Há coisas que pouco se falam no nosso país. Não sei bem por que razão, mas o que é um facto é que ninguém sabe o que acontece a uma micro, pequena-média empresa quando é vítima de um ataque informático. Será que vive? Será que morre? Tem recursos para subsistir? Tem recursos para renascer? E quanto custa recuperar quando não há dinheiro para pagar um resgate, mas é tão necessário que nem se dorme porque tanto se pensa no assunto?
Nunca é um tema que deixe a pessoa que fala comigo em pleno descanso, aliás, o sobressalto é constante, pensar no assunto é comum e a reação é como se tivesse acontecido ontem, apesar de ter já ocorrido, por exemplo, há mais de um ano, numa espécie de despertar de uma espécie também de stress pós-traumático.
Mas porque é que esta história é importante?
Porque as MPME não fazem honras de televisão quando sofrem a catástrofe de serem atacadas e ficarem com os sistemas bloqueados. Não, não são apenas as empresas de telecomunicações a ser atacadas, são também as contabilidades, os dentistas, as lojas de rua, as empresas de venda de tecidos, roupa, fruta e todas aquelas que praticamente sobrevivem ao invés de viver.
O LAPI2S – Laboratório de Privacidade e Segurança em Sistemas Informáticos, centro de investigação que lidero e que está integrado na Universidade Lusófona, dispõe de uma série de tecnologias desenvolvidas pelos seus investigadores de doutoramento na área da segurança informática; uma delas é muito especial. Esta ferramenta, entre tantas outras em desenvolvimento (tal como o Testamento Digital, que a título de exemplificação, poderá permitir que o Estado não volte a dar como perdidos a seu favor os Certificados de Aforro que não foram reclamados pelos herdeiros por desconhecimento – deixarei esta história para outro dia), é muito especial, pois está sempre à escuta do que se passa na DarkWeb. A DarkWeb está perfeitamente normalizada nos dias de hoje, porém, é extremamente difícil encontrar algo quando não se sabe onde procurar. Este projeto-piloto que está em fase de desenvolvimento não é único no mundo, mas à sua escala e com as suas características e missão, é de facto algo importante. Em particular, esta ferramenta está atenta e responde cada vez que encontra dados em português e é assim que se percebe se uma empresa deste nosso jardim à beira-mar plantado perdeu dados com ou sem o seu conhecimento.
É precisamente com este conhecimento ou não, que esta semana um número elevado de empresas que “falam” português chamaram à atenção e que me levaram a falar com algumas dessas empresas para perceber como se sobrevive a um ataque informático.
Como dizia eu no início desta nossa conversa, estamos habituados a ver as grandes empresas a ser atacadas e que quase todas alegam não perder dados. Pelas estatísticas do World Economic Forum, um grande número de empresas de porte paga os seus resgates e nunca se chega a perceber o que aconteceu. Desta vez, estive a falar com o Sr. Pedro (nome fictício), gerente e proprietário de uma microempresa que vende escapes (negócio fictício). Comecei por me apresentar e por dizer que os dados que haviam sido capturados estavam totalmente disponíveis em local X. Palavra puxa palavra e lá lhe perguntei como é isto de recuperar de um ataque. Começou por me dizer que foi no dia do seu 58.º aniversário que foi surpreendido com um pedido de resgate. Todo o seu parque informático havia sido bloqueado, mesmo tendo uns meses antes pago licenciamento de softwares de segurança. Pedro fica nervoso ao descrever o que lhe aconteceu, o stress é notório e atira que agora, quase aos 60, tem um doutoramento em como sobreviver a um ataque de piratas. Nunca na vida viu algo igual e nem acreditava no valor que lhe pediam para poder ter o seu pequeno negócio de volta a funcionar, e que perdera noites e noites a chorar em silêncio. Fico consternado ao ouvir as suas palavras pois Pedro não me pareceu ser ingénuo ou despreparado, mesmo com o seu 9.º ano de escolaridade. “Trabalhei duro a vida inteira e prefiro dar a empresa, repare, dar, que voltar a viver o que vivi”, diz. “Perdi noites sem fim afogado nas minhas lágrimas com a pressão daquele interminável mês... foi e é uma angústia muito grande”.
Pedro entra em detalhes que a bem da empresa dele não posso descrever, mas ficaram as palavras de um homem que leva a empresa quase há três décadas sob o seu comando, com cinco trabalhadores que dependem de si. Um homem que precisou de levantar as poupanças de uma vida para empregar uma centena de milhares de euros para normalizar o seu negócio. Disse que pediu ajuda a todas as entidades, mas que nada podiam fazer por ele e essa sensação de desamparo foi o que mais o fragilizou. “Somos nada numa situação destas! Repare que a maioria das pessoas nem sabe usar a sério o Excel, quanto mais falar com um pirata. Pedi ajuda a toda a gente, PJ, Finanças, CNPD, a todos e ninguém me conseguia ajudar. Só me diziam para não pagar o resgate e mudar tudo... atualizar tudo e fechar as portas e parar as máquinas todas! Numa altura em que não estava a conseguir pagar os ordenados nem faturar, voltei aos anos 90 e fiz tudo em papel”.
O negócio de Pedro não é grande, mas vive de grão a grão e a cada grão tem de passar a devida fatura e entregar o SAFT às Finanças que o interpelaram acerca do atraso no envio do ficheiro. Quando informou que havia já comunicado à AT o que lhe acontecera, eles nada sabiam. “A AT não comunica entre si, aliás, fiquei a saber que Finanças e AT são coisas distintas. Porém, compreenderam e deram-me o tempo necessário para normalizar a questão”. Sem grandes rodeios, fez uso à sua experiência de vida e deu a volta à situação graças à Cloud. Porém, a perda foi incalculável para si, que fica emocionado quando fala no assunto e recorda aquilo que quase lhe deu um ataque cardíaco.
Perguntei a Pedro se ele conhece alguém que tenha passado por isto e se haviam falado sobre isto de ser “atacado”. Diz que não consegue pensar mais nisto, que agora se foca no essencial e que não entra em detalhes do que fez ou faz. Sensato o Pedro, pois eu poderia ser apenas mais um atacante num golpe de engenharia social a tentar saber mais do que sei. Pediu-me para não fazer uma notícia sobre “isto” e eu disse que ia conversar para sensibilizar e que não ia fazer notícia das más notícias de Pedro. Afinal, amanhã o Pedro posso ser eu. Despedi-me na certeza que voltaria para lhe passar este texto.
Olho para estas situações e posso dizer que Pedros há, de facto, imensos em Portugal. Não há alternativa uma vez que ainda somos uma jovem sociedade nestes temas da digitalização. Pedro, António, Maria, Manuela e até eu, Nuno, somos todos potenciais vítimas de alguém que apenas quer dinheiro e quer lá saber de quem sofre.
Enquanto me sento para trás na cadeira e reflito sobre esta escrita, não tenho como não sentir profunda compaixão pelos “Pedros” desta vida. Será que haverá um grupo de suporte psicológico para estes casos? Tarde demais, já estou a iniciar um mesmo não sabendo a 100% se há ou não pois é muito difícil ouvir uma pessoa agoniada com algo que o vitimou de forma tão áspera e não saber o que lhe dizer.
E nós? Nós “vemos, ouvimos e lemos. Não podemos ignorar”. O problema está aí e quem sofre é quem não tem meios para o combater. Quantas e quantos micro e pequenos empresários já fecharam portas por causa de piratas digitais? Eis uma questão que importa vir a saber.
