Olhando para o contexto de pandemia em que nos encontramos, importa realçar, que estes momentos de crise são, tradicionalmente, explorados por atores hostis do ciberespaço para sustentarem as suas campanhas de ciberataques no alarmismo social e na atenção mediática global sobre o tema.
Neste sentido, a atual pandemia associada à propagação da COVID-19 não tem sido exceção, tendo o mesmo sido selecionado por um número elevado de agentes de ciberameaça como oportunidade para as suas campanhas de ciberataques. Adicionalmente, verificamos que a acelerada transição de muitas rotinas para o meio digital, decorrente do confinamento a que fomos forçados, gerou todo um conjunto de ataques visando ou utilizando a imagem de novos setores de atividade como o streaming on-line ou o transporte de encomendas. Salientando o facto de as empresas serem um importante elo no desenvolvimento económico e social, a crescente dependência da tecnologia e do ciberespaço para o seu funcionamento torna-as, também, mais expostas a ameaças e agentes maliciosos, tanto externos como internos. Neste sentido, o CNCS advoga que a proteção das empresas deve seguir uma abordagem holística, presente no plano estratégico da organização e que compreenda as pessoas, os processos e a tecnologia.
Recorde-se que a inexistência de uma cultura de cibersegurança numa organização é muitas vezes a maior fragilidade, criando o ponto de entrada para agentes de ameaça. Por isto mesmo, as empresas devem adotar políticas vocacionadas na sensibilização e formação contínua dos seus recursos humanos, no que diz respeito à utilização segura de equipamentos e infraestruturas, bem como em relação aos comportamentos e atitudes no contexto digital, em especial quando confrontados com situações que possam representar uma ameaça ou um risco para a organização. Também devem ser criadas as bases necessárias para incluir instrumentos de avaliação de risco de cibersegurança nos seus processos de transição digital e, finalmente, devem adotar as melhores práticas nacionais e internacionais nesta matéria, também do ponto de vista tecnológico.
Importa mencionar ainda que, tal como acontece no “mundo físico”, a capacidade humana tanto é capaz de desenvolver e inovar, como de tirar proveito das novas tecnologias para práticas ilícitas e criminais. Desta forma, uma empresa que pretenda melhorar a sua cibersegurança deve pensar em três linhas de ação: (1) apostar na sensibilização e formação dos seus colaboradores; (2) centrar a cibersegurança fora do IT (informática) e numa lógica de risco de negócio; e (3) adotar um referencial normativo (eg. Quadro Nacional de Referência em Cibersegurança) e conduzir análises de risco periódicas. Do ponto de vista do utilizador, é sempre possível melhorar a segurança. Por exemplo, tendo passwords fortes e diferentes para cada plataforma; mantendo o software dos seus dispositivos atualizado; não clicando em links ou anexos suspeitos em emails ou SMS; não partilhando informação pessoal ou sensível nas redes sociais; entre outros aspetos. Quando falamos em plataformas de videoconferência, do ponto de vista da usabilidade são bastante práticas, no entanto, podem apresentar vulnerabilidades, como qualquer peça de software. A título de exemplo, devemos escolher aquelas que permitam a configuração de mecanismos de segurança: as que disponibilizam o uso de uma palavra-passe única e de uma autenticação para entrar numa reunião e não apenas um link; as que fornecem a opção de desfocar o fundo do enquadramento; ou as que permitam impedir a gravação da reunião por parte dos participantes.
Para responder aos desafios ligados à cibersegurança, em matéria de oferta formativa, focada nos comportamentos e atitudes de recursos humanos, paralelamente àquela disponível no mercado, o CNCS também disponibiliza às empresas o Programa de Sensibilização e Treino com recursos formativos dirigidos aos seus colaboradores e ainda os MOOCs (Cursos Abertos Massivos Online) “Cidadão Ciberseguro”, “Cidadão Ciberinformado”, e o último lançamento, feito no dia 30 de novembro denominado “Consumidor Ciberseguro”.
Ao longo deste período que vivemos, o CNCS desenvolveu também várias campanhas de divulgação nas nossas plataformas (site e redes sociais), precisamente com o objetivo de alertar para as recomendações necessárias tendo em conta o contexto da Covid 19, bem como os perigos eminentes durante esta fase em que o teletrabalho se tornou uma prática adotada, e por conseguinte, denota-se uma maior exposição online dos colaboradores e das empresas. Estas campanhas podem ser consultadas em: https://www.cncs.gov.pt/recursos/boas-praticas/ . Adicionalmente, no Twitter do CNCS poderá consultar alertas relativos às campanhas de phishing em curso.