À luz dos múltiplos eventos de falha de segurança informática que temos assistido recentemente em Portugal, há uma frase que começa a ser o padrão ou a bitola da magnitude do evento. Importa dizer ao leitor que pautar a severidade dos casos com esta expressão é de tal forma errado que começa de certo modo a tocar levemente a incompetência, poderá ser ela na forma de se proteger ou na forma de comunicar estes eventos e esses juízos de valor e de forma deixo para si.
Como temos visto recentemente, o nosso país atravessa uma realidade nova, a da notória impreparação das empresas nacionais para se manterem seguras do ponto de vista informático. Cada vez mais nos fóruns e nos canais da DarkNet há uma consciência que alguns países da Europa, do quais faz parte Portugal, não possuem recursos económicos para administrar medidas de segurança informática nas suas empresas. Dia após dia, grandes, colossais, pequenas e microempresas acabam por perder informação sua que vai cair nas páginas de resgate da DarkNet quando o resgate não é pago. Importa também dizer a bem da verdade que não são só empresas, mas também entidades públicas como as juntas de freguesia entre outras, que acabam por ver os seus dados expostos na web quando não pagam os resgates. A culpa? Essa é complicada ao certo de calcular, mas vamos ao desafio.
Sabemos que dentro das organizações estão pessoas. Essas pessoas, com idades entre os 18-67 anos, estão expostas aos desafios da inclusão digital que para uns é fácil, mas para as gerações mais antigas não é. Também importa dizer que para as mais recentes gerações há a questão da pressa e do stress de trabalho que leva a que tudo o que seja email que entre na caixa postal seja rapidamente aberto, deixando entrar o problema na empresa que certamente se espalhará como oxigénio. Os mais novos, esses que já nascem com os dedos num teclado, também sofrem de um fenómeno interessante, a curiosidade digital, pois com toda a certeza de dominarem o que fazem e tratarem por tu a informática, há sempre um sentimento de exploração atento e com vontade de clicar em tudo. Posto isto assim, vemos que transversalmente à idade há vulnerabilidades por todo o lado, mais crítica para uns e menos para outros, não obstante, crítica.
Dentro deste mundo digital que tem de viver com estas condicionantes todas há já uma coisa para dizer, o elemento de falha comum é o ser humano. É aí que os atacantes exploram e encontram na maior parte das vezes a porta de entrada, seja ela pelo click indevido, perda e acesso ou falha na programação. É precisamente por isto que as empresas testam e testam, pelo menos uma super-pequena parte delas, os limites da segurança dentro de portas e uma coisa básica fazem quase sempre: os testes de phishing. Para meu espanto e para o espanto de alguns especialistas, os números abertura destas ratoeiras enviadas propositadamente aos colaboradores anda sempre na casa dos 2 dígitos quando não deveria passar os 8%. É com estes problemas que diariamente lidam a maioria das empresas e é para este tipo de problema que se preparam. Até aqui nem tudo é mau e podemos dizer, so-far-so-good. A questão azeda quando fazemos de conta que sabemos o que fazemos. Vamos então perceber o que quero dizer.
Porque a questão da segurança começa agora a ser tema crítico no domínio público, as empresas realmente apostam no conceito da necessidade de defesa. Contratam dirigentes de segurança mascarados com 20 anos de experiência na área quando não foram mais que técnicos e responsáveis de sistemas, falhando possuir background de segurança. Depois desta contratação respiram de alívio. Esses dirigentes apressam-se a fazer formações de milhares de euros, formações essas que vivem do preço que custam e não do conteúdo que entregam e depois sai mais um suspiro de alívio pois todos acham que ser CISSP já os qualifica para decidir. Como este “crachá” não chega, toca a fazer mais umas formações para ir buscar outros crachás de perito disto, daquilo e de mais alguma coisa. Depois de tudo feito, foram gastos 10 mil euros e o perito e a empresa automaticamente dormem descansados mais umas noites pois ao leme está um verdadeiro decorador de teoria e, portanto, também na teoria está tudo OK. E na prática? Essa vai estando, e na verdade salta-se de empresa em empresa antes de acontecer algo e assim se fazem autênticos generais de medalhas ao peito à custa de tanta e tanta certificação. Engrossam-se ordenados e o estatuto, mas quando se espreme o especialista, este não consegue fazer um programa de rotina que encontra falhas de algoritmia em 1000 linhas de código, mas dirige reuniões como se o soubesse fazer de olhos fechados. O que temos na mão? O panorama dos especialistas de segurança informática em Portugal, pelos menos uma grande parte deles, justiça aos outros seja feita. Estes últimos 15 dias passei o tempo todo pelo Linkedin a explorar estes peritos e vejo que grande parte deles nem formação de base em informática possui, mas sim uma pós-graduação aqui, um mestrado ali e umas tentativas ao doutoramento que os vai levar a teorizar (pois protótipar será complexo). Se a questão ficasse por aqui tudo estava minimamente claro, mas tal não é o caso, veremos porquê, até porque segundo a PWC num estudo recente que fez a “56 Organizações a nível nacional, no período compreendido entre 8 de fevereiro a 5 de março de 2021, com representação nos diversos setores de atuação como a Indústria e Serviços, o Setor Público, Telecomunicações, Média e Tecnologia, Serviços Financeiros, entre outros” 50% das inquiridas com questões sobre a formação e testes de segurança informática, alegam parca formação e que não estão a efetuar testes.
Este filão de formação e virar de áreas de trabalho não é novo. Quando apareceu o RGPD, fileiras de peritos ficaram especialistas em implementar um instrumento jurídico. Ainda bem que este problema não se espalhou às escolas de condução, senão em vez de instrutores haveria advogados a dar o código de estrada. Ainda assim, a moda pegou e à falta de melhor, foram-se virando para a segurança informática a maioria dos profissionais que não encontravam o seu nicho ou que não tinham ainda encontrado a sua praia na tecnologia - nada poderia ser mais perigoso. Deixei de contar as vezes que vi o que descrevo acima. Volto a ressalvar as devidas exceções, e creio que são pelo menos 1/3, os restantes elementos que hoje se intitulam de peritos de segurança informática nunca olharam ou conseguiram invadir uma infraestrutura ou explorar um código incoerente à procura de uma vulnerabilidade sem se apoiarem num programa qualquer do ParrotOS ou do Kali Linux (isto, durante a sua carreira inteira). Estes são os que agora dirigem departamentos e engrossam as filas de formação dos institutos que as vendem. São estes os profissionais que acham que é um curso de 24/48 horas e 4 anos de experiência o garante da segurança em qualquer local. Não podiam estar mais equivocados e o resultado está à vista. A cada ataque a bitola é dizer que não se perderam os dados pessoais dos clientes, colaboradores entre outros, não obstante caírem na mão do alheio dezenas de GB’s de informação, como é notório na mais recente fuga de dados de uma das mais reputadas empresas de Portugal. O que aparentemente importa dizer e garantir é que os dados não se perderam... já o conteúdo de uma das maiores lojas online da nação pouco deverá importar. Para abusar mais um pouco na palavra “importa”, devo dizer que me apraz perguntar: não importa que esteja a entregar os meus dados pessoais e em alguns casos outros que levam a extrapolações dos meus hábitos pessoais, a uma empresa que não comunica de forma clara e transparente que perdeu quase 30GB’s de informação ou dados como preferirem chamar? A mim importa muito e por isso qualquer que seja a entidade que faça este tipo de gestão de problemas sérios, perderá a minha insignificante preferência.
Mas porque continuamos a fazer força na expressão “não houve perda de dados pessoais”? Porque não há uma pública e notória preocupação com o resto? Recordo que em tempos recentes muitos criticaram a forma como a Vodafone geriu o ataque que sofreu à mão do Lapsus mas ali, naquele momento, um líder emergiu e deixou minimamente informados os seus clientes e parceiros.
Em suma, e continuando na minha modesta opinião, estamos a viver tempos complexos e tempos particularmente especiais face à urgência de proteger ponto-a-ponto os serviços críticos. O Estado já fez a sua parte pois lançou muito recentemente uma atualização legal na forma do DL 20/2022, que pese embora por tardia, mostra claramente o objetivo. Nós devemos fazer o mesmo e começar por contratar profissionais sólidos, estudar e incentivar ao estudo e até desafiar o Ensino Superior a fazer parte deste projeto. Devemos a seguir aprender a comunicar e a gerir estas situações complexas pois mais que saber que não há evidencias de perda de dados pessoais, as pessoas querem de facto saber o que está a acontecer quando existe um ataque informático.
