Com milhares de pessoas a trabalhar de casa pela primeira vez, algumas sem hipótese de sair, torna-se fácil clicar no sítio errado. Especialmente quando se usa um só aparelho para trabalhar, ir às compras, ver filmes, falar com os amigos e procurar informação sobre o novo coronavírus. Basta um cibercriminoso infiltrar-se num aparelho para conseguir infectar a rede — de casa ou do trabalho.

Muitas vezes, os ataques circulam disfarçados de avisos sobre a covid-19 em emails, sites e SMS falsos. O alerta é repetido pela Europol, pelo Fórum Económico Mundial, pelo Centro Nacional de Cibersegurança, pela Polícia Judiciária e por profissionais de cibersegurança em todo o mundo.

“Mudámo-nos quase todos para o sector digital, e mudámo-nos todos muito rapidamente. Escolas, universidades, empresas… E isto leva a que o cibercrime tenha mais oportunidade de entrada”, explica ao PÚBLICO o coronel João Barbas, investigador no Instituto de Defesa Nacional.

“Há uma dependência muito maior da Internet, e embora algumas instituições já estejam preparadas com trabalhadores habituados a viajar e a aceder à empresa remotamente, há muitas que não estão.” Nestes casos, acrescenta, “basta que um tenha um comportamento desadequado para toda a equipa ficar comprometida.”

Os ataques mais populares são também os mais simples: esquemas de phishing, ou outras formas de engenharia social, em que os atacantes se fazem passar por entidades oficiais (como a Organização Mundial da Saúde, a Unicef, ou governos de vários países) para levar as pessoas a descarregar vírus ou a partilharem as suas credenciais em sites falsos.

Os objectivos incluem roubar informação (para vender no mercado negro, ou subornar empresas) e impedir o acesso a serviços críticos em troca de resgates. Em média, um ataque bem-sucedido pode custar até 3,86 milhões de dólares (3,46 milhões de euros) a uma empresa, de acordo com um relatório de 2018 da IBM.

“A pandemia está a originar o maior volume de ataques que já vimos de uma só vez”, diz ao PÚBLICO Mark Rogers, um dos fundadores da CTI League, um grupo de 700 profissionais de cibersegurança de mais de 40 países, incluindo de Portugal, que se juntaram este mês para partilhar informação sobre os ataques. “Toda a gente e qualquer empresa são alvos. As pessoas estão mais vulneráveis em épocas de incerteza.”

O grande foco da CTI League, que inclui profissionais de empresas como a Amazon e a Microsoft, é evitar ataques que se alastrem a redes de comunicação, serviços críticos e hospitais. Em Portugal, já há relatos de tentativas para obter dados de clientes de múltiplos bancos e da EDP feitos pelo Gabinete Cibercrime da Procuradoria-Geral da República. Em Espanha, as autoridades alertam que criminosos estão a enviar milhares de emails e SMS falsos para tentar obter credenciais de acesso aos serviços de saúde nacionais. Na República Checa, o cibercrime já levou um hospital em Brno a adiar intervenções cirúrgicas urgentes e a atrasar resultados de exames.

“O risco para as empresas e organizações é maior porque não houve muito tempo para preparar as pessoas. Basicamente, levaram-se computadores de um ambiente protegido para um ambiente desprotegido”, diz ao PÚBLICO Jorge Alcobia, director executivo da empresa de segurança informática Multicert. “Em casa, não há redes protegidas. Os miúdos ligam-se ao computador, ao portátil, a qualquer coisa, e não é feita qualquer monitorização.”

Jogo de números

Em 2020, o número de sites registados com nomes associados a “coronavírus” aumentou mais de 68 mil vezes, de acordo com a DomainTools, uma empresa que monitoriza a segurança dos domínios online. Nos primeiros 22 dias de Março, o número de domínios registados com palavras-chave associadas à pandemia subiram de 3000 para 53 mil. Nem todos têm fins honestos.

“Um banco com milhares de funcionários a trabalhar de casa vai ter funcionários a aceder a várias aplicações em simultâneo e os sistemas de segurança não vão conseguir filtrar tudo”, explica Jorge Alcobia. “As pessoas estão preocupadas e estão a carregar em tudo o que diga covid-19. Um telemóvel ‘infectado’ pode roubar credenciais e ter acesso à rede de wi-fi e daí ter acesso ao computador que alguém usa para se ligar à rede de trabalho.”

O ideal seria que que as pessoas tivessem dois aparelhos distintos: um para o emprego (onde usam uma rede virtual privada para se ligarem aos sistemas em que trabalham), outro para o resto (compras, contas a pagar, lazer, comunicações pessoais), e que as empresas recorram a centros de operações de segurança que monitorizam a actividade na rede. É o que tem acontecido em muitas universidades, bancos e infra-estruturas críticas. 

A EDP, por exemplo, explica ao PÚBLICO que mantém as equipas de monitorização nos seus Centros de Operações de Segurança, disponíveis 24 horas por dia, “para fazer face a um aumento do nível de ameaça associado a este cenário de pandemia”, e que a “a política de cibersegurança do Grupo EDP faz uma distinção clara entre as redes corporativas e as redes onde estão instalados os sistemas que gerem as infra-estruturas críticas, havendo uma separação física e lógica entre si”.

“Monitorizar a rede permite ver que um utilizador está a descarregar quantidades industriais de documentos da empresa. E isto é sinal de alarme”, explica Alcobia. 

Mas nem sempre isto é possível, especialmente para empresas mais pequenas. “Se não há investimento acrescido, é preciso aceitar um risco acrescido”, resume ao PÚBLICO Manuel Eduardo Correia, responsável pelo mestrado em Segurança Informática da Universidade do Porto (um dos primeiros a ser criados em Portugal), notando que “faltam recursos profissionais em Portugal na área de cibersegurança” e que muitos profissionais de informática estão já sobrecarregados.

Na falta de equipamentos adicionais, Correia recomenda optar pelo acesso remoto. As opções incluem aceder remotamente a um ambiente de trabalho de outro aparelho (RDP, ou Remote Desktop Protocol), ou optar por uma rede virtual privada (VPN, ou Virtual Private Network). 

Faltam hábitos de ciber-higiene

Estas não são, contudo, soluções perfeitas. “Uma VPN empresarial tem camadas adicionais de segurança à entrada e à saída da rede que permitem que exista uma ligação com uma credencial segura. Só que nem todas as VPN são iguais”, realça Jorge Alcobia da Multicert. “Descarregar e ligar uma VPN qualquer que promete ser grátis, para aceder a sites que estão bloqueados num determinado país, pode ser pior do que não fazer nada. É preciso saber quem gere a VPN.”

Além disso, deve usar-se correctamente uma rede privada para trabalho, saindo da rede quando se acaba o turno. “O problema é que não existiu tempo de preparar. Foi uma corrida ao equipamento electrónico e não se conseguiu investir na formação”, explica o professor Manuel Correia.

O Centro Nacional de Cibersegurança tem realizado algumas sessões online sobre boas práticas para empresas. As sugestões, a que o PÚBLICO teve acesso, incluem dar formação virtual (por exemplo, em sessões de videoconferência), definir responsáveis de informática que façam uma monitorização dos acessos na rede, fazer backups (quando possível, em computadores desconectados da Internet), obrigar à renovação regular de palavras-passe e criar sistemas para barrar o acesso quando um utilizador não introduz as credenciais correctas.

O Fórum Económico Mundial também recomenda que o currículo dos mais novos passe a incluir lições sobre cibersegurança.

Acessibilidade ou segurança?

Outra recomendação feita por vários profissionais é optar por uma estratégia zero trust (literalmente, confiança zero) em que os sistemas de segurança assumem que os atacantes podem vir de dentro e de fora da empresa e em que não existem utilizadores com acesso automático.

“Se alguém só vai usar o email, só precisa de ter acesso ao email. Só que isto não está a acontecer porque vários profissionais de segurança estão a receber pedidos para relaxar o acesso”, partilha com o PÚBLICO Nicola Whiting, responsável de estratégia da Titania, que fornecesse serviços de cibersegurança com operações em 95 países. “Não é anómalo que a cibersegurança deixe de ser uma prioridade”, reconhece Whiting. “As equipas de informática estão focadas em garantir que os sistemas das empresas se mantêm operacionais e todos conseguem aceder, porque é isso que as chefias querem”, sublinha.

Whiting reconhece que “não é fácil fazer investimento com base em hipóteses”. Pode levar meses até se perceber o impacto da mudança de regime de trabalho na cibersegurança. Segundo o relatório de 2019 da IBM sobre o custo de roubo de dados informáticos, em média, uma empresa demora 279 dias (nove meses) a detectar um lapso de segurança. O tempo actual pode ser maior.

Para Manuel Eduardo Correia, no entanto, a pandemia pode ser um ponto de viragem. “Quando a crise terminar, o teletrabalho vai continuar a ser relevante porque as empresas vão ver que pode funcionar. Isto vai obrigar a que se pense, com calma, em soluções de cibersegurança que já não estão associadas a um local físico”, diz o professor. “Vai dar-se mais valor e a segurança vai passar a ser vista como um serviço na rede.”