O teletrabalho, uma nova realidade laboral: quais os riscos de cibersegurança para as empresas?

A pandemia da doença Covid-19 veio mudar o paradigma laboral – com a primeira declaração do estado de emergência, a adoção do regime do teletrabalho foi obrigatória, sempre que as funções em causa o permitissem, independentemente do vínculo laboral. E assim permaneceu (como obrigatoriedade ou recomendação de adoção) durante as renovações do estado de emergência, da situação de calamidade, contingência e alerta, bem como assim permanece com nova declaração de situação de calamidade através da Resolução do Conselho de Ministros (“RCM”) n.º 88-A/2020 do passado dia 14.

De acordo com a referida RCM, as empresas também poderão adotar escalas de rotatividade de trabalhadores entre o regime de teletrabalho e o trabalho prestado no local de trabalho habitual, diárias ou semanais, de horários diferenciados de entrada e saída ou de horários diferenciados de pausas e de refeições.

Em Portugal, tal é o que se tem verificado, conforme informações que são tornadas públicas por várias empresas, independentemente da sua dimensão.

Aliás, como se retira do reporte semanal para acompanhamento do impacto social e económico da pandemia Covid-19 do Instituto Nacional de Estatística, datado de 14.10.2020, a proporção de população que “ficou em casa”, entre 1 de março e 4 de outubro, variou – valores medianos – entre 60% e os, ainda, atuais 30%.

Então: os trabalhadores estão em teletrabalho – seja total ou parcialmente – e como fica a cibersegurança? No mês em que se assinala o Mês Europeu da Cibersegurança, importa, talvez começar por perguntar: o que é a cibersegurança?

A cibersegurança consiste no conjunto de medidas e ações de prevenção, monitorização, deteção, reação, análise e correção que visam manter o estado de segurança desejado e garantir a confidencialidade, integridade, disponibilidade e não repúdio da informação, das redes e sistemas de informação no ciberespaço, e das pessoas que nele interagem.

Segundo o Relatório Cibersegurança em Portugal – Riscos e Conflitos – Junho de 2020 do Centro Nacional de Cibersegurança (“CNCS”), as ciberameaças mais concretizadas são o phishing, malware (que inclui ransomware), compromissos de contas, exploração de vulnerabilidades, DDoS, botnets e data breaches.

E como podem as empresas proteger-se?

Não esquecendo que, nos termos da lei, cabe à empresa proporcionar ao trabalhador a formação adequada sobre a utilização de tecnologias de informação e de comunicação inerentes ao exercício da respetiva atividade, importa também atentar no facto de caber a ambos – trabalhador e empresa – a tarefa de zelar pela proteção das redes e sistemas de informação no ciberespaço.

Tal é, aliás, o que resulta da Estratégia Nacional de Segurança do Ciberespaço 2019-2023, que visa aprofundar a segurança das redes e dos sistemas de informação e potenciar uma utilização livre, segura e eficiente do ciberespaço, por parte de todos os cidadãos e das entidades públicas e privadas, e que assenta nos princípios da subsidiariedade, complementaridade e proporcionalidade.

Como consta da referida Estratégia e de forma sucinta, dir-se-á que o princípio da subsidiariedade se refere ao facto de a maior parte das infraestruturas tecnológicas que compõem o ciberespaço serem detidas por entidades do setor privado, pelo que caberá, então, a estas a responsabilidade primária pela sua proteção, iniciando-se esta responsabilidade no próprio indivíduo (no modo responsável como utiliza o ciberespaço) e terminando no Estado. Por seu lado, o princípio da complementaridade respeita ao facto de a segurança do ciberespaço ser uma responsabilidade partilhada entre os diferentes atores, sejam eles públicos ou privados, coletivos ou individuais; e o da proporcionalidade respeita à necessidade de adequação e alocação de recursos, as quais devem ser proporcionais aos riscos identificados e à execução das linhas de ação constantes da referida Estratégia.

Assim, tanto trabalhadores como empresas deverão atentar nas recomendações de boas práticas no que se refere à cibersegurança que o CNCS tem vindo a publicar, sendo que, relativamente ao teletrabalho e à cibersegurança do teletrabalho, o CNCS recomenda cuidados com dispositivos, com sistemas e dados, com a navegação e com a comunicação.

Deste modo, o CNCS recomenda, em particular, a utilização, pelos trabalhadores, apenas dos dispositivos que tenham sido autorizados pela empresa; a não partilha dos referidos dispositivos (autorizados pela empresa) com quaisquer terceiros; o cuidado nas atualizações necessárias nos dispositivos e na instalação de antivírus e firewall cativos; efetuar backups regulares para um dispositivo externo; a utilização da VPN da empresa; a utilização apenas de pens USB confiáveis; utilização de filtro no ecrã do portátil; a navegação em websites HTTPS; a implementação de uma password forte no wi-fi doméstico e a sua alteração regular; a não abertura de e-mails ou SMS, cliques em links ou anexos que sejam desconhecidos – neste ponto, refira-se a quantidade de phishing relacionado com a pandemia de Covid-19; a não partilha de informação profissional nas redes sociais; a cifragem de comunicações sensíveis.

Para que as recomendações passem a ações, deverão, assim, as empresas empenhar-se, nomeadamente, na informação/formação aos trabalhadores, na manutenção regular dos sistemas de informação, na aferição dos níveis de segurança implementados, na disseminação das políticas internas das empresas no que respeita às regras de cibersegurança, no registo e atualização de autorizações de acesso remoto, na implementação de restrições de acesso remoto a aplicações não autorizadas e na parametrização dos acessos VPN.

Estas são algumas das imperiosas práticas que têm de fazer parte integrante do modus operandi das nossas empresas. Sem um efetivo ênfase na cibersegurança, com o pendor que está e continuará a ser dado ao teletrabalho, as vulnerabilidades das empresas aos ciberataques não serão mitigadas. Empresa e trabalhador devem atuar em conjunto, zelando não só pelos sistemas de segurança dos acessos físicos às instalações, mas também, e cada vez mais, dos acessos digitais.