Artigo publicado na revista Exame Informática na edição de maio de 2024
“Existe uma criminalidade organizada e um modelo de negócio altamente lucrativo que motiva a persistência deste fenómeno do cibercrime um pouco por todo o mundo”, afirma Mariana Gomes. A Senior Associate of FINEX na WTW Portugal recorda o elevado número de ciberataques – cerca de 800 mil em 2023 -, a nível global que, apesar de tudo, representam uma estimativa, uma vez que muitas destas situações continuam a passar despercebidas ou não são identificadas como tal. A guerra na Ucrânia foi, na sua perspetiva, um catalisador, apesar de reconhecer que a maior parte dos ataques informáticos não decorrem de motivações políticas, mas sim de motivações financeiras.
Senior Associate of FINEX
Ainda assim, mesmo em países que não estão diretamente envolvidos neste conflito, têm-se verificado ataques a estruturas críticas e importantes da sociedade, como telecomunicações, energia, transportes entre outros.
Isto significa, acrescenta Mariana Gomes, que nenhuma organização, independentemente do setor que endereça ou da sua dimensão, está livre de perigo. Contudo, alerta para alguma desvalorização destas questões, a que acresce algum desconhecimento, em muitas empresas nacionais. É frequente, explica, as empresas “menorizarem a probabilidade de ocorrência de problemas (só ocorrem aos outros) e o impacto que podem ter (se acontecer algo basta ir comprar alguns computadores novos), e nada pode estar mais longe da verdade”. Por um lado, reforça, todo o tipo de organizações está exposta a este tipo de situações quer diretamente (os seus próprios sistemas), quer indiretamente através da sua cadeia de fornecimento (os sistemas dos seus fornecedores), “o que tem sido abundantemente demonstrado por ataques mediáticos que afetam os mais diversos setores de atividade no nosso país”.
Por outro lado, a responsável da WTW aponta igualmente a subvalorização da gravidade dos eventos, lembrando que os ataques informáticos podem ter consequências financeiras diretas, com perda de receitas (muitos modelos de negócio dependem da disponibilidade de sistemas e integridade de informação), custos avultados em consultoria (num evento catastrófico pode perder-se parte significativa da informação sob gestão e a reposição de capacidade operativa é difícil e demorada), gastos reputacionais (quebra de confiança dos clientes), ou responsabilidade de natureza contraordenacional para a organização.
“É um tema que importa priorizar e que beneficiará do reforço legislativo que pretende acelerar os esforços de gestão proativa do risco”, sublinha.
Conhecer profundamente os efeitos que um ciberataque pode ter numa organização é o primeiro passo para a preparação. “Só percebendo os cenários e impactos poderemos desenhar medidas de mitigação e priorizar os investimentos”, explica Mariana Gomes. Um caminho que a WTW ajuda as empresas a percorrer através de diferentes abordagens.
Em primeiro lugar, explica aquela responsável, “contribuímos para ajudar a quantificar o risco efetivo que determinada organização tem pois conseguimos estimar os impactos de incidentes”. Esta informação é o ponto de partida para tomar decisões mais conscientes, priorizar planos de mitigação de risco, e definir planos de resposta a incidentes. Paralelamente, salienta, “poderemos ajudar o cliente a transferir parte do risco cibernético inerente para o mercado segurador, garantindo assim uma forma de alisar o impacto financeiro que estes eventos podem trazer para a organização”.
Apesar do longo caminho a percorrer, a responsável da WTW acredita que a consciencialização das empresas começa a aumentar, nomeadamente, pelas exigências legislativas. Seis anos depois da entrada em vigor da diretiva europeia NIS – que tem como objetivo reforçar a resiliência do espaço europeu face à cibersegurança -, esta será substituída pela NIS2, que estará em vigor até ao final de 2024, e que reforçará o controle da segurança no ciberespaço dos estados-membros. “Acredito que a sensibilização do tecido empresarial português vai aumentar significativamente no próximo ano, ano e meio, mas quiçá não muito por mérito da pedagogia, mas por receio dos impactos contraordenacionais que a NIS2 vai implicar”, conclui Mariana Gomes.
