O Centro Nacional de Cibersegurança (CNCS) revela à Renascença que durante o mês de janeiro, a tendência foi de subida relativamente ao período homólogo, em 101%, e relativamente a dezembro de 2021, em 85%. O CNCS divulgou um conjunto de recomendações de proteção acrescida.

Esta tendência de grande crescimento acontece desde 2020, especialmente os ataques que exploram as vulnerabilidades das pessoas.

De acordo com os dados enviados à Renascença, neste início de ano, os ataques realizados em maior número têm sido o phishing, através de emails com anexos maliciosos e a engenharia social quando se leva alguém a revelar informação sensível, por exemplo, através de telefonemas fraudulentos.

O Centro Nacional de Cibersegurança, explica que “nem todos os incidentes com mais impacto estão associados a vulnerabilidades do fator humano”, acrescentando que “a esta situação, entre outros aspetos, não será alheio o facto de se viver um momento de maior mediatização do tema”.

CNCS divulga recomendações de proteção acrescida

Na sequência de um ataque, o CERT.PT, a equipa de resposta a incidentes de cibersegurança a nível nacional, que funciona no Centro Nacional de Cibersegurança, acompanha a situação junto das entidades afetadas, em articulação com a Polícia Judiciária, com o Serviço de Informações de Segurança, com o Centro de Ciberdefesa e com a Rede Nacional de CSIRT.

Este acompanhamento “tem como objetivo ajudar a mitigar os efeitos do incidente” ao mesmo tempo que permite “recolher informação relevante no sentido de prevenir ataques semelhantes noutras entidades, nomeadamente na Administração Pública, nos operadores de infraestruturas críticas, nos operadores de serviços essenciais e prestadores de serviços digitais”.

Neste contexto foram postas a “circular através do canal CTIC (Conselho para as Tecnologias de Informação e Comunicação na Administração Pública), um conjunto de recomendações de proteção acrescida”.

Recomendações para proteger serviços

- A verificação das boas práticas a nível da gestão de palavras-passe;

- A realização de testes de penetração e atualização do software;

- A ativação e conservação de registos (logs) de serviços na Internet para análise após a eventual ocorrência de incidentes, por um período mínimo de seis meses, preferencialmente um ano;

- A realização de backups de toda a informação em infraestrutura separada;

- A preparação da organização para a gestão de eventuais incidentes, nomeadamente definindo uma equipa de gestão de crise, um plano de comunicação e eventuais contratações para o efeito.

As boas práticas dos cidadãos estendem-se às empresas

O CNCS defende que os “utilizadores devem aplicar as práticas mais essenciais de ciber-higiene”. Nesse sentido recomenda:

- ter uma palavra-passe forte para cada conta utilizada online (pelo menos 10 caracteres variados e sem termos associados ao utilizador);

- usar uma palavra-passe diferente por cada conta;

- usar múltiplo fator de autenticação sempre que possível;

- não clicar em links ou anexos de emails e SMS suspeitos, além de não partilhar dados como resposta a essas mensagens suspeitas;

- desconfiar de telefonemas em nome de empresas de tecnologia ou de Bancos a solicitar que se instale software nos computadores;

- fazer as atualizações regulares que os sistemas e aplicações exigirem;

- instalar aplicações apenas de lojas reconhecidas e não dar permissões desnecessárias de acesso aos dados;

- não partilhar dados pessoais nas redes sociais;

- ter o acesso ao smartphone bloqueado com um PIN ou uma palavra-passe.

De acordo com o Centro Nacional de Cibersegurança, “estas boas práticas, aplicadas na vida privada e na vida profissional, podem ajudar a proteger melhor os indivíduos” e ao mesmo tempo as organizações onde trabalham.

O CNCS chama a atenção para o facto de que “muitos dos ciberataques aproveitam-se da negligência dos indivíduos na utilização das tecnologias digitais”.