“Empresas demoram em média 204 dias a perceberem que foram ciberatacadas”

A corretora de seguros Acrisure e a seguradora Hiscox lançaram o mote na conferência Cibersegurança: Estratégias para um Mundo Global que teve lugar na terça-feira na Universidade da Beira Interior (UBI) na Covilhã.

Como lembrou Pedro Inácio, vice-reitor da UBI, o local foi adequado ao tema, já que a UBI foi alvo de um ataque informático de ransomware em outubro de 2022 tendo como consequência a paralisia dos sistemas informáticos e a exigência, pelos hackers, de um resgate de cerca de 1 milhão de euros em bitcoins para entrega da chave de desbloqueio.

Pedro Inácio aproveitou para dizer que o resgate não foi pago e que os sistemas foram recuperados, mas lembrou a audiência para terem todos os planos de recuperação em papel “porque nos computadores também ficam cifrados”.

“As empresas demoram, em média, 204 dias a perceberem que foram ciberatacadas”, acrescentou na sua introdução, citando o estudo da IBM Cost of a Data Breach, refletindo que o problema “já não é só tecnológico, é estrutural das empresas “. Como alvos atualmente mais apetecíveis para ataques estão educação e países fora do contexto de guerra, porque “a Educação é bom setor para treinar hacking” concluindo que “nem as empresas portuguesas nem Portugal estão preparadas para uma coisa séria”, concluiu.

José Rodrigues, CEO da Acrisure Portugal, foi anfitrião do evento e salientou que a cibersegurança está hoje num estado de consciência coletiva, assinalou a NIS 2 (nova Diretiva da União Europeia para a cibersegurança, que alarga os setores vigiados) como um desafio para muitas empresas e concluiu que hoje a cibersegurança “já não é um tema de IT, agora é tema de governance”.

Em três momentos, diferentes intervenientes contribuíram e partilharam conhecimento e experiência. Na área técnica começou Ricardo Oliveira, CISO (diretor de segurança da informação) da Eurotux, empresa especialista em sistemas de IT e habituado a intervir em crises, notou que muitos incidentes acontecem devido “a colaboradores das nossas empresas por desconhecimento dos processos ou, por fornecedores da empresa” e assinalou que os e-mails de phishing “já estão em português de Portugal porque os hackers estão a usar IA”, pelo que segundo ele “devemos usar IA para combater IA dos atacantes”. Concluiu garantindo que “estabelecer regras mínimas, garantir o mínimo de boas práticas entrava muitos ataques, e fazer backups e atualizar software pode mitigar em muito as consequências de um ataque.

Ricardo Adonis, do Coficab Group, uma multinacional de cabos para a indústria automóvel, concordou que “o erro humano é a porta de entrada para ataques e por isso a formação tem de ser contínua”. Confirmou ainda que muitos erros se cometem quando se clicam links em e-mails, mas considera causa maior a “falta de cultura de risco, não há plano de contingência e, a haver, nunca foi testado”, disse.

Já Vasco Lopes, da DeepNeuronic, start-up de machine learning, salientou que os atacantes usam mails, emojis, sites, ficheiros disfarçados em imagens para penetrar nos sistemas das empresas e que os riscos dependem da dimensão, processos, cloud e opção entre computadores ou papel. Apesar de tudo as “empresas digitalizadas têm maior conhecimento dos riscos que correm”, concluiu.

Bruno Januário, da Softinsa, uma subsidiária da IBM, deu um panorama sobre a evolução tecnológico que se espera num futuro próximo, apostando na computação quântica como a grande revolução aguardada e que “é impossível de hackear”, afirmou.

“60% das companhias abaixo dos 25 milhões de faturação fecha 6 meses após um ataque”, alertou Tancred Lucy, da Acrisure London e abordou a possibilidade de segurar riscos cibernéticos: “o mercado segurador já está favorável a compradores, após a crise de ataques entre 2020 e 2022 ter reduzido o capital disponível da indústria seguradora para coberturas ciber e os preços dos prémios terem disparado”, disse.

O advogado especialista em seguros José Limón Cavaco, sócio da CCA Law Firm, chamou a atenção para a nova diretiva NIS2 e para a responsabilidade direta dos gestores e não só da empresa, nos incidentes ciber. Precisou que, para além do alargamento de setores fiscalizados, as novas regras incidem sobre políticas de segurança, resposta a incidentes, plano de continuidade de negócios, gestão de crise e autenticação multifatorial.

Ana Silva, Liability & Financial Lines Manager da seguradora Hiscox, revelou que os seguros ciber podem ser muito comportáveis para todas as empresas “começando nos 500 euros por ano”. A resposta a sinistros reúne de imediato um painel de especialistas, compensa perdas com reparação tecnológica e responsabilidades com indemnizações. Sinistros de lucros cessantes é uma das consequências mais importantes, bem como ter de responder pela violação de dados pessoais e confidenciais, tudo resultando em perda de clientes. Também confirma que dois terços dos ataques resultam devido a erro humano, devido a golpes de engenharia social como manifestação psicológica pressionando, por exemplo, uma transferência bancária e concordou no perigo da melhoria dos golpes de phishing, já em perfeito português e com imagem muito semelhante aos das empresas reais.

No derradeiro painel de debate, Ricardo Silva, da Ferpinta, produtora de tubos metálicos para 34 países, salientou que hoje uma empresa como a sua tem de mostrar solidez de segurança ciber ao mercado. Nuno Pais, vice presidente da AECBP, associação que junta centenas de empresas na região da Covilhã, Belmonte e Penamacor, mostrou recetividade para pensar num seguro para os seus associados.