Os ciberataques sofridos pelas empresas portuguesas estão na ordem do dia e têm sucedido em crescendo, com impactos bem visíveis.
Em primeiro lugar, a companhia aérea portuguesa (TAP) foi vítima de um ataque informático de grande escala levado a cabo pelo grupo Ragnar Locker. Os hackers anunciaram, no dia 20 de setembro, a partilha na deep web das informações de 1,5 milhões de clientes da empresa. Entre os clientes da TAP afetados por este ataque, esteve o Presidente da República, o Primeiro-Ministro e vários deputados.
Depois foi a vez de um ciberataque, sem precedentes, ao Estado Maior General das Forças Armadas (EMGFA), que a Ministra da Defesa apelidou de grave, referindo que “pode ter havido exfiltração de documentos e relatórios”, embora, “ainda se esteja a apurar exatamente quais foram os danos causados”.
Finalmente, foi a vez de o BCP ser alvo de um ataque de hackers internacionais. Também esta instituição bancária referiu estar a ser vítima de “intensos e não legítimos” pedidos ao site e às aplicações digitais, causando constrangimentos de acesso às plataformas.
Os riscos cibernéticos são cada vez mais, mais sofisticados, e com maior impacto a nível reputacional e de funcionamento interno nas empresas.
A realidade das ciber-ameaças atingiu um ponto tal que não é tanto uma questão de saber se se vai ser atacado, mas de saber quando e como vai ser atacado.
E não são só as empresas que não se preparam que são alvo destes ciberataques. Os números falam por si, revelando que alguns dos ataques do ano de 2022, foram feitos a empresas que centram a sua estratégia em investimento na área da cibersegurança.
O que demonstra que não há organizações inexpugnáveis.
Apesar de os ataques às empresas de grande dimensão terem sido, por si só, bastante preocupantes, mais alarmante é a certeza de que as principais vítimas têm sido as empresas que estão longe de ser mediáticas. O fenómeno explica-se apenas pela motivação financeira e não pela procura de fama. Para os cibercriminosos o objetivo é realizar o maior número de ataques com a menor exposição possível.
Assim, não é de estranhar que os alvos preferidos para ciberataques sejam as PME (99% do tecido empresarial português) que são, não só, vulneráveis, como as mais apetecíveis, por, teoricamente, terem menos capacidade defensiva e por nenhum alarme social suscitarem.
Por tudo isto, os piratas informáticos e ciberterroristas veem nas pequenas e médias empresas uma porta de acesso para grandes grupos industriais e conglomerados com quem aquelas, muitas vezes, mantêm relações digitais.
Importa, também, realçar que os data breachs constituem uma das mais importantes formas de violação da privacidade dos dados pessoais e de dados sensíveis, que podem, inclusive, vir a ser consideradas como infrações à luz do RGPD, podendo ser alvo de contraordenações.
Acresce que Portugal, ao ter um dos menores índices de literacia digital, autocoloca-se, necessariamente, nos primeiros lugares do pódio na atratividade para ciberataques.
E é aqui que entra o setor segurador, como parte integrante do sistema financeiro e que, como peça importante de garante e estabilizador das economias, cabe–lhe o papel de reparação dos danos causados por sinistros, ainda que de índole digital.
Face à dura realidade acima exposta, o sector segurador colocou-se na peugada do risco, e nessa senda, tem vindo a desenvolver produtos específicos para cobrir este tipo de ameaças que não só atua na prevenção de riscos, como nas consequências de um ciberataque, com coberturas para a proteção do impacto financeiro destes riscos, riscos que vão desde a intrusão de terceiros em sistemas informáticos até à violação da intimidade pessoal.
Algumas das Coberturas e Garantias no mercado segurador
- Intrusão de terceiros nos sistemas informáticos
- Incumprimento do dever de custódia de dados de caráter pessoal
- Responsabilidades informáticas do segurado
- Violação do direito à honra e intimidade pessoal de terceiro
- Perda de lucros pela interrupção da atividade do segurado
Os seguros são uma parte importante da estratégia de gestão de riscos cibernéticos e influenciam a adoção de melhores práticas e de uma melhor capacidade de controlo.
Por outro lado, é possível as empresas implementarem, através de produtos focados na prevenção e mitigação do risco do ciberespaço, as seguintes medidas:
- Diagnóstico RGPD
Autodiagnóstico relativo ao grau de conformidade legal da empresa no que respeita à proteção de dados de caráter pessoal.
- Análise do Site
Análise e diagnóstico ao risco do site da empresa.
- Análise detalhada de vulnerabilidades
Análise e resolução de vulnerabilidades, deteção e eliminação de malware.
- Serviços de Prevenção e Assistência Tecnológica
Assistência de técnicos especializados para assistência e ronfiguração Remota do sistema informático.
- Backups Informáticos
Cópias de Segurança dos dados (backups) em ambiente seguro na “nuvem” para preservar a informação fulcral do seu negócio.
Poder contar com todas estas ferramentas é hoje cada vez mais essencial para a sobrevivência no mundo digital que todos enfrentamos, algo que fica evidente de cada vez que é publicado um novo relatório sobre ciber-ameaças.
por João Carlos Teixeira e Sofia Rothes Barbosa, Área de Prática – Contencioso e Arbitragem
