O efeito pode ser demolidor. O bloqueio de operações e o roubo de informação sensível do Estado, de corporações e usuários tem o potencial de pôr em xeque a credibilidade, sobrevivência e até a segurança das vítimas dos hackers informáticos.
O perigo de ciberataques é grave e permanente. Ao estar online, qualquer empresa, instituição ou cidadão está sujeito a muitos e elevados riscos de quem aproveita as fragilidades da própria internet e as brechas nos sistemas de segurança dos utilizadores para causar danos patrimoniais e de reputação que podem ser fatais.
Eventos mundiais como pandemias como a que acabámos de viver, ou os conflitos militares que se multiplicam em número e grau, agudizam esta ameaça. Nestes cenários, a guerra cibernética é um perigo real. Conhecida por Cyberwarfare, esta guerra digital baseia-se num conjunto de ataques cibernéticos massivos que põem em causa sistemas de infra-estrutura crítica e que, segundo especialistas como Marie-Helen Maras, equivalem a um ataque armado.
Na mesma linha, as chamadas Ameaças Avançadas Persistentes, ataques cibernéticos sofisticados desenvolvidos por hackers patrocinados por Estados ou organizações criminosas, engrossam os desafios em matéria de Cibersegurança.
O caldo de cultivo de ciberataques alimenta-se ainda de falhas que vão além do mundo digital. O incumprimento de Regulamentações e Normas, altamente complexas e de custo elevado, a falta de colaboração entre profissionais dos diversos sectores de risco e o desconhecimento sobre as ameaças cibernéticas por quem de direito, elevam, e muito, a probabilidade de ataques via rede.
Por outro lado, as crises financeiras e sociais também contribuem para esta vulnerabilidade. Durante estes períodos, geralmente falta orçamento para investir em tecnologia e formação especializada. Num contexto de crise, a fuga de cérebros em busca de melhores condições de vida dificulta a retenção de profissionais qualificados em cibersegurança que conheçam as infra-estruturas críticas, as suas vulnerabilidades e saibam proteger os sistemas em risco.
Perante a ameaça, há que reforçar os sistemas de alarme e de contra-ataque. Em primeiro lugar, é necessário instituir uma colaboração operacional real e efectiva na protecção destes sectores através de parcerias público-privadas (agências de segurança governamentais/militares, comunidade de cibersegurança e especialistas) a nível nacional e internacional em todo o tipo de eventos, uma dinâmica conhecida por Partilha de Inteligência sobre Ameaças (Threat Intelligence Sharing).
Ao mesmo tempo, é urgente melhorar a capacidade de resposta a ataques cibernéticos coordenados que visam desestabilizar as infra-estruturas críticas de uma nação. As partes interessadas devem fazer exercícios de simulação de defesa cibernética em estruturas críticas, com exercícios conjuntos, simulacros, planeamento de resposta a incidentes, monitorização e testes práticos (Table top exercises), tal qual como um exército convencional.
Resiliência cibernética é o conceito-chave. Enquanto capacidade de uma organização de evitar, combater e recuperar-se de incidentes de segurança cibernética, a resiliência cibernética reduz a exposição da infra-estrutura crítica, os riscos de perdas financeiras, ao mesmo tempo que promove a confiança dos clientes e oferece uma vantagem competitiva.
As instituições resilientes do ponto de vista cibernético transitam de uma postura Reactiva para uma postura Proactiva, aplicando medidas como Segurança por design e Segurança por Defeito, Segurança por camadas, Alta disponibilidade, Redundância, Hardening, Actualizações, Patching, gestão de risco, gestão de vulnerabilidades, entre outras.
Aumentar a resiliência cibernética passa ainda por elaborar Estratégias de Continuidade de negócio, de Recuperação de Desastres (Disaster Recovery), e integrar mecanismos de segurança dos sistemas de informação e de resiliência corporativa/organizacional. Desta forma, as instituições serão capazes de se adaptar e evoluir, à medida que as ameaças cibernéticas também se sofisticam e reinventam.
Neste ponto, as parcerias tecnológicas são fundamentais. A Paratus Angola, por exemplo, oferece aos seus clientes serviços de resiliência cibernética focados na protecção da confidencialidade, integridade e disponibilidade dos dados, garantindo a continuidade do negócio dos seus parceiros e clientes.
Neste quadro, não se pode deixar de lado a importância de educar e consciencializar sobre os riscos cibernéticos (como identificá-los e mitigá-los), de investir em tecnologias e em quadros, promovendo uma cultura que priorize a cibersegurança, e de criar requisitos regulatórios que forcem a implementação de controlos de segurança específicos para cada sector.
Também é fundamental criar incentivos fiscais e dar suporte a quem investe em cibersegurança e está em conformidade com os regulamentos/avisos/requisitos e com as melhores prácticas de cibersegurança para o seu sector.
Resumindo a cibersegurança em sectores críticos, mais do que nunca, revela-se uma prioridade incontornável. Vivemos numa era digital onde instituições públicas, bancárias e grandes corporações enfrentam ameaças constantes, com consequências que podem ser catastróficas não apenas a nível financeiro, mas também reputacional e de segurança. Eventos globais exacerbam estas ameaças, tornando a guerra cibernética uma realidade palpável. Contudo, a resposta não se encontra apenas na reacção, mas sim na proatividade: na construção de uma resiliência cibernética robusta que envolva colaborações público-privadas, capacitação, simulações e parcerias tecnológicas. Para tal, é imperativo investir em educação, consciencialização, tecnologia e, acima de tudo, numa cultura que coloque a ciber-segurança no cerne das operações. Apenas assim poderemos salvaguardar a integridade das nossas instituições e, por extensão, da nossa sociedade.