O ataque informático de nível global do passado dia 12 trouxe para o topo da actualidade informativa a cibersegurança. Não foi o primeiro desta dimensão e nem terá sido o mais grave. O que o tornou único foi o facto de ser um dos mais mediáticos e da sua evolução ser acompanhada em tempo real. Uma coisa é certa: vão ocorrer mais ataques. E alguns serão provavelmente mais graves. Estão as empresas portuguesas e o Estado português preparados para responder a este tipo de ataques? Têm as ferramentas e as pessoas certas para o fazer? A resposta de empresários do sector da cibersegurança ouvidos pelo PÚBLICO é “não”. Esta opinião não é partilhada pela Polícia Judiciária (PJ) e pelo Centro Nacional de Cibersegurança (CNC). Garantem que o país está “razoavelmente preparado” para responder a este tipo de crime que pode destruir ou causar danos graves a uma empresa, grande ou pequena, em poucos minutos.

Em Portugal não há um registo com números concretos sobre ataques informáticos. Por outro lado, “são muito poucas” as queixas apresentadas, como revelou ao PÚBLICO Rogério Bravo, inspector-chefe na Unidade Nacional de Combate ao Cibercrime e a Criminalidade Tecnológica da PJ (conhecida pela sigla UNC3T). Segundo os empresários ligados à cibersegurança existem “centenas, senão milhares de ataques diários” no nosso país.

Os números internacionais são impressionantes. O ataque do dia 12, causado pelo vírus conhecido como Wannacry, terá atingido milhares de computadores - o jornal New York Times falou em mais de 300 mil - em mais de 150 países. No ano passado, vários relatórios internacionais estimam que tenham existido mais de 1,8 mil milhões de ataques em todo o mundo, que terão causado perdas financeiras a particulares e principalmente a empresas estimadas em mais de 500 mil milhões de euros, cerca de três vezes o Produto Interno Bruto português. A verba só inclui o conjunto dos casos conhecidos, porque muitos deles não chegam às polícias e aos noticiários: as empresas escondem os ataques de que são alvo para não darem conta da sua vulnerabilidade.

Impossível impedir um ataque

Especialistas em cibersegurança assumem ser “impossível impedir ataques informáticos”, mas garantem que existem formas de os prevenir alguns, rotinas de actuação em caso de cada ataque específico e formas de os estudar depois de ocorrerem para melhorar a forma de operar no futuro. Salientam ainda a importância da formação dos trabalhadores para que eles funcionem como uma espécie de primeiro anti-virus face a um eventual ataque. É que basta apenas um trabalhador abrir um email com virus para que toda a empresa possa ser afectada e ficar vulnerável a vários crimes, desde um pedido de resgate para repor o funcionamento do sistema a roubos de informação que pode valer milhões de euros no mercado negro.

Apesar de tudo isto ser do conhecimento geral, são poucas as empresas portuguesas que apostam em ter nas suas organizações gabinetes de cibersegurança, ou contratam empresas para fazerem esse trabalho por si - que monitorizam as empresas 24 horas por dia actuando de imediato em caso de ataque e assim reduzindo os eventuais prejuízos, segundo garantem empresários ligados ao sector. Esse tipo de empresas já abunda hoje em Portugal e com soluções para quase todos os gostos. Há mesmo organizações especializadas na venda de seguros específicos para cobrirem os prejuízos causados por ataques informáticos.

“Não, as empresas portuguesas não estão preparadas para responder aos ataques informáticos. Não vêem esta área como uma prioridade, acham que têm lá umas pessoas no [departamento de] IT [Information and Technology, conhecidos em Portugal como departamentos de Tecnologias de Informação] que resolvem os problemas, quando não estão preparadas para isso. Por outro lado, não vêem a cibersegurança com uma prioridade. Para muitas delas é vista como um custo, quando deveria ser vista como um investimento”, diz Jorge Alcobia, director-geral da Multicert, uma empresa especializada em segurança informática.

Para João Barreto, um dos responsáveis pela S21sec, empresa do Grupo Sonae (ao qual pertence o PÚBLICO) igualmente especializada em cibersegurança, “é impossível qualificar de uma forma geral o grau de preparação das empresas” para responderem a este tipo de ataques. Há, acrescenta, sectores “muito bem preparados”, como a banca - “porque desde sempre foi obrigada por legislação a ter cibersegurança na sua gestão de risco” - ou algumas empresas cotadas em bolsa. “O resto das organizações que não são obrigadas por nenhum regulamento, nacional ou europeu, têm andado a atrasar o mais possível esse investimento”, afirmou.

Jorge Alcobia salienta que em Portugal impera em muitos casos a mentalidade de que estas coisas “só acontecem aos outros”. "Muitos de nós nunca foram assaltados e, no entanto, não deixamos de trancar a porta do carro ou de casa todos os dias”, lembra, porém.

O director-geral da Multicert conta que os grandes grupos hoteleiros portugueses “têm recentemente sido alvo de vários ataques”, muitos deles que chegam através da compra de serviços pela Internet. Contactados pela sua empresa, ignoram a possibilidade de adquirirem um plano que os proteja. “Dizem que o IT chega. Na verdade, estes funcionários pouco mais fazem que responder a queixas dos clientes quando há falhas no Wi-Fi.”

“Somos um país que só agora está a acordar para a segurança da informação”, acrescenta João Barreto, salientando que os custos elevados para comprar um programa de protecção feito por uma grande empresa internacional é muitas vezes a razão apresentada por pequenas e médias empresas para não apostar na cibersegurança.

"Pacotes" de protecção podem chegar aos 10 mil euros

Embora as empresas não revelem os custos dos seus diversos programas de defesa, segundo o PÚBLICO apurou estes podem variar entre os 10 mil euros por mês para uma grande organização e os dois mil euros para uma pequena ou média empresa.

Para Jorge Alcobia, além das empresas, também a Administração Central do Estado “não está igualmente preparada” para responder de forma adequada a um ataque informático. “Tirando as Forças Armadas, que estão atentas ao crime informático, nunca houve uma aposta forte do Estado português em garantir a segurança dos seus dados.”

Esta opinião não é partilhada pelo coordenador do Centro Nacional de Cibersegurança, Pedro Veiga, que garante que “a Administração Central, as empresas e as pessoas em geral em Portugal estão razoavelmente preparadas”. “Claro que se pode e deve melhorar a segurança, há sempre muito a fazer. No ataque do dia 12, Portugal foi dos países menos afectados, embora isso também possa um pouco ter ficado a dever-se ao facto de nesse dia a função pública ter tido tolerância de ponto.”

Já Rogério Bravo, da PJ, diz que Portugal “tem as ferramentas necessárias para o combate ao crime informático”, nomeadamente “ao nível legislativo”. Salienta, porém, que falta “haver mais colaboração entre os privados e as polícias” para combater este tipo de crimes.

“Não interessa existirem apenas organizações do Estado envolvidas no combate ao crime informático se os privados não colaborarem e cumprirem a sua parte legal. É extremamente difícil conseguir a segurança da informação em Portugal”, acrescentou.

Crime organizado

Esta falta de colaboração é visível nas poucas queixas que chegam às autoridades sobre este tipo de crimes. Por exemplo, no dia 12 foram atacadas dezenas de empresas portuguesas, mas apenas uma queixa chegou à PJ, feita pelo Instituto de Gestão Financeira e Equipamentos da Justiça, responsável pela gestão do sistema informático dos tribunais.

Pedro Veiga atribui o reduzido número de queixas a dois factos: por um lado, por vezes as entidades ou os particulares não apresentam queixa de imediato porque “primeiro querem resolver os problemas e só mais tarde vão à polícia”. Por outro lado, muitas empresas não o fazem “porque entendem que o facto de tornarem público terem sido alvo de um ataque fragiliza a sua imagem”.

Para o coordenador do CNC, é também “necessário relativizar os números que são apresentados a nível internacional” sobre ataques informáticos, porque “muitas vezes são feitos com base em estatísticas falíveis” ou “empolados por empresas de cibersegurança para melhor venderem os seus produtos”.

Pedro Veiga tem uma certeza: “O cibercrime é hoje levado a cabo pelo crime organizado. É uma indústria, envolve muito dinheiro e onde há dinheiro há criminosos.”

