A pandemia trouxe um aumento do número de incidentes de cibersegurança. O Centro Nacional de Cibersegurança destaca o aumento dos ciberataques, “os quais aproveitaram o período de confinamento para estratégias oportunistas, tornando as organizações e os indivíduos alvos mais prováveis” .
SECURITY MAGAZINE – O mundo atravessa um momento de grande transformação, imposta pela actual pandemia. Ao nível da cibersegurança os dados mais recentes do CNCS apontam para um crescimento de ocorrências em Portugal. Que aprendizagens se retiram dO momento que atravessamos, ao nível da preparação das empresas e profissionais?
CNCS – Durante o período de pandemia verificou-se um aumento no número de incidentes registados por parte do CERT.PT. Esta ocorrência surge em linha com outros dados nacionais e internacionais que mostram o aumento dos ciberataques, os quais aproveitaram o período de confinamento para estratégias oportunistas, tornando as organizações e os indivíduos alvos mais prováveis. Tendo em conta a circunstância em causa, julgamos que as entidades estatais e as empresas souberam responder de forma adequada, sobretudo se considerarmos as necessidades de adaptação muito rápida ao teletrabalho e, por conseguinte, uma maior dependência do digital. Recorde-se que este período serviu também para reforçar a ideia de que a cibersegurança é uma componente fundamental para a estabilidade das organizações.
O lockdown não parou cibercriminosos, os quais têm aproveitado esta situação para concretizar os seus intentos. Como é que o CNCS avalia o grau de complexidade destes ataques, a sua abrangência e o número de ocorrências nos últimos meses?
Nos últimos meses sentiu-se um aumentou do número de ataques, bem como da janela de oportunidade que espontaneamente surgiu para que os ataques ocorram e com sucesso. Contudo, não se observou que o incremento dos ataques esteja directamente relacionado com um aumento na complexidade, ainda que denotemos que alguns incidentes possam ser, naturalmente, mais complexos do que outros. Salientar ainda que observamos uma maior abrangência no que respeita às vítimas destes ataques, podendo esta estar directamente relacionada com o lockdown, contudo, é importante reter que o factor complexidade não tem uma relação directa com o número de ataques.
Face à situação da crise sanitária, de que forma é que o CNCS se adaptou e que medidas tomou para responder e monitorizar eficazmente estes desafios crescentes e garantir uma resposta atempada às empresas nacionais?
Em termos práticos e de execução, o CNCS garantiu a resposta necessária para monitorizar de forma eficaz a resposta à comunidade servida, adaptando-se à prática de trabalho remoto, de forma a garantir a saúde e bem-estar de todos os colaboradores e garantindo todas as medidas de cibersegurança para o efeito. Por outro lado, sentimos a necessidade de apostar fortemente na área de sensibilização, e para isso, promovemos diversas campanhas de alertas, boas práticas, documentos, tendo em conta o contexto em que nos encontramos e a exploração desta oportunidade que houve por parte dos agentes maliciosos nesta fase. Estamos a falar de campanhas que podem ser encontradas nas nossas redes sociais ou no nosso site . Durante este período, e no âmbito do Observatório de Cibersegurança, também foram lançados três boletins que pretendem divulgar os dados, tendências que ajudam a conhecer o estado da cibersegurança em Portugal nos seus vários domínios. E ainda o Relatório Riscos & Conflitos, que apresenta os principais indicadores de riscos e conflitos no âmbito da cibersegurança, tendo em conta actores, incidentes, ameaças e prospectivas, com enfoque no ciberespaço de interesse nacional português, em relação ao ano de 2019, mas também considerando anos anteriores e possíveis desenvolvimentos futuros.
As entidades da administração pública, operadores de infra-estruturas críticas e operadores de serviços essenciais e prestadores de serviços digitais têm registado um aumento do número de incidentes ao longo dos últimos meses?
O número de incidentes registados pelo CERT.PT aumentou com o início do período de confinamento devido à pandemia, em Março, atingindo o seu pico em Abril e diminuindo a partir de Maio, como é possível verificar no Boletim de Julho do Observatório de Cibersegurança do CNCS. Esta situação teve um efeito relativamente generalizado pelos diversos sectores e áreas governativas considerados pelo CERT.PT. Contudo, este efeito não foi sempre uniforme. Por exemplo, o sector da Banca foi mais afectado do que outros, nomeadamente através de campanhas de phishing, não só em termos absolutos como comparando com o ano anterior. Já o sector da distribuição e consumo de água não viu o número de incidentes registados variar significativamente em relação ao ano anterior. Além disso, face aos meses homólogos do ano anterior, alguns sectores e áreas governativas viram em certos meses o número de incidentes registados pelo CERT.PT aumentar e, noutros, diminuir.
A notificação de incidentes por parte destas entidades ao CNCS é obrigatória. Em Portugal, já foram detectadas situações em que esta notificação não foi realizada?
As entidades do sector público e privado devem comunicar sempre que sejam alvos de acções maliciosas decorrentes do ciberespaço. Qualquer empresa/organização ou cidadão pode fazê-lo através do endereço cert@cert.pt . Recorde-se que as notificações de incidentes são obrigatórias nos casos previstos na Lei nº 46/2018, de 13 de Agosto, para entidades e sectores específicos, o que não invalida a notificação voluntária de incidentes por parte das entidades, o que tem acontecido.
Do trabalho desenvolvido pelo CNCS, em Portugal percentualmente quais são os principais alvos de ataque, em termos de sectores de actividade e tipologia de empresas? Quais os principais métodos utilizados por cibercriminosos?
No que diz respeito às tipologias de incidentes que o CNCS teve conhecimento, realçam-se as campanhas de phishing (que aproveitaram a oportunidade da pandemia como contexto). Neste sentido, denota-se um predomínio destas campanhas a entidades bancárias, mas também a empresas de serviços de streaming, ao sector dos transportes de entregas, entre outros. Ainda neste âmbito, destacam-se as campanhas de smishing, onde se percepcionou um incremento de incidentes neste contexto. Também assistimos à divulgação de plataformas digitais ou de aplicações para dispositivos móveis que aparentam divulgar informação em real time sobre a pandemia (e.g. mapas dinâmicos de contágio) mas que procuravam, na realidade, a infecção de equipamentos com malware, inclusive da tipologia ransomware. Ocorreu também um acréscimo de incidentes de compromisso de conta de utilizador que poderão estar associados, por um lado, a esquemas de phishing não percepcionados, e à divulgação pública ou em fóruns privados/especializados de leaks de informação de contas de utilizadores que resultam de exfiltração dessa informação, a partir de sistemas vulneráveis. E por último, salientar ainda os esquemas de fraude digital partilhados por email ou através de redes sociais, que divulgam iniciativas de crowdsourcing para a recolha de donativos para falsas campanhas de compra de material médico ou de protecção pessoal.
As pessoas/colaboradores são frequentemente apontadas como o “elo mais fraco” numa estratégia de cibersegurança de uma empresa. Qual o papel que os CISOs deverão desempenhar nesta matéria?
As pessoas e o seu comportamento enquanto utilizadores de tecnologia são efectivamentemais fáceis de explorar que os sistemas informáticos. Por isso, os CISOs têm um papel fundamental, para compreender e melhorar a cultura da organização (nível de conhecimento e preparação) em termos de cibersegurança;para desenvolver programas de sensibilização em cibersegurança adequados à organização e actuais;para ministrar essa sensibilização e/ou treino e convidar especialistas em determinadas áreas (referências para passar melhor a mensagem). Mas também têm uma forte componente de monitorização dos resultados do programa de sensibilização (através de realização de campanhas internas de phishing, análise dos incidentes de segurança, inquéritos etc.), numa lógica de melhoria contínua, (actualizar os programas para fazer face às novas ameaças, bem como melhorar nas áreas com piores resultados). Um dos principais objectivos desta posição dentro das organizações e empresas passa por que sejam elementos activos, dinamizadores e de referência na organização no âmbito da segurança da informação.
Um ano depois do lançamento do quadro nacional de referência para a cibersegurança e do Webcheck, que avaliação e balanço é possível fazer da utilização destas ferramentas?
Decorrido um ano desde o seu lançamento, o WEBCHECK.PT foi utilizado na validação de mais de 18.000 domínios. Neste período, através do feedback recolhido bem como da avaliação periódica de alguns domínios, constatámos uma melhoria efectiva dos parâmetros de segurança associados às componentes de correio electrónico e de acesso a páginas de internet de variados domínios nacionais, muitos deles no âmbito da Administração Pública e resultantes de um trabalho de divulgação e acompanhamento da utilização da ferramenta junto de diversas entidades. Ainda no decorrer deste ano, e de modo a acompanhar a constante evolução dos standards e boas práticas de segurança a aplicar, serão disponibilizadas validações adicionais bem como novas recomendações técnicas que permitam orientar os elementos responsáveis pela sua implementação.