Há cerca de dois meses, um grupo de hackers atacou e deixou inoperacionais vários portais do Governo e trouxe para as primeiras páginas um assunto pouco debatido em Moçambique até então: estamos perante uma pandemia informática global que afecta cada vez mais pessoas, empresas e a soberania das próprias nações.
Para se ter uma ideia, só no ano passado, segundo um relatório do Fórum Económico Mundial, houve um aumento em 151% dos ataques com pedidos de resgate (e o ransomware até está longe de ser uma das principais ameaças), com prejuízos que atingiram os 6 mil milhões de dólares. Medidas de defesa existem, mas para além de uma necessária mudança de mentalidade generalizada, o problema é complexo e exige estratégia, um plano concreto e uma acção coordenada entre os sectores público e privado. E em Moçambique, embora com boa vontade, estamos ainda longe dessa realidade
Quantas vezes não lemos que contas bancárias foram invadidas e o dinheiro roubado? Que os hackers acederam ao backoffice de uma operadora de telefonia móvel, como aconteceu recentemente em Portugal com a Vodafone tendo afectado quatro milhões de utilizadores, com óbvios danos financeiros e patrimoniais para a empresa e seus clientes?
Ou, ao nível particular, quem não tem alguém conhecido que já teve a conta de uma rede social invadida e utilizada para fins fraudulentos? Ou que os sistemas electrónicos de ministérios e organizações governamentais foram comprometidos, como recentemente aconteceu, sem grandes consequências, é certo, em Moçambique?
A verdade é que notícias deste género não têm faltado nos últimos anos, sendo que é perceptível um incremento nos últimos meses, especialmente durante e no pós-pandemia.
Há muito que este deixou de ser um “problema dos outros”, mas, por Moçambique, pouco se sabe ou se sabia até um passado recente. E, por se tratar de um tema que quase todos ouvem falar “por alto”, a E&M contactou um conjunto de especialistas que trabalham na área da Cibersegurança, um ramo que tem vindo a ganhar cada vez mais importância dada a magnitude do problema que o mundo cada vez mais digital nos trouxe.
Afinal, havia que percorrer os labirintos do Ciberespaço por onde se move o Cibercrime, conhecer os riscos a que estamos todos sujeitos, os danos nas esferas económica, social e política, assim como o vasto conjunto de comportamentos, individuais e colectivos, a adoptar e os investimentos necessários para reduzir a exposição aos ataques.
Sempre que utilizamos equipamentos informáticos, sejam computadores ou celulares, conectados através de um acesso, ficamos susceptíveis a ataques
Ricardo Velho, engenheiro com especialização em Segurança de Informação, que ocupa o cargo de business development manager na InSite – empresa moçambicana que opera no ramo da consultoria e implementação de sistemas de gestão para a segurança de informação e Cibersegurança, entre outras áreas – explica à E&M que “o cibercrime não é um fenómeno novo, mesmo em Moçambique acontece e ficou mais presente com os ataques recentes”. O que o caracteriza é o facto de ser invisível e é aqui onde reside o perigo. Ou seja, “podemos estar a ser atacados num determinado momento, mas não sabemos e só damos conta após o ataque, se houver sintomas!”
A pirâmide da Cibersegurança
Indo à raiz conceptual do que é o cibercrime e de como deve ser encarada a cibersegurança, o especialista explica que “temos de a analisar sob três ângulos: o institucional, no sentido de definir o quadro legal e o plano de implementação da Ciberdefesa que um país deve ter, feito ao nível da entidade responsável por combater o cibercrime; o organizacional ou empresarial, para orientar sobre os requisitos a reunir com vista a que as empresas se protejam a si e aos seus clientes dos ataques; e, por fim, na base da pirâmide, ao nível das pessoas, numa consciencialização crescente dos perigos e na adopção de comportamentos e procedimentos recomendáveis ao lidar com meios tecnológicos.”
Em Moçambique existe um portal do Instituto Nacional das Tecnologias de Informação e Comunicação (INTIC), que é a entidade reguladora da Cibersegurança e responsável pela gestão das questões a este nível em termos de regulamentação. E é o INTIC que está a implementar a política e estratégia de Cibersegurança. Mas em que medida os três degraus da pirâmide da cibersegurança, citadas por Ricardo Velho, estão em sintonia e a trabalhar em conjunto? E, se não estão, até que ponto estamos (in)seguros?
Ainda falta a definição e implementação da legislação e um plano de acção coordenado
Apesar de uma mudança visível do paradigma dos últimos dois anos (desde que eclodiu a pandemia) — sendo justo dizer que começou a haver mais organizações a preocuparem-se em obter informações a este nível se se fizesse uma análise ao estado da arte da segurança digital no país —, a conclusão seria unânime entre os especialistas na matéria com experiência no mercado nacional: no que diz respeito à segurança de informação, e existindo apenas duas entidades certificadas a este respeito no País (a McNet e uma seguradora do mercado), de uma forma geral, o desconhecimento em Moçambique é grande relativamente ao que é a Cibersegurança.
Isto acontece porque, endemicamente, não serão poucas as lideranças públicas e privadas que desvalorizam estes temas, encarando-os como um custo e não como um investimento precavendo futuras e grandes perdas potenciais (financeiras e reputacionais), e preferindo não raras vezes pensar que são meramente questões da responsabilidade dos informáticos, o que é errado.
Em resultado, serão muito poucas as entidades públicas com sistemas de defesa digital consolidados, havendo, no entanto, no sector privado, uma preocupação crescente com o tema, especialmente, e como é natural, no sistema financeiro e de telecomunicações, que estarão entre os sectores mais bem preparados para enfrentar esta “guerra virtual” no País. Depois, há ainda as estatísticas sobre o grau de exposição a este tipo de crimes, que é, aliás, um dos grandes problemas apontados pelos especialistas: a falta de informação compilada sobre os ataques existentes e partilha da mesma entre sectores público e privado para que todos possam partilhar e precaver ameaças similares. Esta situação coloca o País numa situação de maior fragilidade quanto à definição dos mecanismos de defesa a adoptar. Do que se sabe, os sectores Financeiro, Comunicações, Energia, Logística e Saúde estão entre os mais expostos entre nós.
Perigo permanente
Sempre que utilizamos equipamentos informáticos, sejam computadores ou celulares, conectados através de um acesso, ficamos susceptíveis a ataques. Aliás, na verdade, este é o último ponto a que devemos estar atentos, uma vez que o problema começa bem atrás no tempo. “A verdade é que a Internet, quando surge, foi desenvolvida por investigadores e alunos universitários sem qualquer preocupação de segurança, para a partilha de conhecimento e meio de comunicação entre grupos de trabalho académico. Depois, nos anos 90, começa a massificar-se, permitindo o acesso a milhares e milhares de páginas.
Existem certificados de segurança que protegem os dados de maneira que, se forem atacados, por mais que o hacker consiga obtê-los, chegam-lhe criptografados e não os pode usar
O advento das redes sociais deu origem à criação de um espaço virtual que se designa por Ciberespaço. Este mundo virtual promove a interligação e interacção entre inúmeras aplicações informáticas, serviços bancários, serviços sociais dos países, e… pessoas entre muitos outros serviços críticos como são a distribuição de energia
ou água.
Existe de tudo neste mundo virtual, incluindo pessoas e profissionais com boas intenções, mas também os que se aproveitam de tais facilidades para acções criminosas, associadas tipicamente à Darknet.
Este novo universo evoluiu rápido de mais para que muitas organizações e milhões de pessoas se pudessem preparar para os seus perigos”, explica Paulo Borges, consultor parceiro da InSite e especialista com 36 anos de experiência profissional nas várias áreas da segurança de informação, Cibersegurança e Continuidade de negócios, que falou à E&M a partir de Portugal. E prossegue: “Indo ao encontro do que dizia, até uma aplicação como o WhatSapp pode ser atacada, claro. Ou servir de meio para executar ataques. É preciso observar que um telemóvel é essencialmente similar, em funcionalidades, ao computador. Ou seja, através dele, é possível entrar e captar dados de uma pessoa ou organização se a sua utilização não for a mais correcta”, alerta.
Mas porque é que, nos últimos anos, começámos todos a ouvir falar de ataques informáticos? De acordo com o especialista, “a pandemia do covid-19 levou as organizações a utilizarem meios alternativos de acesso às aplicações de negócios e isso aconteceu muito rapidamente. Mas muitas delas, que tinham sistemas, estratégias, políticas e práticas de segurança direccionadas para um contexto de presença num determinado perímetro físico, acabaram por não estender e aplicar esses cuidados a um modo de trabalho deslocalizado da segurança digital instalada no ambiente do escritório.
Ou seja, os sistemas foram instalados em máquinas e infra-estruturas impróprias e quando os colaboradores das empresas e outras organizações tiveram de trabalhar a partir de casa, muitas delas ‘esqueceram-se’ que o perímetro de segurança também teria de ir até à casa de cada um. Uma vez em casa, a maior parte dos trabalhadores utilizavam meios próprios, logo aí tivemos uma fragilidade evidente, visto que o controlo dos acessos era feito sem a observância das condições de segurança”.
Já o engenheiro Edson Chilengue, director-executivo da ITGest Moçambique, recorrendo a estatísticas globais que referem que 42,3% dos ataques cibernéticos bem-sucedidos acontecem devido à negligência humana, faz menção à necessidade de “consciencializar as pessoas para a observância dos cuidados.” E refere-se, basicamente, “a observar com atenção antes de aceder a determinados links de acesso a janelas desconhecidas, a convites para aceitar condições impostas por certos sites para aceder à sua informação e a propostas de eventos e jogos — fazer uma verificação rigorosa dos links recebidos por e-mail antes do clique”. E explica que é geralmente assim que os hackers acedem ao controlo do aparelho (computador ou smartphones) e de todo o sistema da organização.
Mas a própria atenção não é uma condição fácil de observar e cumprir. Milton Lauchande, director comercial
da DataServ, também do ramo de tecnologias e com actuação em Moçambique ao nível da cibersegurança, argumenta que os portais “funcionam como janelas e portas que devem estar sempre abertas para facilitar o fluxo de informação. Só esse facto oferece oportunidade de ataques aos cibercriminosos.”
“Se considerarmos os meios de segurança uma despesa… quanto vale a informação que fomos construindo durante vários anos e que garante que a organização tenha continuidade?”
Um dado curioso colocado por Milton Lauchande é o facto de haver pouquíssimas pessoas que se formam em áreas que possibilitem desenvolver habilidades cibercriminais. Se isso é bom? “Em parte, sim, porque há menos cibercriminosos, mas, por outro, limita a possibilidade de, igualmente, haver “cérebros” nacionais capazes de criar soluções ao nível da cibersegurança.”
A partir daqui, invoca-se o papel dos reguladores para legislar e disciplinar o mercado, o que ainda não está a acontecer ou, pelo menos, não é satisfatório, como veremos mais adiante.
Então, onde se vai buscar a defesa? E a que custo?
De uma maneira mais simplificada, e olhando para o utilizador final, todos os especialistas ouvidos pela E&M falam da disponibilidade no mercado de antivírus, que são os mais conhecidos meios de protecção contra perigos ao usar a internet ou ao aceder a um link ou portal. Existe, por exemplo, o firewall, que é uma aplicação que protege a máquina de uma instituição contra qualquer invasão externa.
Existe também uma aplicação denominada IDS que, de forma automática, vai monitorizando todas as acções que vão sendo executadas na organização, seja por colaboradores ou pela equipa de técnicos das tecnologias, e que bloqueia automaticamente as ameaças que detectar, armazenando-as num ponto em que o gestor das tecnologias possa verificar a quantidade e tipos de ameaças sofridas. Para as empresas que trabalhem de forma intensa com páginas web existe o webfilter, uma aplicação que filtra os sites que podem ou não ser consultados dentro da organização, bloqueando todos aqueles que não forem permitidos. No que diz respeito aos preços, Edson Chilengue, director-executivo da ItGest Moçambique, fala da existência de representantes de marcas de antivírus que não são caros. “Existem certificados de segurança que protegem os dados de maneira que, se forem atacados, por mais que o hacker consiga obtê-los, chegam-lhe criptografados e não os pode usar. Este material pode custar, em média, entre 400 e 500 euros (entre 28 mil e 35 mil meticais).
E é possível que uma empresa tenha apenas uma certificação-chave que pode ser utilizada por toda a empresa, inclusive para proteger os e-mails contra os ataques cibernéticos. Além disso, existem aplicações mais pequenas que, anualmente, custam cerca de 100 mil meticais para uma protecção segura. Dependerá da capacidade financeira da organização a definição do que é caro ou barato e é preciso avaliar também quanto vale a segurança de dados”, explicou. Olhando a sistemas mais complexos, direccionados para as empresas, as ferramentas são mais dispendiosas e exigem supervisão de uma equipa de IT especializada na matéria, o que se pode comprovar mais complicado, principalmente para organizações com fraco poder financeiro, como muitas em Moçambique. No entanto, “se considerarmos os meios de segurança uma despesa, devemos questionar quanto vale a informação que fomos construindo durante vários anos, que garante que a organização tenha continuidade e faça o seu percurso”. Ricardo Velho, da InSite, continua: “muitas vezes, quando as organizações analisam as propostas técnicas de implementação dos sistemas de gestão de ou da segurança da informação prestados pela sua empresa, acabam por considerar muito o investimento em cibersegurança, o que é claramente um erro”.
Costumamos usar o provérbio ‘casa roubada, trancas à porta’, e ele aqui aplica-se. Muitas empresas só se apercebem do prejuízo depois de serem atacadas, perderem informação, clientes, ou verem comprometida a sua operação com graves danos reputacionais e de receitas. É sempre preferível prevenir o máximo possível, portanto diria que sim, apostar na segurança e na certificação dessa segurança é hoje,
Moçambique é uma ‘sandbox’ para os hackers
“Como evitar ataques à soberania, semelhantes à ameaça que o Governo de Moçambique acaba de sofrer?” A questão, oportuna, é colocada por Paulo Borges que, mesmo reconhecendo que nenhuma tecnologia é perfeita o suficiente para garantir a total inviolabilidade dos dados, porque há uma evolução contínua ao mesmo ritmo que se vão sofisticando os mecanismos de invasão, diz que muito há ainda por fazer. Olhando ao caso nacional, ele tipifica, com base na informação disponível sobre o recente ataque aos portais do Governo, que tipo de segurança digital temos no País: “Existem estatísticas que indicam que países como Moçambique, com insuficiência de infra-estruturas de defesa cibernética, estão a ser utilizados como ‘sandboxes’ internacionais (ou seja, são locais de treino onde os hackers podem fazer experiências para testar a sua capacidade técnica para, depois, executar ataques noutros locais, sabendo que as consequências dessa acção não serão grandes para quem as pratica). Presume-se, por isso, que o caso recente tenha sido claramente um jogo de experiências, testes feitos ou simplesmente por brincadeira feita, diria eu, por um grupo de jovens, que até podem ser estudantes a divertirem-se”.
Ao introduzir o termo “cibersegurança soberana”, uma área em que trabalha há muitos anos, o especialista explica que cada país “deve determinar a sua estratégia, a forma como se interliga com a comunidade internacional e criar condições para organizar e articular toda a sua cibersegurança.” E é da opinião que “nenhuma nação deve trabalhar isoladamente, é preciso estabelecer alianças semelhantes às que se fazem em contextos militares, de entreajuda e partilha de conhecimentos”, assevera.
Paulo Borges observa, de resto, “que já existem dispositivos tecnológicos de segurança em todos os países da Europa e na esmagadora maioria dos países africanos. Mas, no caso de Moçambique, falta o dinamismo operacional de, a partir desta rede global de centros de aviso de ataques informáticos, interagir com as organizações públicas e privadas nacionais, no dia-a-dia, abordando estas problemáticas, no sentido de adoptar medidas de prevenção imediatas e não apenas de reacção, como actualmente acontece.”
Falta regulamentação e… acção
Ricardo Velho, também da InSite, explica que toda esta matriz de aspectos visando a defesa da cibersegurança soberana está prevista em Moçambique desde o ano passado, com a aprovação da Política e Estratégia Nacional de Segurança Cibernética “mas não é conhecido o estado de implementação da estratégia”.
Em Portugal, por exemplo, existe regulamentação para o uso do ciber-espaço, além da necessidade de, por Lei, estes tipos de incidentes serem reportados à entidade operacional, o que torna estes organismos regulatórios detentores de um conjunto de informação para evitar ocorrências, impactos e ajudar a alastrar essas práticas para as comunidades.
No caso de Moçambique, o país tem tentado acelerar o passo e até existem equipas que estão a ser constituídas ao nível do CERT-MZ – instituição que coordena os aspectos relacionados com a segurança da informação e para promover a cultura de segurança cibernética em Moçambique –, mas ainda não há uma suficiente capacidade instalada em termos de competências humanas e meios tecnológicos, pelo que carece de um maior investimento.
Edson Chilengue, formado no exterior em ciências viradas para a área das tecnologias, com a função de director-executivo da ITGest Moçambique – empresa que opera na área de tecnologias, incluindo a cibersegurança – acrescenta que o recente ataque aos serviços electrónicos do Governo “deveria ser fonte de inspiração para mudarmos de direcção, começando pela criação de uma Lei de Protecção de Dados”, lança.
“As instituições públicas têm de desenvolver políticas de gestão de informação que digam a que é que o funcionário deve ou não aceder no exercício de tarefas laborais. Hoje é comum encontrar funcionários a acederem às redes sociais num computador do trabalho e isso é um risco enorme”, sublinha o engenheiro, repisando um aspecto em que todos os especialistas são unânimes: “O Estado tem de assumir a tarefa de investir na formação de quadros na área de tecnologias e as instituições de formação académica têm de começar a desenhar currículos que ajudem a buscar soluções a este nível, porque não há volta a dar – com a digitalização crescente da sociedade, existirão cada vez mais fragilidades ao nível da segurança e, claro, mais ataques”.
No fundo, este é um problema que saiu dos ecrãs dos filmes de Hollywood e está agora (literalmente) nas nossas mãos — nos ecrãs dos nossos smartphones e computadores portáteis. E cabe-nos a todos ser responsáveis com o que clicamos em casa ou no trabalho, cabe às empresas que queiram investir na sua (e nossa) segurança, e cabe também ao próprio Estado, que deve zelar para que todo este ecossistema de segurança flua, sem contratempos, defendendo-se também a si próprio.
Revista Economia & Mercado • Celso Chambisso & Pedro Cativelos