"Cibersegurança" é, fundamentalmente, a prática de proteger os dados, dispositivos e sistemas contra ataques cibernéticos. Num mundo cada vez mais interligado, onde grande parte das nossas vidas tem lugar no meio digital, a cibersegurança é fundamental para garantir a segurança de informações pessoais, financeiras e corporativas, portanto, a compreensão sobre aquilo que é hoje uma parte central da vida das pessoas e empresas é crucial.
Hoje em dia, não existe actividade empresarial que não tenha um certo grau de dependência da tecnologia e da digitalização dos negócios. Contudo, as PMEs que ainda não incorporaram nos seus processos a digitalização estão condenadas a desaparecer perante a concorrência ou a serem engolidas por empresas maiores e de escala mais global. E se as PMEs estão no campo digital estão, necessariamente, sujeitas a ameaças digitais que - pela escala - podem ser proporcionalmente mais graves ou até mais fatais do que os efeitos de um ataque cibernético contra uma grande empresa.
Paradoxalmente, quanto menor a empresa, maior será o risco de um ataque criar danos irreparáveis ou levar, mesmo, à sua destruição: Um ataque que encripte todos os ficheiros de uma rede, de um ou dois servidores, que tornem inacessível durante dias ou semanas ou que leve, mesmo, à perda total dos contactos de clientes e fornecedores pode ser absorvido por uma grande empresa mas não por uma PME que, frequentemente, funciona no limite dos seus recursos, que não investe em sistemas de cibersegurança ou de backups e que depende muitas vezes de departamentos de TI "informais" ou do auxílio pontual de familiares e amigos para ultrapassar crises tecnológicas. Uma grande empresa numa crise cibernética pode sempre desviar recursos e recuperar da crise. Uma PME não tem esse tipo de "gordura" ou reservas para desviar.
Além dos impactos na operação, um ataque cibernético também tem riscos reputacionais que no caso de uma PME podem também ser fatais: uma grande empresa pode lançar uma campanha de publicidade onde recupera a confiança dos seus clientes e parceiros mas uma PME tem essa capacidade se estiver ainda a recuperar de um ataque que destruiu a sua operação? Como tornar a ganhar a confiança se os dados dos seus clientes e fornecedores foram exfiltrados para a darkweb e se estão agora a ser vendidos a cibercriminosos? Como garantir que um desses clientes não processe a PME que já foi vítima desses criminosos por não ter tido sistemas suficientemente robustos que impediram o acesso e divulgação do nome, NIF, morada, dados financeiros dos seus clientes e os tornaram acessíveis a criminosos de todo o mundo? Actualmente há dados de mais de cinco milhões de portugueses (produto das várias exfiltrações a sistemas da Meta e do Linkedin) à venda: não queira ser a fonte dessas exfiltrações.
Porque é que a cibersegurança é tão importante para as PMEs?
1. Em primeiro lugar, as PMEs têm recursos limitados e, consequentemente, não podem realizar investimentos pesados na segurança da informação. Sabedores disto, muitos criminosos focam a sua actividade nas empresas de menores dimensões: sabem que é aqui que encontram organizações que, por vezes, nem os serviços mais básicos têm (antivírus, formação, backups, suporte de TI, etc.). Uma PME que seja ameaçada com a encriptação dos seus ficheiros, se não tiver um backup e que não possa funcionar sem recuperar o acesso a estes dados estará mais receptiva a pagar um resgate ou a ceder a uma ameaça - muitas vezes sem fundamento - de destruição da sua rede. Isto torna-as num alvo apetecível para alguns cibercriminosos.
2. Em segundo lugar, um ataque cibernético pode resultar em perdas financeiras significativas, devido a roubo de dados, interrupção dos negócios e custos de recuperação. Estes custos podem simplesmente não serem financeiramente suportáveis pela organização e, consequentemente, podem levar ao seu desaparecimento.
3. Uma PME é, em larga medida, o seu nome e a confiança que este conquistou junto dos seus clientes e fornecedores. Se o seu nome surgir à superfície nas redes sociais, nos Media ou entre amigos e clientes como tendo sido alvo de ataque cibernético isso trará danos irreparáveis à reputação da empresa, afectando a confiança dos clientes e parceiros de negócios.
4. As PMEs apesar da sua dimensão económica não estão isentas de aderirem e cumprirem as regulamentações que exigem a protecção de dados pessoais designadamente aquelas que decorrem do Regulamento Geral de Protecção de Dados (RGPD).
Riscos de cibersegurança específicos para as PMEs:
1. Os ataques direccionados são raros contra as PMEs porque a sua superfície de ataque é diminuta: menos servidores, menos utilizadores e sistemas menos complexos que os das grandes organizações tornam pouco razoável que criminosos invistam tempo e dinheiro a preparar campanhas contra pequenas organizações. Isto significa que os ataques contra as PMEs são ataques generalizados, realizados em grande escala e com baixos níveis de personalização e, consequentemente, com menor taxa de sucesso do que os realizados contra as grandes organizações. Isto não significa, contudo, uma redução de risco porque como possuem menor formação e menos (ou inexistentes) sistemas de filtro e de prevenção de ransomware acabam por receber tantas ou ainda mais ameaças do que as grandes organizações.
2. As PMEs não são - frequentemente - alvo de operações de Engenharia Social direccionada em que alguém se faz passar por alguém do sector bancário que é conhecido pela organização ou pelo CEO: simplesmente as PMEs não têm escala para que o CEO não conheça pessoalmente todos os colaboradores e, consequentemente, são menos sujeitas a "Spear Phishing" (ataques direccionados). Mas há outras técnicas de Engenharia Social que são eficazes e que não exigem o uso de nomes ("spoof") de parceiros do negócio.
2a) Os colaboradores das PMEs recebem, todos os dias, emails falsos de fontes aparentemente confiáveis (fornecedores, bancos, ou até mesmo dentro da própria empresa): a intenção é que a vítima abra links maliciosos, faça o download de anexos perigosos ou forneça informações sensíveis sobre a empresa.
2b) O criminoso pode usar Vishing (Voice Phishing) em chamadas telefónicas para se fazer passar por um fornecedor ou técnico de suporte ("tech support scam"), pedindo informações confidenciais ou induzindo acções como transferências bancárias ou alterações de passwords.
2c) Uma técnica antiga e pouco frequente em PMEs é o "Baiting" um método que envolve o uso de iscas, tais como pendrives infectadas e deixados em áreas comuns da empresa. Quando o funcionário usa o dispositivo ou clica num link, o malware é instalado no sistema da empresa.
2d) Um golpe comum contra grandes organizações é conhecido como "Pretexting" em que o criminoso cria um cenário falso de uma auditoria para enganar uma vítima a entregar informações ou realizar uma acção. Por exemplo, pode fazer-se passar por um auditor, uma autoridade policial ou por um técnico de TI de uma empresa parceira ou até dos serviços internos, alegando uma emergência que requer acesso imediato a dados confidenciais.
2e) No "Dumpster Diving": O criminoso vasculha o lixo da empresa à procura de informações confidenciais descartadas de maneira inadequada, como documentos financeiros, listas de clientes, ou anotações de senhas.
Medidas de Prevenção:
1. A primeira linha de defesa em cibersegurança são, sempre, as pessoas. É vital treinar, educar e premiar bons comportamentos e atitudes em cibersegurança por parte dos colaboradores da organização. Realize acções de formação regulares, ajude as suas pessoas a reconhecerem as várias técnicas de engenharia social, spoofing e phishing.
2. Desenhe, implemente e comunique procedimentos de comunicação de anomalias, activos 24/24 horas e determine fluxos de aprovação redundantes, fiáveis e com múltiplas aprovações sempre que existir um fluxo financeiro.
3. Implemente sistemas fortes de verificação da identidade dos seus colaboradores: Se usar Microsoft 365 saiba que este tem actualmente a autenticação por múltiplo factor. Invista num licenciamento um pouco mais avançado para ter acessos bloqueados a determinadas origens geográficas, bloqueios automáticos por perfis e acessos de risco e outras funcionalidades que podem determinar que equipamentos, exactamente, têm acesso ao seu Microsoft 365. Outros fabricantes oferecem funcionalidades idênticas.
4. Invista em sistemas de alerta e monitorização de rede para detectar actividades suspeitas e alertar imediatamente a equipa de reacção a incidentes.
5. Não descarte documentos sensíveis sem os destruir previamente. Estes documentos são alvos atraentes para cibercriminosos devido à presença de informação tais como nomes de colaboradores e parceiros, listas de empresas fornecedoras e clientes que depois podem ser usados em operações de "spoofing".
6. Não confie que está seguro se não tem nenhum antivirus (MacOS) ou se usa apenas o antivírus do Windows ou um outro produto gratuito: invista num bom antivírus. Atenção que a recomendação muda todos os anos porque se trata de um mercado muito competitivo e os concorrentes estão sempre a adaptar-se. Consulte um site como o https://www.techradar.com/ que actualiza a lista das suas recomendações todos os anos.
7. Não use sistemas operativos antigos: mantenha sempre as suas máquinas atualizadas e com todos os updates. Faça o mesmo com os browsers sejam eles Chrome, Safari ou Firefox. Se puder, prefira sistemas operativos menos usados e, consequentemente, menos preferidos pelos cibercriminosos: Esta linhas, p.ex., estão a ser escritas num Chromebook...
8. Use VPNs e computadores corporativos com permissões locais de administração apenas para a equipa de TI: os utilizadores (mesmo o CEO) não devem ter permissões locais de administração as quais são exigidas por muitas intrusões como forma de garantir permanência após a infecção de um equipamento.
9. Se ainda não o tiver elaborado, financie e teste a recuperação de desastres e backup de dados: Frequentemente, em caso de grandes ataques por ransomware ou em caso de catástrofes humanas ou naturais são a única forma de garantir a continuidade do seu negócio.
Soluções de Cibersegurança Personalizadas para PMEs:
As necessidades e recursos ao alcance de uma PME não são as mesmas que estão disponíveis às grandes empresas: Seja realista e procure no mercado parceiros com produtos ajustados às suas possibilidades, avalie a escala e o risco de perda de operação e dedique à cibersegurança uma parcela significativa do seu orçamento. Recentemente fiz uma análise aos contratos públicos das autarquias portuguesas: para além de antivírus comerciais (o mínimo absoluto que deve ter) praticamente não encontrei estes serviços, para além de alguns raros investimentos em soluções de backup: não siga este exemplo e invista seguindo a seguinte grelha:
Hoje em dia, não existe actividade empresarial que não tenha um certo grau de dependência da tecnologia e da digitalização dos negócios. Contudo, as PMEs que ainda não incorporaram nos seus processos a digitalização estão condenadas a desaparecer perante a concorrência ou a serem engolidas por empresas maiores e de escala mais global. E se as PMEs estão no campo digital estão, necessariamente, sujeitas a ameaças digitais que - pela escala - podem ser proporcionalmente mais graves ou até mais fatais do que os efeitos de um ataque cibernético contra uma grande empresa.
Paradoxalmente, quanto menor a empresa, maior será o risco de um ataque criar danos irreparáveis ou levar, mesmo, à sua destruição: Um ataque que encripte todos os ficheiros de uma rede, de um ou dois servidores, que tornem inacessível durante dias ou semanas ou que leve, mesmo, à perda total dos contactos de clientes e fornecedores pode ser absorvido por uma grande empresa mas não por uma PME que, frequentemente, funciona no limite dos seus recursos, que não investe em sistemas de cibersegurança ou de backups e que depende muitas vezes de departamentos de TI "informais" ou do auxílio pontual de familiares e amigos para ultrapassar crises tecnológicas. Uma grande empresa numa crise cibernética pode sempre desviar recursos e recuperar da crise. Uma PME não tem esse tipo de "gordura" ou reservas para desviar.
Além dos impactos na operação, um ataque cibernético também tem riscos reputacionais que no caso de uma PME podem também ser fatais: uma grande empresa pode lançar uma campanha de publicidade onde recupera a confiança dos seus clientes e parceiros mas uma PME tem essa capacidade se estiver ainda a recuperar de um ataque que destruiu a sua operação? Como tornar a ganhar a confiança se os dados dos seus clientes e fornecedores foram exfiltrados para a darkweb e se estão agora a ser vendidos a cibercriminosos? Como garantir que um desses clientes não processe a PME que já foi vítima desses criminosos por não ter tido sistemas suficientemente robustos que impediram o acesso e divulgação do nome, NIF, morada, dados financeiros dos seus clientes e os tornaram acessíveis a criminosos de todo o mundo? Actualmente há dados de mais de cinco milhões de portugueses (produto das várias exfiltrações a sistemas da Meta e do Linkedin) à venda: não queira ser a fonte dessas exfiltrações.
Porque é que a cibersegurança é tão importante para as PMEs?
1. Em primeiro lugar, as PMEs têm recursos limitados e, consequentemente, não podem realizar investimentos pesados na segurança da informação. Sabedores disto, muitos criminosos focam a sua actividade nas empresas de menores dimensões: sabem que é aqui que encontram organizações que, por vezes, nem os serviços mais básicos têm (antivírus, formação, backups, suporte de TI, etc.). Uma PME que seja ameaçada com a encriptação dos seus ficheiros, se não tiver um backup e que não possa funcionar sem recuperar o acesso a estes dados estará mais receptiva a pagar um resgate ou a ceder a uma ameaça - muitas vezes sem fundamento - de destruição da sua rede. Isto torna-as num alvo apetecível para alguns cibercriminosos.
2. Em segundo lugar, um ataque cibernético pode resultar em perdas financeiras significativas, devido a roubo de dados, interrupção dos negócios e custos de recuperação. Estes custos podem simplesmente não serem financeiramente suportáveis pela organização e, consequentemente, podem levar ao seu desaparecimento.
3. Uma PME é, em larga medida, o seu nome e a confiança que este conquistou junto dos seus clientes e fornecedores. Se o seu nome surgir à superfície nas redes sociais, nos Media ou entre amigos e clientes como tendo sido alvo de ataque cibernético isso trará danos irreparáveis à reputação da empresa, afectando a confiança dos clientes e parceiros de negócios.
4. As PMEs apesar da sua dimensão económica não estão isentas de aderirem e cumprirem as regulamentações que exigem a protecção de dados pessoais designadamente aquelas que decorrem do Regulamento Geral de Protecção de Dados (RGPD).
Riscos de cibersegurança específicos para as PMEs:
1. Os ataques direccionados são raros contra as PMEs porque a sua superfície de ataque é diminuta: menos servidores, menos utilizadores e sistemas menos complexos que os das grandes organizações tornam pouco razoável que criminosos invistam tempo e dinheiro a preparar campanhas contra pequenas organizações. Isto significa que os ataques contra as PMEs são ataques generalizados, realizados em grande escala e com baixos níveis de personalização e, consequentemente, com menor taxa de sucesso do que os realizados contra as grandes organizações. Isto não significa, contudo, uma redução de risco porque como possuem menor formação e menos (ou inexistentes) sistemas de filtro e de prevenção de ransomware acabam por receber tantas ou ainda mais ameaças do que as grandes organizações.
2. As PMEs não são - frequentemente - alvo de operações de Engenharia Social direccionada em que alguém se faz passar por alguém do sector bancário que é conhecido pela organização ou pelo CEO: simplesmente as PMEs não têm escala para que o CEO não conheça pessoalmente todos os colaboradores e, consequentemente, são menos sujeitas a "Spear Phishing" (ataques direccionados). Mas há outras técnicas de Engenharia Social que são eficazes e que não exigem o uso de nomes ("spoof") de parceiros do negócio.
2a) Os colaboradores das PMEs recebem, todos os dias, emails falsos de fontes aparentemente confiáveis (fornecedores, bancos, ou até mesmo dentro da própria empresa): a intenção é que a vítima abra links maliciosos, faça o download de anexos perigosos ou forneça informações sensíveis sobre a empresa.
2b) O criminoso pode usar Vishing (Voice Phishing) em chamadas telefónicas para se fazer passar por um fornecedor ou técnico de suporte ("tech support scam"), pedindo informações confidenciais ou induzindo acções como transferências bancárias ou alterações de passwords.
2c) Uma técnica antiga e pouco frequente em PMEs é o "Baiting" um método que envolve o uso de iscas, tais como pendrives infectadas e deixados em áreas comuns da empresa. Quando o funcionário usa o dispositivo ou clica num link, o malware é instalado no sistema da empresa.
2d) Um golpe comum contra grandes organizações é conhecido como "Pretexting" em que o criminoso cria um cenário falso de uma auditoria para enganar uma vítima a entregar informações ou realizar uma acção. Por exemplo, pode fazer-se passar por um auditor, uma autoridade policial ou por um técnico de TI de uma empresa parceira ou até dos serviços internos, alegando uma emergência que requer acesso imediato a dados confidenciais.
2e) No "Dumpster Diving": O criminoso vasculha o lixo da empresa à procura de informações confidenciais descartadas de maneira inadequada, como documentos financeiros, listas de clientes, ou anotações de senhas.
Medidas de Prevenção:
1. A primeira linha de defesa em cibersegurança são, sempre, as pessoas. É vital treinar, educar e premiar bons comportamentos e atitudes em cibersegurança por parte dos colaboradores da organização. Realize acções de formação regulares, ajude as suas pessoas a reconhecerem as várias técnicas de engenharia social, spoofing e phishing.
2. Desenhe, implemente e comunique procedimentos de comunicação de anomalias, activos 24/24 horas e determine fluxos de aprovação redundantes, fiáveis e com múltiplas aprovações sempre que existir um fluxo financeiro.
3. Implemente sistemas fortes de verificação da identidade dos seus colaboradores: Se usar Microsoft 365 saiba que este tem actualmente a autenticação por múltiplo factor. Invista num licenciamento um pouco mais avançado para ter acessos bloqueados a determinadas origens geográficas, bloqueios automáticos por perfis e acessos de risco e outras funcionalidades que podem determinar que equipamentos, exactamente, têm acesso ao seu Microsoft 365. Outros fabricantes oferecem funcionalidades idênticas.
4. Invista em sistemas de alerta e monitorização de rede para detectar actividades suspeitas e alertar imediatamente a equipa de reacção a incidentes.
5. Não descarte documentos sensíveis sem os destruir previamente. Estes documentos são alvos atraentes para cibercriminosos devido à presença de informação tais como nomes de colaboradores e parceiros, listas de empresas fornecedoras e clientes que depois podem ser usados em operações de "spoofing".
6. Não confie que está seguro se não tem nenhum antivirus (MacOS) ou se usa apenas o antivírus do Windows ou um outro produto gratuito: invista num bom antivírus. Atenção que a recomendação muda todos os anos porque se trata de um mercado muito competitivo e os concorrentes estão sempre a adaptar-se. Consulte um site como o https://www.techradar.com/ que actualiza a lista das suas recomendações todos os anos.
7. Não use sistemas operativos antigos: mantenha sempre as suas máquinas atualizadas e com todos os updates. Faça o mesmo com os browsers sejam eles Chrome, Safari ou Firefox. Se puder, prefira sistemas operativos menos usados e, consequentemente, menos preferidos pelos cibercriminosos: Esta linhas, p.ex., estão a ser escritas num Chromebook...
8. Use VPNs e computadores corporativos com permissões locais de administração apenas para a equipa de TI: os utilizadores (mesmo o CEO) não devem ter permissões locais de administração as quais são exigidas por muitas intrusões como forma de garantir permanência após a infecção de um equipamento.
9. Se ainda não o tiver elaborado, financie e teste a recuperação de desastres e backup de dados: Frequentemente, em caso de grandes ataques por ransomware ou em caso de catástrofes humanas ou naturais são a única forma de garantir a continuidade do seu negócio.
Soluções de Cibersegurança Personalizadas para PMEs:
As necessidades e recursos ao alcance de uma PME não são as mesmas que estão disponíveis às grandes empresas: Seja realista e procure no mercado parceiros com produtos ajustados às suas possibilidades, avalie a escala e o risco de perda de operação e dedique à cibersegurança uma parcela significativa do seu orçamento. Recentemente fiz uma análise aos contratos públicos das autarquias portuguesas: para além de antivírus comerciais (o mínimo absoluto que deve ter) praticamente não encontrei estes serviços, para além de alguns raros investimentos em soluções de backup: não siga este exemplo e invista seguindo a seguinte grelha:
- Sector: PMEs em setores altamente regulados, como financeiro, saúde, ou tecnologia, podem precisar de dedicar uma percentagem maior, talvez entre 10% e 20% do orçamento de TI, devido às exigências de conformidade e ao risco elevado de ataques.
- Dimensão: Empresas menores, com orçamentos de TI mais limitados, podem começar com uma percentagem menor (por exemplo, 5% a 10%) e aumentá-la conforme a empresa cresce e a necessidade de protecção se torna mais complexa.
- Risco: Se a empresa já sofreu ataques ou possui dados particularmente sensíveis (como dados pessoais de clientes), pode ser prudente destinar uma parte maior do orçamento de TI para cibersegurança: superior a 15% do seu orçamento total de TI.
- Infraestrutura de TI: Empresas com infraestrutura de TI mais antiga ou desactualizada podem precisar investir mais inicialmente para actualizar sistemas e implementar medidas de segurança adequadas. Considere valores superiores s 15% sobretudo devido ao custo da actualização de sistemas obsoletos.
Em todo este processo de aumento da sua capacidade de defesa e resiliência em cibersegurança realize também, e em cada passo, uma comparação de soluções on-premises vs. cloud-based: comparando riscos, custos (atenção aos custos ocultos) e benefícios (p.ex. na rapidez de recuperação de um servidor atacado por ransomware).
Conclusão:
A cibersegurança é essencial para a sobrevivência e o crescimento das PMEs, protegendo não apenas os dados da empresa, mas também a confiança dos clientes e parceiros de negócios.
Implementar políticas robustas de segurança, treinar os colaboradores regularmente e investir em ferramentas de protecção são práticas fundamentais que devem ser continuamente reforçadas.
Avalie o seu actual nível de segurança, crie um plano de acção específico e considere a contratação de especialistas em cibersegurança (internos ou em outsourcing) por forma a garantir que a sua empresa está adequadamente protegida contra ameaças emergentes.
E, sobretudo, recorde-se deste mantra:
Não é uma questão de saber se ou não seremos atacados: É uma questão de saber se quando formos atacados se estamos preparados para resistir e qual será a escala do ataque.
