O especialista principal de cibersegurança da Unitel, Dialungana Malungo, defendeu, em entrevista à Economia & Mercado, investimento equitativo no capital humano, sistemas e infra-estruturas de telecomunicações para prevenir vulnerabilidades que possam causar danos reputacionais às organizações.
Quais são os desafios da cibersegurança em Angola?
Nos últimos anos, temos assistido a um avanço considerável neste segmento, mas ainda não atingimos o nível desejado. De acordo com o relatório Global Cybersecurity Index (GCI) da International Telecommunication Union (GCI), Angola necessita desenvolver em termos técnicos, organizacionais e desenvolver capacidades, embora em relação à legislação (Leis e Regulamentos) e de cooperação estejamos relativamente bem posicionados. Temos ainda desafios para prevenir ameaças ou ataques sofisticados com recurso à Inteligência Artificial (IA), escassez de profissionais qualificados, limitação orçamental, expansão dos serviços de telecomunicações no interior do País, onde há um número considerável de pessoas sem literacia digital. Talvez por essas razões, um relatório da Check Point revele que, em média, as organizações angolanas são atacadas 6.485 vezes por semana. Este indicador revela, de alguma forma, a necessidade de se investir mais na educação das pessoas, modernização dos sistemas e infra-estruturas de telecomunicações.
O que se deve considerar para prevenir e mitigar essas ameaças?
As organizações devem apostar em três aspectos fundamentais: pessoas, políticas e tecnologias. Deve-se apostar nas pessoas, sejam colaboradores ou clientes. Para tal, é necessário fazer comunicações públicas através de programas educacionais nativos de sensibilização sobre segurança da informação, com enfoque para os ataques cibernéticos. Em relação às políticas, é imperioso regular os processos dentro das organizações e alinhá-los com as boas práticas internacionais. E, por fim, investir em soluções tecnológicas capazes de prevenir, detectar e conter ameaças conhecidas, bem como as novas (Zero-day).
Pode explicar melhor o trinómio ‘pessoas, processos e tecnologias’?
São os principais pilares que compõem a cibersegurança. Estão interligados e dependem um do outro para melhorar a integridade das pessoas e das organizações. Com base nestes critérios, as organizações podem criar estratégias para proteger os recursos. Pessoas podem ser os profissionais da área, colaboradores, clientes ou consumidores finais. Processos, por sua vez, referem-se às políticas, normas e procedimentos que asseguram a interacção entre pessoas e as tecnologias. E, por fim, a tecnologia diz respeito às distintas ferramentas usadas para proteger toda infra-estrutura de telecomunicações.
Onde reside a maior vulnerabilidade entre eles?
O maior risco reside sobre as pessoas por serem o elo mais fraco da segurança cibernética. Infelizmente, até ao momento, não existe nenhum software capaz de proteger integralmente as pessoas dos ataques, pois elas possuem características próprias (humanas) que as tornam mais vulneráveis sobretudo aos ataques de engenharia social.
O que são os ataques de engenharia social?
Primeiro é fundamental perceber que somos o elo mais fraco diante dos ciberataques. Em segundo lugar, importa também alertar que nunca devemos partilhar dados pessoais ou qualquer informação confidencial, seja por telefone ou outro dispositivo electrónico. Ataques de engenharia social são tipos de ameaça à segurança cibernética, que têm as pessoas como alvos preferenciais ao invés dos sistemas. Neste tipo de ataques, os cibercriminosos procuram manipular as pessoas aproveitando-se das fragilidades humanas, como sentimentos, crenças políticas, religiosas, entre outros. O phishing, por outro lado, é o tipo mais comum de engenharia social. Neste tipo de ataque, o engenheiro social [cibercriminoso] pode usar chamadas de voz, mensagem, emails, ou websites fraudulentos com o objectivo de obter informações confidenciais através de envio de ficheiros maliciosos, e proliferar outros ataques (ransomware, malware, account takeover, etc). Normalmente, estes ataques acompanham as tendências tecnológicas ou um assunto badalado local globalmente, como a IA, por exemplo.
E qual é a relação entre IA com os cibercriminosos?
Importa realçar que as ferramentas de IA não são, por si mesmas, maliciosas ou pelo menos não deve ser esse o objectivo da sua criação. Porém, o seu surgimento facilitou a criação de ataques cibernéticos sofisticados. Anteriormente, os ataques de phishing eram facilmente detectados devido aos erros ortográficos e semânticos nos textos dos emails, por exemplo. Mas, hoje, com recurso à IA, particularmente com os chatbots, os erros podem ser facilmente evitados, tornando possível criar emails de phishing aparentemente reais e com maior adaptação à língua nativa da vítima. No entanto, os cibercriminosos usam ou podem usar essa tecnologia para aprimorar as investidas contra pessoas e/ou organizações.
Que outros ataques utilizam a IA através da engenharia social?
Outras soluções de IA que podem facilitar estes tipos de ataques são os “Deep Fakes”, que consistem em ataques com recurso à produção ou reprodução de vídeos, imagens ou vozes criadas ou editadas com ferramentas de IA. Com essas ferramentas pode-se, facilmente, imitar a voz de alguém e transparecer um eventual ataque de phishing - método de engenharia social - numa acção legal. Também é preciso ter cuidado com os códigos QR, que ultimamente são mais comuns atendendo às operações de pagamentos, acesso rápido aos links de websites, downloads de aplicações ou outros fins. Outro ataque phishing que se tem tornado expressivo é o “Quishing”, através do qual os cibercriminosos usam código QR para redireccionar as vítimas para sites maliciosos ou fazer download de ficheiros maliciosos através dos telemóveis.
Então os telemóveis também podem ser ‘portas abertas’ para a entrada de ficheiros maliciosos?
Sim. Ultimamente os ataques têm sido mais direccionados aos dispositivos móveis, atendendo à indisponibilidade de mecanismos adicionais de segurança como o EDR (Endpoint Detection and Response) - recurso de segurança para laptops e desktops. Por isso, é preciso prestar atenção aos dispositivos móveis, porque directa ou indirectamente integram o leque dos dispositivos utilizados para aceder a diferentes recursos e informações confidenciais, razão pela qual devem ser protegidos ao mesmo nível que os laptops e desktops.
Como é que esses ataques podem afectar as organizações?
Os ciberataques podem afectar a capacidade financeira das organizações, em resultado de multas, roubos, perdas de receitas ou pagamento de resgates; afectar a reputação, prejudicando a confiança dos seus clientes, fornecedores, parceiros ou colaboradores; bem como impactar as operações, impossibilitando a prestação de serviços por causa da inoperância dos sectores. Ou seja, a violação de dados sensíveis da organização, dos clientes, colaboradores ou fornecedores, via ataque cibernético, pode permitir acesso não autorizado a informações. Contudo, o dano reputacional impacta directamente qualquer organização privada ou pública, e deriva da percepção pública das acções resultantes de um ataque e do nível de exposição. Recordar que a construção leva muito tempo e tem como base a postura esperada pelos clientes, fornecedores, funcionários e da sociedade no geral, que é suportada por padrões e valores éticos.
Que caminhos seguir para ultrapassar esses desafios?
A conscientização através da educação em segurança cibernética é o caminho ideal, onde, com recurso aos programas de formação, se pode mitigar o risco de ataques bem-sucedidos. É, por isso, fundamental investir continuamente na educação das equipas e na cultura de segurança nas organizações e na sociedade em geral. E, adicionalmente, avaliar a possibilidade da inclusão destes temas no currículo formativo nacional. De igual modo, avaliar continuamente as vulnerabilidades das infra-estruturas, sistemas e serviços através de procedimentos e boas práticas.
