O Centro Nacional de Cibersegurança [CNCS] já tinha deixado o alerta em março: a pandemia de COVID-19 é terreno fértil para o cibercrime e há profissionais que, nem um mês depois, se confessam assustados com a dimensão do problema. Estamos mais dependentes do mundo virtual para as nossas rotinas, sejam elas profissionais ou pessoais, e a atividade criminosa explora essas vulnerabilidades.

Henrique Santos, professor do departamento de Sistemas de Informação da Escola de Engenharia da Universidade do Minho, não crê que haja algo verdadeiramente novo nestes ciberataques: “O que está na origem destes ataques é o que está na origem dos ataques habituais. Com o confinamento, estamos todos mais expostos, devido a uma utilização mais intensiva, e o resultado é que se abram mais janelas de oportunidade.”

O professor reconhece a magnitude do aumento, mas diz ao JPN que se trata de uma situação “circunstancial”. “Não diria que haja uma nova tendência, uma tecnologia cujas vulnerabilidades tenham sido descobertas agora, é apenas o facto de as oportunidades terem aumentado bastante”, desdramatiza.

O também investigador do centro Algoritmi e presidente da Associação Portuguesa de Proteção de Dados acredita que, embora faltem estudos quanto aos planos de proteção de que as empresas dispõem, “estamos, de modo geral, bem preparados para lidar com esse tipo de ataques”. E esses ataques exploram vulnerabilidades já existentes: comentando um dos ataques recentes mais mediáticos, à EDP, Henrique Santos diz acreditar que “não tenha sido um ataque intencional dirigido à EDP, até porque a infraestrutura crítica não foi afetada, foi o sistema informático do apoio administrativo. O ataque nasceu da exploração de um conjunto de passwords que foram recolhidas por um terceiro noutro operador, e acabou por ser a EDP, podia ter sido outra empresa qualquer”, acredita.

O problema fulcral, para Henrique Santos, é o da falta de educação e de preparação para fazer face às ameaças que o ciberespaço alberga. E quase sempre é o erro humano que determina o sucesso do ataque: “os alvos cometem erros básicos, como num e-mail desconhecido, abrir anexos, porque estão dentro do contexto profissional, e a mensagem sugere que é alguém de confiança”, exemplifica.

Como pode isto ser contornado? “As organizações devem apelar à preparação das pessoas para este tipo de incidentes, isto baixaria, por si só, parte destes ataques. Uma dimensão que acho fundamental é que organizações como os centros de cibersegurança acompanhem a evolução do cibercrime e alertem outras organizações, empresas, pessoas de uma forma geral, para problemas que vão surgindo. Em Portugal temos o CNCS, mas esse centro por si só não consegue fazer nada, se não houver organizações mais pequenas que, organizadas localmente, estejam ligadas a estes centros, e a informação deve fluir nos dois sentidos: detetar desde cedo anomalias ao nível da utilização, comunicá-las na hierarquia até chegar ao ponto onde se toma uma decisão, e o contrário – reconhecimento de que há novas situações que são uma ameaça e passar essa informação para baixo até chegar a quem está à frente dos sistemas.”

O professor da Universidade do Minho relembra que “todos os equipamentos que compramos têm um potencial de má utilização muito grande” e que “nem todas as pessoas têm uma atividade que exija o mesmo nível de cuidado, nem todas têm o mesmo nível de conhecimento. O equipamento é um, pessoas diferentes vão ter necessidades diferentes e a forma como é utilizado vai ter que ser ajustada. Não vai haver normas ou imposições à engenharia de sistemas no sentido de criar equipamentos diferentes para cada uma das necessidades. Isto vai ter de ser pelo lado da educação.”

E, de facto, Henrique Santos não se cansa de insistir no papel da educação no combate ao cibercrime. “Costumo dizer que um smartphone na mão de um jovem sem qualquer preparação para isso é tão perigoso como um carro nas mãos de quem não sabe conduzir”, diz. Partilha da ideia de que esta temática deveria ter um lugar na formação escolar dos jovens, “como a unidade curricular de Formação Cívica, deve haver aí meia horinha por semana para falar sobre isso”. E sublinha também o papel dos media nesta missão: “Tenho visto notícias a explorar dimensões um pouco imaginativas, que não fazem grande sentido. Se eu fosse repórter, a minha primeira reação a qualquer coisa que é meio desconhecida era explorar, acho que há um papel muito importante da comunicação social no sentido de educar as pessoas.”

O investigador acredita que é necessário adaptarmo-nos à nova realidade, em que a tecnologia ganha cada vez mais peso, “como temos tido de nos adaptar a outros aspetos durante a pandemia”. Prossegue com a analogia, até porque também para isto “não há uma vacina”, e a nossa vida e privacidade serão para sempre transformadas: “O resto da nossa vida vai ser feito neste ambiente tecnológico, é irreversível. A nossa vida vai ser cada vez mais invadida, seja com câmaras de videovigilância, seja com outro tipo de sistemas… Agora fala-se na capacidade de fazer tracking de pessoas por causa do coronavírus. O problema não é imediato, o problema é que ele vai ficar para sempre, não tenham dúvidas. Não se faz o tracking agora e depois ‘agora pode-se desligar isto’, não”, conclui.

Artigo editado por Filipa Silva