Os ciberataques são um dos grandes riscos da próxima década, segundo as previsões do Fórum Económico Mundial. Estes crimes fazem cada vez mais parte do panorama digital, com mais notícias de sites barrados por criminosos e bases de dados privadas roubadas. Muitos são descritos como “sofisticados”, com criminosos a usar novas tácticas para explorar vulnerabilidades escondidas nos serviços digitais e manipular serviços críticos.

Promover o medo do digital, porém, não é a solução. Quem o diz é John Graham-Cumming, responsável pela tecnologia da empresa de segurança norte-americana Cloudflare. “Não gosto de alarmismos sobre cibersegurança”, resumiu o responsável pela tecnologia da Cloudflare (CTO), em conversa com o PÚBLICO no começo de Novembro. Especialistas da empresa norte-americana de serviços online participaram em vários painéis sobre cibersegurança na Web Summit.

“Os media e as empresas gostam de promover uma imagem de uma rede de criminosos perigosos de capuz e luvas”, justifica o especialista britânico. “Só que isso não ajuda a resolver os problemas de cibersegurança”, insiste Cumming, que está na Cloudflare há mais de uma década e lidera uma equipa que cresce rapidamente em Portugal. “Quando se tem medo e não se percebe algo, fica-se numa péssima posição porque as pessoas são incapazes de lidar com o medo que têm. Há muita confusão.”

Um equívoco comum, diz, é a ideia de que é preciso mudar constantemente de palavra-passe. “Não é necessário. O que é necessário é garantir que se tem uma palavra-passe diferente para todos os serviços”, nota. “Se for preciso, usem um gestor de palavras-passe.”

Estes serviços ajudam a criar e gerir passwords extensas, complexas e diferentes para cada um dos serviços online que se utiliza. Basta memorizar a palavra-passe do gestor.

Os criminosos não estão a complicar, continua Cumming. Em 2022, dados da Cloudflare mostram que os ataques tipo DDoS (Distributed Denial of Service, na sigla inglesa) estão a crescer. O propósito é sobrecarregar uma rede de computadores com informação de forma a paralisá-la.

“É um ataque rudimentar, mas funciona porque as pessoas usam a Internet para tudo”, nota Cumming. “A verdade é que complicamos o mundo da cibersegurança. É claro que há coisas difíceis, mas as coisas difíceis são da responsabilidade dos profissionais de cibersegurança. Criar medo não ajuda.”

Actualmente, uma das estratégias da empresa é desenvolver um ‘Zero Trust SIM’ (SIM de zero confiança, em português) para ajudar as empresas a proteger a segurança em dispositivos móveis. Trata-se de um cartão virtual que permite proteger cada dispositivo contra ataques de engenharia social (phishing) e vírus. A ideia é que não é possível confiar na rede que dois dispositivos usam para comunicar.

“A rede que se utiliza para comunicar já não é sacrossanta. Em vez de protegermos as redes que utilizamos, é preciso proteger o nosso dispositivo e aquilo a que vamos aceder. Isto é a base do protocolo zero confiança”, resume. “As pessoas têm de perceber que os ciberataques são tão normais como ataques no mundo real. As pessoas não vivem constantemente com medo de roubos no mundo real. Tomam precauções. Confiam menos. Por exemplo, trancam o carro quando os deixam.”

A controvérsia dos Censos

Em 2021, o nome da Cloudflare fez manchetes em Portugal. A empresa de serviços online, criada para agilizar o preenchimento dos Censos, motivou preocupações sobre privacidade, depois de o INE anunciar que ia deixar de trabalhar com a firma norte-americana, em resposta a uma ordem da Comissão Nacional de Protecção de Dados (CNPD). Em causa estava a possibilidade de os dados dos Censos 21 ficarem, temporariamente, em servidores da Cloudflare nos EUA.

Cumming não estranha a controvérsia. “A preocupação era sobre o que acontece aos dados dos cidadãos do país. Não é uma pergunta exclusiva a Portugal. Esta preocupação vê-se em todo o mundo”, explica Cumming. “Foi falta de compreensão e medo sobre aquilo que fazíamos. Nós não estávamos a processar os dados dos censos. Estávamos a proteger o site.”

Cumming acredita que a legislação mais clara, no futuro, deve ajudar empresas a evitarem estes equívocos. Para já, insiste que é preciso equipar as pessoas com mais ferramentas para perceber cibersegurança. “Temos de parar de complicar”, salienta. O primeiro passo? “Ensinar as pessoas a usar sistemas de autenticação a dois passos”, pede. Com esta configuração, além da palavra-passe é preciso introduzir um código adicional (por norma, enviado por telemóvel) para aceder a uma conta online. Algumas empresas, como a Google, já obrigam as pessoas a usar esta configuração. “Se só der para fazer alguma coisa, é preciso garantir que as pessoas protegem o email. Se alguém acede ao nosso email, acede a tudo porque pode mudar as palavras-passe para tudo. Temos de começar por aí.”