Reduzir risco de violação de dados passa por 'passwords' longas e factor de autenticação
O administrador da Critical Software para área da segurança, José Costa, recomenda, em declarações à Lusa, a criação de 'passwords' longas e um fator de autenticação para evitar o risco de violação de dados na sequência de ciberataques.
O 'chief security officer' falava à Lusa a propósito do dia da Proteção de Dados que hoje se comemora para assinar a assinatura da Convenção 108, que ocorreu em 28 de janeiro de 1981, sendo o primeiro instrumento jurídico internacional sobre o tema.
De acordo com o relatório da Verizon de 2021, "85% de todas as violações de dados envolveram um elemento humano", afirma José Costa, "ou porque foram alvo de engenharia social [técnicas para enganar as pessoas] ou por questões de utilização não adequada ou acidental" dos sistemas.
Com o mundo cada vez mais interligado, os riscos de um ciberataque são cada vez maiores, pelo que José Costa recomenda um conjunto de procedimentos para reduzir o risco de violação de dados.
"A sensibilização e consciencialização [sobre este tema] é um fator de proteção", pois se "as pessoas não clicarem em 'links'" que possam receber de 'mails' que desconhecem, como acontece em muitos ciberataques, "há menos probabilidade de um ataque ser bem sucedido", aponta o administrador da Critical Software.
No caso das empresas, estas devem ter um sistema de defesa na lógica de camadas, ou seja, mesmo que um colaborador entre num 'link' que não devia, "tem de haver outro tipo de medidas de segurança que vão mitigar este tipo de ataques", mecanismos que filtrem essa ligação para averiguar se é ou não malicioso, explica.
Depois, não basta ter 'passwords' [palavras-chave] de acesso aos sistemas, é preciso ter também uma "autenticação forte, hoje isso é um 'must' [obrigatório]".
Aliás, "ter um sistema em que o acesso é unicamente com um 'username' [utilizador] e uma 'password', sem um outro fator de verificação, é considerado uma falha grave", salienta.
Os padrões de segurança internacionais preveem que o controlo de acesso a um sistema tenha como mínimo uma autenticação, que passa, por exemplo, por enviar um código para o telemóvel, tanto para sistemas empresariais como pessoais.
Recomenda-se também "a todos os cidadãos" que, "além de ter 'passwords' fortes, estas serem longas é o mais importante: mais de 12 carateres", isto porque "com a capacidade de computação que existe hoje, as palavras-chave de oito carateres são quebráveis", alerta.
José Costa recomenda ainda aos utilizadores que "estejam atentos para tudo o que são definições de privacidade de plataformas e dispositivos".
Além da atenção que deve ser dada a tudo o que são opções de privacidade, "há a questão de proteger a segurança dos dispositivos e das contas", de modo a prevenir que os dados caiam nas mãos de organizações criminosas.
"Estamos a falar de aplicar uma boa ciber-higiene" e isso passa por "atualizar o 'software' e os dispositivos regularmente", já que todos dias há novas vulnerabilidades que são descobertas e estas atualizações vão corrigir as falhas.
A par disso, também aconselha a ter nos dispositivos -- sejam telemóveis, 'tablets' ou computadores -- "algum tipo de proteção contra 'malware' ou anti-vírus".
No caso da proteção das redes, onde se inclui o 'wifi', deve-se "mudar tudo o que é 'default'" e "sempre que se compra um dispositivo que se conecta à rede" alterar as 'passwords'.
A pandemia de covid-19 foi um fator "que influenciou bastante o número de violações de dados e ciberataques", admite.
No entanto, os principais vetores de ataque que acabam por ter como consequência a violação de dados "não variaram significativamente", uma vez que "nos últimos dois anos a engenharia social e os ataques de 'phishing'" continuaram a ser as principais técnicas de ciberataque.
José Costa reforça que a "educação e consciencialização das pessoas para este tipo de ataques" é bastante importante, nomeadamente terem atenção a 'mails' suspeitos.
A engenharia social, da qual faz parte o 'phishing' [ataque informático que visa 'pescar' dados sensíveis de um utilizador], é um vetor de ataque e a tendência é "para continuar e aumentar".
A técnica mais comum de engenharia social é o 'phishing' porque "é acessível, toda a gente que tem uma conta de 'mail", destaca.
Estes ataques afetam todas as empresas, que são alvos diários, todo o tipo de pessoas e muitas vezes dirigidas para os departamentos de compras, área financeiras, porque "essencialmente estes atacantes têm uma motivação financeira", aponta José Costa.
"Mais de 90% dos ataques e violações de dados envolveram um 'mail' ou um ataque de 'phishing'", diz, mas também há ataques de 'smishing', que são feitos através de SMS, e também podem ser feitos através de chamadas telefónicas, com a alguém a fazer-se passar por um técnico da Microsoft, por exemplo.
Nas empresas, José Costa defende uma "cultura baseada na gestão de risco" e que a cibersegurança "tem de ser uma prioridade".
No contexto empresarial, "a questão da consciencialização, sensibilização dos colaboradores é fundamental, deve ser parte da estratégia do programa de segurança de qualquer empresa e depois há várias formas de o fazer", onde se incluem formações e até simulações de 'phishing'.
Ou seja, a empresa cria um 'mail' de 'phishing' para testar e avaliar se os colaboradores estão sensibilizados para este tipo de ataques e, para o caso dos que não estão, criar formações para o efeito.