Economia

Empresas portuguesas são vulneráveis a pirataria informática

Há pouco investimento na proteção contra ciberataques, diz estudo publicado pelo Ministério da Economia. Estado devia fazer campanhas de sensibilização e alertar para os perigos da atividade online

As empresas portuguesas estão pouco protegidas em relação a ataques informáticos, conclui um trabalho de investigação, publicado na página de internet do Gabinete de Estratégia e Estudos, do Ministério da Economia.

“Da parte das empresas ainda parece não se verificar uma aposta forte na cibersegurança. Muitas empresas ainda optam pela internalização desta função, por não considerarem uma área prioritária, o que poderá ser explicado pelo facto de o tecido empresarial ser constituído na sua grande maioria por PME [Pequenas e Médias Empresas], com menos capacidade financeira para fazer face às necessidades de uma política de cibersegurança eficaz”, afirma o autor do relatório (agosto de 2018), Gabriel Osório de Barros, acrescentando que “neste sentido, é importante que as políticas públicas possam dar os estímulos adequados para que as empresas invistam nesta área”.

As empresas sabem o valor da informação?

Na sua opinião, em relação ao tecido empresarial “a grande questão é saber se existe estímulo suficiente para que invistam em cibersegurança, isto é, se têm perceção das potenciais perdas financeiras que poderão resultar de ciberataques. Adicionalmente, na ausência de medidas de sensibilização por parte do Estado, o papel de defesa parece estar mais do lado das empresas (e dos cidadãos)”.

Ter noção do valor da informação e da reputação é fundamental para que as empresas decidam “quanto deverão investir na cibersegurança (…) que deve ser considerado como um investimento da imagem da empresa, uma vez que uma empresa segura é mais atrativa não só aos olhos dos clientes mas também dos fornecedores”, considera o economista.

Além disso, “a capacitação dos trabalhadores das empresas nas questões digitais também poderá impedir que ocorram ataques informáticos pelo que é importante ter recursos humanos cada vez mais preparados”.

Osório de Barros lembra que, segundo o World Economic Forum, se estima que “em 2017 tenham ocorrido perdas financeiras a pessoas e empresas de mais de 500 mil milhões de euros em todo o mundo em resultado de ataques informáticos”. Um montante que estará aquém da realidade já que “muitas empresas não comunicam esta informação para evitar dar a conhecer a sua vulnerabilidade e para impedir que tenha um impacto negativo na sua credibilidade e confiabilidade”.

Aliás, a pirataria informática tem estado em destaque na agenda mediática, faz notar o investigador, sobretudo por causa de “ataques como o Wannacry ou o Petya (ambos em 2017). Embora não tenham sido os mais graves, foram os mais mediáticos e deixaram como certa a possibilidade de ocorrerem novos ataques no futuro”.

CUF sofre ataque sem precedentes

Um outro exemplo recente foi o ataque aos sistemas informáticos da rede CUF, da José de Mello Saúde (JMS), que ficaram paralisadas durante vários dias no início de agosto. O funcionamento da rede foi afetado a 3 de agosto por um vírus que bloqueou o sistema informático das clínicas e hospitais CUF, impedindo a marcação e realização de consultas e de exames, bem como o acesso ao portal “My CUF” por parte dos clientes, entre outros problemas. Neste caso, tratou-se do vírus SamSam que atua de forma a bloquear os acessos aos computadores e, regra geral, a seguir ao ataque há um pedido de resgate. O valor exigido à JMS terá sido na ordem dos 10 milhões de euros, montante que o grupo garante não ter pago.

Osório de Barros destaca “a importância de os Governos publicarem ou obrigarem as instituições a publicar informação relativa a ciberataques com base em critérios objetivos” e foca também que é necessário “a adoção de legislação (…) embora, em geral, [esta] demore a produzir efeitos - os processos legislativos tendem a ser mais lentos que a evolução tecnológica”. Além disso, do lado do Estado, o autor considera que falta “uma estratégia e um conjunto de políticas públicas que permitam garantir a cibersegurança, tendo em conta, em particular, a necessidade de cooperação com outros países nesta matéria”.

A sensibilização dos cidadãos para as questões da segurança online é outra das áreas “em que o Estado pode intervir, além da tentativa de identificar e impedir possíveis ciberataques”. Deve ser dada à sociedade “informação sobre as consequências da sua atividade online, ajudando a reduzir vulnerabilidades a ataques”, sustenta o autor.