A cibersegurança no teletrabalho: 5 perguntas e respostas para as empresas e trabalhadores. 

Durante a pandemia o trabalho remoto passou a marcar o quotidiano de muitas empresas e trabalhadores. No entanto, a exposição aos cibercrimes acompanhou o aumento exponencial do teletrabalho. A equipa de área de Prática de Propriedade Intelectual e Tecnologias da Informação da Abreu Advogados desenvolveu um conjunto de perguntas e respostas que procuram responder aos desafios tecnológicos atuais das empresas no que diz respeito ao Cibercrime.

1. A adoção do teletrabalho potencia o cibercrime?

O adoção do teletrabalho, nos moldes em que foi efetuada, de forma apressada e muitas vezes sem a necessária preparação, formação e segurança, tem potenciado os ciberataques na medida em que a exposição dos sistemas das empresas aumentou e a capacidade de monitorização diminuiu. O que se verificou foi um aumento de ciberataques, onde se destacam as campanhas de phishing. Para as grandes empresas, ou para as que já tinham começado a implementar esta capacidade (soluções de VPN, de videoconferência, de dispositivos móveis) conseguiram com mais facilidade transitar para o trabalho a partir de casa com alguma segurança. No entanto, a maioria das empresas não tinha essa preparação e teve de investir, depressa e sem grande tempo para pensar, e adquirir ou expandir as suas soluções, o que comprometeu a sua cibersegurança.

2. Quais são os principais riscos para a sua empresa e os seus clientes?

Os principais riscos de cibersegurança continuam a ser os ataques de phishing, roubo de identidade, malware, ransomware, falhas de segurança, utilização de aplicações não autorizadas, os quais como referimos foram potenciados pela mistura do contexto profissional e pessoal, feita de forma apressada e não controlada.

3. De que forma posso proteger a minha empresa contra as ameaças?

As principais medidas a implementar para evitar ameaças são, desde logo, a formação, que permite minimizar os riscos criados pelo elo mais fraco do sistema: as pessoas. Depois, é também importante a definição de regras claras sobre a utilização de dispositivos pessoais no contexto laboral. É ainda importante que as empresas efetuem uma avaliação dos seus sistemas, das suas vulnerabilidades e apostem na monitorização das mesmas e dos riscos daí advenientes, tentando minimizá-los, se não for possível, desde logo, eliminá-los.

O Centro Nacional de Cibersegurança tem emitido documentação que pode e deve ser uma referência (Quadro Nacional de Referência em Cibersegurança) para esta avaliação. Em todo o caso, uma maior segurança passará sempre por um maior investimento não só nos sistemas, (regras de acesso à informação, de utilização dos dispositivos móveis, dos sistemas de comunicação), mas também, como referimos, na formação e estabelecimento de regras claras que possam ser seguidas pelos colaboradores.

4. Que setores de atividade estão mais expostos ao cibercrime?

Historicamente, eventos disruptivos, como é o caso da pandemia, tendem a criar ambientes mais propícios aos ataques, explorando a confiança e inexperiência das pessoas, o clima de medo e incerteza, que torna as pessoas e, consequentemente, os sistemas mais vulneráveis a serem atacados. A utilização das plataformas de videoconferência foi um dos vetores de ataque explorado, para além dos mais tradicionais SMS, emails e redes sociais. Neste contexto, as empresas mais vulneráveis são provavelmente as PMEs que não tiveram o tempo de adaptação necessário e a possibilidade de investimento para reforço dos seus sistemas. No entanto a legislação identifica também algumas áreas que, podendo não ser as mais vulneráveis, são as que poderão ter mais “interesse” e causar maior dano: a Administração Pública, os operadores de infraestruturas críticas e os operadores de serviços essenciais nos setores da energia, transportes, bancário, saúde, fornecimento e distribuição de água potável e infraestruturas digitais. Finalmente, o setor financeiro tem sido dos mais visados, pelo potencial de ganho no caso de um ataque bem sucedido, pelo que será também dos mais bem preparados.

5. A legislação portuguesa relativa ao cibercrime matéria é suficiente para me proteger?

Embora a legislação portuguesa tenha acompanhado a legislação europeia nesta matéria, a mesma apresenta algumas fragilidades. Reconhecendo estas fragilidades, a União Europeia adotou, em dezembro do ano passado, uma nova estratégia para a cibersegurança. Esta estratégia pretende reforçar o quadro legislativo atual, de modo a enfrentar os novos desafios da cibersegurança, impulsionados não só pela COVID-19, mas também pelas alterações climáticas, pelo 5G e pelo terrorismo.

No âmbito desta estratégia, foi publicada uma proposta de diretiva relativa a medidas destinadas a assegurar um elevado nível comum de cibersegurança em toda a União (“SRI 2” ou “NIS 2”). Nesta proposta, a Comissão Europeia visa expandir o escopo da atual Diretiva em vigor, aumentando o número de sectores abrangidos pela mesma, considerados críticos para a economia e para a sociedade; aumentando os requisitos de segurança para as empresas; reformulando os procedimentos de notificação (como o conteúdo e os prazos) e, ainda, exigindo às empresas uma análise dos riscos de cibersegurança presentes nas cadeiras de abastecimento e nas relações com os fornecedores. A SRI 2 propõe-se também a aumentar a exigência das medidas de supervisão por partes das autoridades nacionais e a implementar requisitos de execução mais estritos, pretendo ainda harmonizar o regime sancionatório nos Estados-Membros.

Ainda neste contexto, a Comissão apresentou uma segunda proposta de diretiva, relativa à resiliência das entidades críticas. Esta proposta pretende desenvolver o nível de proteção daquelas entidades contra os riscos informáticos e físicos, não só a nível de prevenção e mitigação de risco, mas também a nível da capacidade de recuperação. À semelhança da proposta “SRI 2”, também esta prevê um alargamento do número infraestruturas europeias consideradas criticas, abrangendo 10 setores que estarão sujeitos a estas novas medidas, como os setores das infraestruturas digitais, da água potável e do espaço.

Estas propostas serão agora objeto de discussão entre, designadamente, o Conselho da União Europeia (presidido por Portugal) e o Parlamento Europeu, com vista à sua aprovação.

Fontes:

https://ec.europa.eu/digital-single-market/en/news/eus-cybersecurity-strategy-digital-decade-0

https://ec.europa.eu/digital-single-market/en/news/proposal-directive-measures-high-common-level-cybersecurity-across-union

https://ec.europa.eu/home-affairs/sites/homeaffairs/files/pdf/15122020_proposal_directive_resilience_critical_entities_com-2020-829_en.pdf

https://ec.europa.eu/commission/presscorner/detail/pt/IP_20_2391

Quer saber mais? Subscreva a nossa newsletter aqui.