Ciberriscos e ciberameaça: saiba se é vulnerável e como se proteger

  • SegurosPME
  • 4 Janeiro 2025

No mundo digital, as empresas portuguesas estão sob ataque. Cibercrimes com inteligência artificial ameaçam organizações. A sobrevivência exige preparação e conhecimento tecnológico.

A sobrevivência depende de conhecimento, preparação e resiliência tecnológica.

A emergência e difusão da inteligência artificial (IA) generativa constitui um fator que contribui para o aumento dos ciberriscos. As empresas enfrentam, por isso, um desafio crescente, quer devido às ameaças que sobre elas impendem, quer em resultado da exigência da regulação desenhada para lhes fazer face.

A forma mais comum de ciberataque tem sido o ransomware, tipicamente com motivações económicas. O ransomware consiste no impedimento ao acesso dos respetivos dados pela vítima, até que esta pague um resgate. Os ataques de ransomware representaram, no ano de 2023, cerca de 70% do total de ciberataques reportados, ao nível mundial.

A implementação de contramedidas no âmbito ciber, assim como o aumento da resiliência das organizações, por via dos planos de continuidade de negócio, leva a que os ataques de ransomware tendam agora a visar empresas de maior dimensão, capazes de pagar montantes superiores, ou cujos dados de clientes sejam mais sensíveis. O setor financeiro destaca-se, neste âmbito, entre os principais visados.

No âmbito dos ciberataques, verifica-se também o recurso à engenharia social e à manipulação da informação, entre os métodos mais utilizados. Tal ocorre em paralelo com abundância de informação pessoal sobre potenciais alvos, no ciberespaço, o que favorece a criação de cenários credíveis – alguns deles explorando as vulnerabilidades psicológicas dos indivíduos, manipulando-os -, que facilitam os intentos dos criminosos.

A inteligência artificial generativa favorece uma maior complexidade do contexto da ameaça, pela sua capacidade de criar textos e imagens capazes de iludir os alvos. Ao ponto dos deepfakes serem passíveis de serem utilizados em fraude com dados biométricos para acesso indevido a contas e equipamentos. Por outro lado, a crescente acessibilidade das ferramentas de inteligência artificial generativa conduz a uma maior proliferação de ataques com recurso às mesmas.

A interconectividade e interdependência torna as economias vulneráveis a ataques que visem os seus nós críticos.

Neste quadro, a relação existente entre as empresas e fornecedores, designadamente de software, é passível de constituir uma vulnerabilidade. O incidente ocorrido em julho de 2024, envolvendo a empresa Crowdstrike evidenciou esse risco, não obstante não ter havido subjacente uma intenção maliciosa.

Como se proteger

Para fazer face às ameaças neste domínio, as organizações devem:

  • Testar e rever os seus planos de resposta a ciberincidentes, de forma regular;
  • Identificar as vulnerabilidades na sua relação com fornecedores;
  • Manter e assegurar backups atuais e, não menos importante;
  • Articular os seus esforços com as autoridades. A interação direta com hackers constitui uma alternativa arriscada, pelo que se deverá procurar, na eventualidade de um incidente, o envolvimento de negociadores profissionais, a par de uma estratégia de comunicação sólida, nos planos interno e externo. Preventivamente, deverá ser promovida a sensibilização dos recursos humanos e mitigadas as vulnerabilidades existentes de caráter tecnológico.

Enquadramento regulatório

Para fazer face a este panorama, o enquadramento regulatório tem sido robustecido por um conjunto de diplomas exigentes em termos de requisitos. São disso exemplo:

  • O Digital Operational Resilience Act (DORA);
  • A Diretiva NIS2;
  • O Regulamento de Ciber-Resiliência e a Lei da UE sobre Inteligência Artificial.

O DORA constitui uma regulação comunitária de cumprimento obrigatório, que estabelece um enquadramento abrangente de gestão de risco das tecnologias de informação, destinada ao setor financeiro. Obriga estas entidades e os seus fornecedores ao cumprimento de requisitos técnicos. Os extensos detalhes de requisitos e a inflexibilidade que emana do DORA constituem desafios, que embora proporcionem robustez, aumentam a complexidade do negócio.

Por seu lado, a Diretiva NIS2 representa uma versão atualizada da diretiva de cibersegurança da UE e estabelece medidas legais abrangentes para aumentar a cibersegurança.

Já o Regulamento de Ciber-Resiliência estabelece exigências no que respeita a produtos com componentes eletrónicos e complementa a Diretiva NIS2, na medida que visa o fortalecimento da cibersegurança na UE.

Por fim, a Lei da UE sobre Inteligência Artificial (IA) tem como objetivo a promoção e o desenvolvimento seguro e ético da IA. Contudo, apresenta desafios significativos para start-ups e empresas de menor dimensão, podendo sufocá-las, devido ao excesso de regulamentação, nesta área, no que respeita aos produtos classificados como tendo maior risco.

No caso dos seguros, setor em que a inovação com recurso a IA assume especial importância nos domínios da regularização de sinistros, da deteção e combate à fraude e, em geral, na interação com clientes, os ganhos de eficiência podem vir a ser comprometidos pela legislação agora em vigor.

De qualquer modo, a cibersegurança constitui uma prioridade para as organizações e seus responsáveis de topo, designadamente no setor dos seguros. Quer por via da ameaça, quer pelo contexto regulatório, a observância das regras de cibersegurança torna-se premente para a prevenção de danos financeiros, operacionais e reputacionais.

* Artigo publicado originalmente na newsletter APS #7 “Seguros & Cidadania” em janeiro 2025.