Como prevenir os ciberataques? Na era da digitalização e da modernização das cidades e da logística, que alternativas têm as empresas afetadas por ataques que comprometem a sua cibersegurança? E, por outro lado, o que se perspetiva para o futuro? Estarão as smart cities preparadas para ciberataques cada vez mais eficazes e bem-sucedidos? Fomos testar a resistência e preparação ouvindo alguns intervenientes no setor.
O tema da cibersegurança ocupa as manchetes dos jornais e tem vindo a apanhar desprevenidas empresas de vários setores. Por outro lado, a pandemia veio trazer novos desafios para as cidades de todo o mundo e acelerou a inovação tecnológica a muitos níveis. O estudo “Smart City Solutions for a Riskier World” promovido pela Oracle, a Deloitte, a Intel e outros, destaca o papel que a tecnologia, os dados, a cibersegurança e as parcerias público-privadas desempenham “para garantir um futuro sustentável, seguro e próspero para os cidadãos após a pandemia”, pode ler-se em comunicado de imprensa.
A investigação, realizada entre agosto e setembro de 2020, incluiu altos funcionários de 167 cidades em 82 países. “As cidades representavam 526 milhões de pessoas ou 6,8% da população mundial e variavam em tamanho de menos de um milhão de habitantes (39% das cidades) a quase 27 milhões. Cinquenta e três por cento dessas metrópoles estão em mercados emergentes e 47% em países desenvolvidos”, destaca o relatório.
Quanto a conclusões propriamente ditas, o estudo mostra que 65% dos líderes notaram que a maior lição aprendida durante a pandemia foi a importância dos programas de cidades inteligentes para o futuro e 37% responderam que a Covid-19 reforçou a necessidade de investir mais na atualização da infraestrutura principal. O mesmo relatório denota ainda que as cidades de todo o mundo estão a apostar em tecnologia, especialmente em inteligência artificial. “88% dos líderes das cidades identificaram o investimento em plataformas de cloud como o requisito mais urgentemente necessário para a entrega bem-sucedida de serviços críticos e não críticos ao cidadão”, pode ler-se no relatório.
No que respeita ao tema da cibersegurança, o estudo indica que “95% das cidades 4.0 garantem que a cibersegurança seja considerada desde o início dos projetos. 95% dos líderes de cidades inteligentes citaram o nível mais alto de confiança na sua segurança cibernética, em comparação com apenas 8% das cidades que foram classificadas como iniciantes na jornada da cidade inteligente”.
“No caso específico das empresas de transportes e mobilidade, assumem particular relevância os sistemas que garantem, em primeiro lugar, a segurança dos viajantes – sinalização, gestão remota – e, depois, a prestação do serviço” Luís Nunes, APDSI
Especificamente em Portugal, o relatório “Cibersegurança em Portugal | Economia” realizado pelo Centro Nacional de Cibersegurança (CNCS), apresentado em maio deste ano, conclui que “o maior impacto das falhas de cibersegurança ou dos ciberataques nas organizações relaciona-se com a crescente importância dos incidentes e dos ataques (abrangência e poder destrutivo) e com o incremento da sua probabilidade de ocorrência (expansão dos agentes maliciosos e aumento da frequência)”.
As empresas portuguesas estão ainda atrás das suas congéneres europeias “nos diversos domínios que configuram a exposição digital das empresas, nomeadamente a ligação à Internet, a presença digital, as compras e vendas online, a interconexão automática com clientes e fornecedores, a adoção de sistemas de alojamento remoto e a integração de outros sistemas de operação automática ou autónoma”.
Se, por um lado, esta situação pode afetar negativamente a competitividade do tecido empresarial português, do ponto de vista da cibersegurança, o CNCS considera que “poderá ser aproveitada para melhorar os níveis de segurança informática, reduzindo assim o número de incidentes e as suas consequências operacionais e financeiras” e adianta ainda que, “para a maioria das PMEs portuguesas, a principal barreira à implementação de medidas para melhorar os níveis de cibersegurança é o seu custo. Outros impedimentos apontados são a escassa cultura de cibersegurança dos colaboradores, a falta de pessoal adequado ou qualificado e o desconhecimento das medidas a adotar”.
Relativamente às PMEs portuguesas, enfrentam poucos incidentes de segurança e, genericamente, são pouco sofisticados e implicam custos relativamente baixos. “Considerando apenas empresas cujo volume de negócios procede, em grande medida, da prestação de serviços de cibersegurança, este setor em Portugal é constituído por 144 empresas, que empregam aproximadamente 1.300 trabalhadores e têm um volume de negócios conjunto de cerca de 130 milhões de euros.” O relatório indica também que, para além das empresas prestadoras de serviços de segurança informática, “existe um número considerável, embora insuficiente, de profissionais de cibersegurança. São profissionais relativamente jovens, experientes, qualificados e comparativamente bem remunerados”.
Medidas de proteção
Com a crescente digitalização e conectividade entre sistemas, aplicações, sensores, etc. que compõem os produtos da Volvo Cars, a cibersegurança assume-se como uma das principais prioridades.
“Se olharmos de uma forma transversal para aquilo que são os nossos principais produtos atualmente, facilmente constatamos um crescimento exponencial ao nível da tecnologia incorporada, principalmente se comprarmos com as respetivas gerações anteriores”, refere Bruno Félix, Digital&IT Director da Volvo. Este aumento exponencial em termos de software e digitalização dos nossos produtos e processos aumenta, porém, a probabilidade de ocorrência de novas ameaças contra a infraestrutura digital obriga a tomar medidas concretas que mantenham a empresa segura contra potenciais ameaças.
“Na Volvo Cars, procuramos ter uma atitude proativa, na tentativa de antecipar e evitar qualquer ataque, utilizando mecanismos avançados de monitorização e controlo de ameaças” Bruno Félix, Volvo Cars
“Na Volvo Cars estamos empenhados em continuar a garantir que a nossa organização desenvolve produtos num local de trabalho seguro, onde os dados dos nossos clientes se mantêm em segurança”, adianta.
Para que a empresa possa manter-se segura e protegida no ecossistema digital, atua em três pilares essenciais: Pessoas, Processos e Tecnologia, que devem ser analisados de forma conjunta e holística. “Por exemplo, no que diz respeito ao capítulo das pessoas, não significa apenas ter uma equipa de especialistas em cibersegurança que garanta que todo o nosso software e que o respetivo processo de desenvolvimento é seguro, mas sim assegurar que todas as nossas pessoas recebem a formação adequada em matéria de cibersegurança, para que possam dispor dos conhecimentos e das ferramentas necessárias para manter a empresa segura e protegida”, esclarece.
Os ataques informáticos estão a aumentar em todos os setores e a nível global. “A indústria automóvel não é exceção, o que significa que manter uma postura reativa e focada na reação após a ocorrência de um ataque informático já não é suficiente nos dias de hoje para garantir a segurança da nossa organização. Na Volvo Cars, procuramos ter uma atitude proativa, na tentativa de antecipar e evitar qualquer ataque, utilizando mecanismos avançados de monitorização e controlo de ameaças”, explica Bruno Félix. Assim, a cibersegurança deve fazer parte da mentalidade da empresa e ser encarada como uma realidade em que tudo o que é feito e desenvolvido.
Criada em 2001, a Associação para a Promoção e Desenvolvimento da Sociedade da Informação (APDSI) tem por objetivo a promoção e desenvolvimento da transformação e inclusão digital em Portugal, reunindo com este interesse comum, profissionais, académicos, empresas, organismos públicos e cidadãos em geral. Além disso, a APDSI procura atrair para seus associados indivíduos e entidades com conhecimento, pensamento e experiência nas diversas matérias ligadas à sociedade da informação. “Depois, e partindo de uma sistematização das áreas de intervenção mais relevantes no contexto do seu propósito, nas quais se encontra a cibersegurança, constitui grupos de missão que, sob a liderança de um especialista na área, associado ou não, colige e debate as diferentes sub-temáticas abrangidas”, explica Luís Nunes, vogal da direção da APDSI e Chief Operating Officer da A-to-Be, empresa do grupo Brisa focada em soluções tecnológicas de suporte à mobilidade. Esses grupos responsabilizam-se pela realização de diversas atividades, tais como a elaboração de projetos, estudos e pareceres técnicos, a organização e condução de eventos.
“Tradicionalmente, os temas da cibersegurança eram vistos como acessórios ou apenas considerados a posteriori, depois de um determinado modelo de processos e sistemas associados serem implementados”, sublinha Luís Nunes. Com a evolução na quantidade, diversidade e severidade deste tipo de ameaças passou a ser necessário dotar os mecanismos que permitam implementar de raiz proteções mais eficazes face às ameaças conhecidas e, sobretudo, estabelecer as bases para que estas possam evoluir em permanência. “As pessoas são uma peça fundamental, já que são os seus comportamentos que condicionam – em muito – a eficácia das políticas de prevenção de ataques. Deste modo, a sensibilização dos colaboradores de uma empresa e também dos seus principais parceiros é essencial para a prevenção e resposta a ciberataques”, assinala o vogal da direção da APDSI. Essa sensibilização passa, por exemplo, pela realização de ações de formação, com atualizações em intervalos de tempo pré-definidos, por comunicações periódicas com recurso a exemplos reais para reforçar determinados pontos, e pela disponibilização de conteúdos para consulta e de um canal para esclarecimento de dúvidas.
Por outro lado, devem ser efetuados “testes periódicos à eficácia das políticas e meios tecnológicos implementados, preferencialmente com o envolvimento de parceiros especializados”. Luís Nunes considera, por isso, que “estas iniciativas podem passar pela realização periódica de testes de penetração, de auditorias programadas e tipificadas (por exemplo, ISO27001), e de auditorias adhoc, por exemplo, face ao surgimento de uma suspeita”.
O próximo grande desafio do mundo de cibersegurança passa por saber como e quando agir numa fase em que os ciberataques estão sempre a ocorrer e tendencialmente com sucesso. “Diria que a capacidade de deteção será crítica, visto que o fator ‘tempo’ é crucial para minimizar o impacto e aumentar a capacidade de resposta, e por inerência, a rapidez de recuperação, com o menor impacto possível. Existem outras medidas que podem ser adotadas para minimizar as consequências de um eventual ciberataque, e até medidas que irão permitir responder mais rápido na recuperação, contudo, estou convicto de que a principal aposta ainda deve ser na monitorização e deteção”, explica Bruno Castro, CEO&fundador da VisionWare, empresa que tem como objetivo atingir o sucesso dos clientes, aumentando a sua cultura e maturidade em segurança de informação.
É preciso analisar as fragilidades da organização e do seu modelo de negócio e apoiar os gestores na definição de prioridades “sérias, claras e realistas, de forma a concretizar um investimento adequado à realidade dessa organização”. É importante ainda sublinhar que as necessidades de cada empresa variam “consoante o seu nível de maturidade em termos de segurança da informação, dos seus objetivos e, também, consoante o seu orçamento”, assinala. A segurança numa organização só é possível assim. “Temos que ir analisando, avaliando e reformulando o plano de ação preventivo, por forma a ir mitigando o risco e aumentando a maturidade da organização em cibersegurança”, sublinha.
Como prevenir?
“A prevenção é sem dúvida um pilar essencial para a resposta às ameaças informáticas. Mas só existe uma certeza: que não vai ser suficiente, face à crescente sofisticação dos métodos dos atacantes na sua procura incessante de vulnerabilidades, tornando rapidamente obsoletas as evoluções nas barreiras defensivas”, refere Luís Nunes. Para tal, o responsável considera que “as organizações devem desenvolver planos de continuidade de negócio constituídos pelos procedimentos e meios necessários à reposição da capacidade operativa, começando pelos processos críticos e terminando com a restituição completa das operações”. Esses planos devem ser testados com regularidade e contemplar uma política adequada de backups e reposição de serviços – por exemplo, que assegure a compatibilidade tecnológica e de configurações das imagens salvaguardadas com as infraestruturas para onde vão ser repostas, defende o responsável da APDSI.
“A evolução digital a nível global, nomeadamente, com o aparecimento e a implantação do conceito smart cities por muitas cidades, veio também aumentar consideravelmente o apetite e interesse do cibercrime, e, por inerência, o risco de eventuais ciberataques a sistemas inteligentes em várias geografias que estão a adotar estes novos conceitos. É, portanto, inevitável a relação entre evolução digital e o incremento de ciberataques”, refere Bruno Castro.
No futuro, prevêem-se mais ciberataques e com maior impacto. “As organizações terão de se preparar previamente para esta nova e incontornável realidade” Bruno Castro, CEO da Vision Ware
Com a existência de um tecido empresarial português extremamente heterogéneo no que respeita aos temas da cibersegurança e da transição digital, a evolução destes temas tem sido indiscutível. “Há cerca de 17 anos, quando nos apresentámos pela primeira vez no mercado da segurança da informação, a cibersegurança não era, ainda, uma prioridade. Hoje, contudo, por toda esta aceleração digital e tecnológica são sobretudo as empresas que apresentam uma evolução mais positiva ao nível de maturidade em segurança da informação”, acrescenta o também especialista em cibersegurança e análise forense. Ainda assim, não tem sido fácil acompanhar as contínuas exigências da atualidade, sublinha.
Em termos de prevenção, a VisionWare promove ações de stress ao nível da avaliação contínua do nível de segurança de todo o universo tecnológico e aplicacional que suporta uma smart city. “A monitorização inteligente é obviamente uma necessidade cada vez mais obrigatória de forma a detetar, em tempo útil, eventuais comportamentos erróneos ou suspeitos. E o mesmo se aplica às empresas de outros setores”, revela o CEO.
Como contra-atacar?
As necessidades demonstradas pelos associados da APDSI são em tudo semelhantes às das demais organizações: a proteção dos dados pessoais de cidadãos/clientes, funcionários e a garantia do funcionamento ininterrupto dos sistemas operacionais que são críticos para a sua atividade.
“No caso específico das empresas de transportes e mobilidade, assumem particular relevância os sistemas que garantem, em primeiro lugar, a segurança dos viajantes – sinalização, gestão remota – e, depois, a prestação do serviço”, salienta Luís Nunes.
Operacionalizar no terreno a cibersegurança é algo que parece simples, mas representa “um processo altamente complexo”, refere Bruno Castro. “É fundamental, e cada vez mais obrigatório que, no mínimo, a empresa adquira as soluções – aplicacionais ou tecnológicas – que posteriormente irão disponibilizar nos serviços avançados aos seus clientes. É também essencial que sejam promovidas ações prévias de validação do nível de segurança das próprias soluções antes de serem colocadas a uso”, acrescenta. Essas soluções têm de ser testadas e “deve existir um processo contínuo e fluído de teste e validação das mesmas. Obviamente, é ainda expetável que os próprios fabricantes façam igualmente este processo ao nível interno no decorrer do seu desenvolvimento, nomeadamente, aplicando conceitos como o de security by design”.
Quem procura os serviços da Vision Ware também apresenta necessidades diversas. “Essencialmente, continuamos a ver o mesmo nível de incremento de ciberataques, inclusive de ataques com sucesso, e direcionados a infraestruturas de negócio. Importa realçar que neste tipo de setores ainda existem muitas plataformas ‘legacy’ – antigas e algumas até obsoletas – que não cumprem os requisitos mínimos de cibersegurança, e, portanto, acarretam riscos acrescidos no que respeita a integridade e segurança dos sistemas críticos”, explica Bruno Castro. E acrescenta: “Poderão, inclusive, condicionar e até contaminar serviços mais atuais, como os próprios sistemas corporativos como o correio eletrónico ou acessos remotos.” No setor da mobilidade, sublinha, “a principal preocupação será a proteção de sistemas críticos com alguma antiguidade – normal neste setor – que poderá condicionar, não só a sua atividade diretamente, mas também a globalidade da organização”.
O próprio cibercrime está cada vez mais especializado por setor, logo os ciberataques também são mais desenvolvidos e especializados consoante as áreas e, mais especificamente, “aos sistemas críticos e modos operandi da organização. Esta especialização implica um incremento substancial da probabilidade de sucesso do ciberataque desenvolvido”, conclui o CEO.
As cidades do futuro
Para o vogal da direção da APDSI, as cidades do futuro “podem e devem estar preparadas para lidar com eventos que coloquem em causa o funcionamento das suas infraestruturas críticas – fornecimento de eletricidade, gás, água e comunicações, sistemas de gestão de tráfego, redes de transportes públicos, etc.”, assinala Luís Nunes. Estes, na sua esmagadora maioria, estão dependentes de sistemas interligados por canais suscetíveis de serem objeto de um ataque informático. Não importa apenas desenhar e implementar os mecanismos de proteção ativa, como o responsável já tinha sublinhado, mas é relevante definir e “testar os planos de continuidade de negócio que vão permitir recuperar a funcionalidade desses sistemas críticos no menor espaço de tempo”.
Segundo a consultora Gartner, estima-se que mais de 50 biliões de equipamentos, sensores ou sistemas estarão conectados através da internet nas cidades do futuro (smart cities). “De facto, à medida que as smart cities avançam em direção a uma rápida digitalizaç ão, com recurso à utilização da inteligência artificial e de tecnologias diruptivas como a Internet das Coisas (IoT), abrimos ‘novas portas’ para a ocorrência de novos ataques informáticos”, afirma Bruno Félix.
A tecnologia IoT, em matéria de smart cities, é um elemento-chave pois permite a conexão entre diferentes “coisas” através da internet. “No capítulo da mobilidade, não fugimos à regra e assistimos hoje a um crescimento exponencial, por exemplo, de novas aplicações, novos sistemas de gestão de tráfego, novos sistemas para gestão de parques de forma inteligente, novos sistemas para gestão de transportes, novos sistemas para gestão da energia utilizada em postos de carregamentos, etc.”.
No que respeita ao capítulo da segurança, a IoT é “uma tecnologia vulnerável e passível de ser atacada com repercussões ao nível dos sistemas, dos seus dados e da sua infraestrutura. Os hackers poderão, por exemplo, desligar vários serviços de uma cidade a partir de um único ponto de entrada (uma vez que todos os sistemas, equipamentos e sensores se encontram conectados entre si), ameaçando assim os sistemas essenciais para o normal funcionamento de uma smart city”, assinala o digital&IT director da Volvo.
É neste sentido que a Harvard Business Review apelida as smart cities como “um pesadelo ao nível da cibersegurança”. Contudo, determina Bruno Félix, “se as medidas corretas forem tomadas e existir um forte investimento por parte dos líderes governamentais, gestores urbanísticos e outros stakeholders no sentido de colocarem a cibersegurança como um pilar estratégico do planeamento das suas cidades, as ameaças à segurança poderão ser mantidas em níveis reduzidos”.
Existe atualmente uma mudança de paradigma resultante deste novo mundo digital. “O cibercrime está sustentado num modelo de negócio maduro e muito rentável, e, portanto, com este ‘salto instantâneo’ para a internet por parte do tecido empresarial e das instituições estatais, com alvos mais vulneráveis e expostos, veio estimular (ainda mais) o apetite para o cibercrime”, assinala Bruno Castro. No futuro, prevêem-se mais ciberataques e com maior impacto. “As organizações terão de se preparar previamente para esta nova e incontornável realidade”, conclui.