência em inovar.