A proposta de tema para o presente artigo de opinião tem por base os dados do “Relatório da Cibersegurança em Portugal” sobre riscos e conflitos, 4ª edição, divulgado pelo Centro Nacional de CiberSegurança (CNCS, disponível em https://www.cncs.gov.pt/docs/rel-riscosconflitos2023-obcibercncs.pdf), publicado no final do junho. Este documento relata os avanços e recuos, ao nível do cibercrime, em 2022 e primeiro trimestre de 2023. De acordo com o referido documento, “os números de incidentes de cibersegurança e de cibercrimes a afetar o ciberespaço de interesse nacional continuaram a aumentar em 2022, verificando-se, em particular, um crescimento significativo de incidentes com elevado potencial disruptivo e de crimes tipificados na Lei do Cibercrime (crimes informáticos)”. Trata-se de um facto relevante que a todos deveria preocupar.
É uma realidade que os números de incidentes e de indicadores de cibercriminalidade continuam em crescendo, infelizmente, com “incremento de sofisticação”, como é o caso do ransomware, afetando organizações com elevada visibilidade social. Por outro lado, o documento refere – e isto é, deveras, preocupante – que “os registos de crimes de burla informática/comunicações diminuíram, mas tal deveu-se a alterações metodológicas”. Considera o CNCS que “as ciberameaças (…) mais relevantes foram o ransomware, a cibersabotagem/indisponibilidade, o phishing/smishing/ /vishing, a burla online, outras formas de engenharia social e o comprometimento de contas/tentativa de login” onde “(…) no primeiro trimestre de 2022 ocorreu um conjunto de ações maliciosas com efeitos muito disruptivos (…), marcado por ataques de ransomware, redundando, por vezes, em divulgação de dados”. Considera que, até à presente data, 2022 terá sido dos anos com maior número de incidentes, o que revela maior consciência social sobre o tema e maior vulnerabilidade, levando ao aumento de denúncias. Com base no documento da CNCS, em “2022, (…) os cibercriminosos continuaram a ter muita relevância, agindo, maioritariamente, com o propósito de obter ganhos económicos, mediante ataques de phishing, smishing e vishing, ransomware e burlas online, mas não só”. Desta forma, alerta-se para a possibilidade destes ataques e sugere-se cautela para situações futuras. O CNCS constata que “a guerra na Ucrânia teve um efeito no ciberespaço de interesse nacional (…), principalmente ao nível da tipologia/tipo de ataques”. Na opinião do CNCS, o ransomware e a burla online são típicos do cibercrime, procurando ganhos económicos diretos, enquanto a cibersabotagem e a ciberespionagem procuram benefícios estratégicos, já os hacktivistas tendem para ações de disrupção, como a cibersabotagem e a indisponibilidade, acompanhadas de afirmações ideológicas no espaço mediático. O quadro da página 10 dá uma “fotografia” geral que espelha o cenário nacional, de forma muito elucidativa e esclarecedora.
Agora, se vos virarmos para os “clientes potenciais” destas ações, a CNCS destaca, em 2022, os setores da Banca, o Estado (nas áreas da Educação, Ciência e Ensino Superior, Transportes e Saúde), órgãos de Comunicação Social e a administração pública local (esta de interesse e impacto inferior, face às restantes). Segundo o documento, houve um decréscimo de valores, no primeiro trimestre deste ano, face a 2022, pois as pessoas estão mais atentas. O mesmo considera que a perceção de risco de entidades de interesse nacional sofreu um incidente de cibersegurança e aumentou tanto em 2022 como em 2023, influenciada pela guerra na Ucrânia e pelo contexto geopolítico, por isso, todo o cuidado ainda é pouco e regista-se uma tendência para a “profissionalização” do cibercrime e a persistência de ameaças e com a utilização da Inteligência Artificial (IA) como instrumento facilitador de práticas de crimes. É claro que “compreender uma ameaça permite antecipar potenciais incidentes ou cibercrimes e preveni-los de modo mais eficaz”, segundo o CNCS.
Segundo o referido documento, e considerando o tratamento de dados, “cerca de dois terços dos incidentes registados pelo CERT.PT ocorreram em entidades privadas e um terço em entidades públicas, em 2022 (CERT.PT)”, sendo que das áreas governativas com mais incidentes registados foram a Banca (19%, com incidência na carteira de clientes), infraestruturas digitais e Educação, Ciência, Tecnologia e Ensino Superior (ambos com 7%), segundo a CERT.PT. Ainda nos dados, o phishing/smishing (com 37%), a engenharia social (14%) e a distribuição de malware (11%) foram o tipo de incidentes mais registados, em 2022, sendo que as marcas da Banca (59%), dos Transportes e Logística (17%) e Serviços de Emails (ambos com 17%) são as mais utilizadas nos ataques de phishing/smishing. Segundo a Comissão Nacional de Proteção de Dados (CNPD), cerca de 80% das entidades que notificaram violação de dados pessoais, em 2022, eram entidades privadas e as restantes públicas, sendo que o princípio da informação mais comprometido é o da confidencialidade (58% do total), seguido da disponibilidade (22%) e da integridade (20%). Por sua vez, os crimes informáticos (Lei do Cibercrime) registados pelas autoridades policiais aumentaram 48%, em 2022, com a burla informática/comunicações a diminuir 2%, com as alterações metodológicas. Em 2022, e segundo o Gabinete Cibercrime da Procuradoria-Geral da República (PGR), registaram-se 2125 denúncias, mais 83% do que no ano anterior, com o phishing e outros tipos de burlas online como os mais denunciados. Já segundo os dados da Associação Portuguesa de Apoio à Vítima (APAV), os crimes e outras formas de violência mais registados pela Linha Internet Segura foram a burla, a sextortion (extorsão relacionada com sexo) e o furto de identidade, tendo a burla crescido 85% e a sextortion 28%, face ao ano anterior. Em resumo, as principais tendências nacionais para presente e futuro próximo: incremento da ameaça resultante da “profissionalização” crescente do cibercrime e das repercussões da guerra na Ucrânia; ameaças como o ransomware e outros tipos de extorsões, DDoS, malware de furto de credenciais, smishing/vishing/spoofing, ataques baseados em protocolos de pagamentos contactless e variados tipos de intrusões (ou tentativas) e utilização da IA como instrumento de acesso facilitado à cibercriminalidade. Tudo isto requer incremento no controlo do recurso ao ciberespaço por parte de agentes de ameaça sofisticados; a dificuldade de responsabilização e punição de agentes de ameaça externos e incremento de informação (redução da literacia) digital e de recursos humanos especializados em cibersegurança.
Com a análise dos números do documento do CNCS, confirma-se que o “mercado” do cibercrime está a florescer, o que é um problema. Mas a partilha de informação faz com que os potenciais alvos estejam mais e melhor informados. A pressão que este tipo de crimes cria é diferente, mas as pessoas estão, aparentemente, mais alinhadas na salvaguarda dos seus direitos e deveres. Mas, claramente, isto não é uma guerra ganha, de todo, não, até porque parece que este “modus operandi” do crime veio para ficar. Todos os cuidados são poucos. Fica a proposta, para reflexão e o alerta.