Se queres a paz, prepara a ciberguerra

No seu best-seller mundial ‘Aniquilação’, um romance em que aborda também o tema do terrorismo de face invisível e o seu lado informático, Michel Houellebecq escreve a páginas tantas que “Os meios de ataque progridem muito mais depressa do que os meios de defesa; a ordem e a segurança do mundo irão ser, no futuro, cada vez mais difíceis de garantir”. Este aviso, ainda para mais se tivermos em conta que a ação do livro decorre no ano de 2027, leva-me a dizer que as palavras do escritor francês apenas pecam por defeito. Porque, na verdade, não só o retrato se adequa que nem uma luva à realidade presente como, para mais, Portugal não constitui uma exceção face a essa ameaça securitária.

Prova disso mesmo, aliás, foi a notícia recentemente publicada pelo ‘Expresso’ segundo a qual “As tentativas de ataques informáticos a entidades públicas e privadas nacionais são muitas e diárias”, citando o secretário de Estado da Digitalização e da Modernização Administrativa, Mário Campolargo, e destacando como alvo preferenciais de ataques sectores críticos como a saúde e a educação. Ainda de acordo com o Governo e na mesma notícia: “Há um forte crescimento no ransomware e nos ataques de negação de serviço (DDoS)”, sendo que os dados do Centro Nacional de Cibersegurança (CNCS) registam 2023 ataques informáticos no ano passado, uma subida de 14% em relação a 2021.

Infelizmente, estes dados não nos surpreendem. No âmbito de uma análise feita pela Ethiack, as vulnerabilidades mais detetadas foram a RCE (Remote code execution), uma vulnerabilidade que permite a um hacker tomar conta de uma máquina/ativo digital, a XSS (Cross-site scripting) ou vulnerabilidade que permite “injetar” scripts em websites e a SQL injection, vulnerabilidade que permite alterar bases de dados. Isto para além dos Business logic errors detetados, que são falhas/imperfeições na programação que permitem ao hacker tomar conta da aplicação e, por exemplo, alterar as regras, lógicas ou privilégios de decisão da app. Particularmente relevante entre as conclusões do inquérito foi o facto de o tempo de resposta das equipas de segurança e resposta a incidentes (Blue Teams) ter sido considerado lento pelos respondentes.

Entre setembro de 2022 e março de 2023, a Ethiack testou, também, e com as devidas autorizações, a segurança de cerca de 7.500 “ativos digitais”, ou seja, servidores expostos na Internet e identificou mais de 17 mil vulnerabilidades de 400 tipos diferentes, sendo mais de 60% destes considerados impactantes e 12% com impacto “crítico”.

Estes números mostram que continua a ser fácil aceder aos sistemas de informação das empresas e que a deteção de ataques informáticos se encontra longe de ser rápida e eficaz, em grande medida, porque grande parte destas vulnerabilidades estão em ativos esquecidos pelas empresas ou adormecidos, porque o projeto para o qual foi criado já foi descontinuado, mas a máquina continua lá.

É por isso que a análise às vulnerabilidades é tão relevante, especialmente para as empresas. Primeiro, porque permite identificar e proteger eficazmente todos os ativos digitais. Depois, porque permite reduzir os custos e recursos (humanos e financeiros) envolvidos na proteção eficaz da sua infraestrutura digital. que contam com dezenas de ativos digitais e que por isso necessitam de muitos recursos para proteger eficazmente a sua infraestrutura digital.

Assim, e apesar deste preocupante diagnóstico, e para que o futuro não seja ainda mais dramático do que Houellebecq o descreve no seu livro, é possível agir proactivamente e no estado em que nos encontramos o melhor mesmo é seguir o antigo provérbio “Se queres a paz, prepara-te para a guerra”.