Questões frequentes

Cibersegurança

Conjunto de medidas e ações de prevenção, monitorização, deteção, reação, análise e correção que visam manter o estado de segurança desejado e garantir a confidencialidade, integridade, disponibilidade e não repúdio da informação, das redes e sistemas de informação no ciberespaço, e das pessoas que nele interagem (Fonte: Estratégia Nacional de Segurança do Ciberespaço 2019-2023).

É o ambiente complexo, de valores e interesses, materializado numa área de responsabilidade coletiva, que resulta da interação entre pessoas, redes e sistemas de informação (Fonte: Estratégia Nacional de Segurança do Ciberespaço 2019-2023).

Factos correspondentes a crimes previstos na Lei do Cibercrime e ainda a outros ilícitos penais praticados com recurso a meios tecnológicos, nos quais estes meios sejam essenciais à prática do crime em causa (Fonte: Estratégia Nacional de Segurança do Ciberespaço 2019-2023).

Os ciberataques mais comuns com vetores de ataque são os seguintes:

visionware
Exploração de Vulnerabilidades tecnológicas (conhecidas e que poderiam ser resolvidas com uma atualização, ou desconhecidas e denominadas de 0-Day);
visionware
Exploração de fraquezas de autenticação;
visionware
Exploração de desenho inseguro de arquiteturas e sistemas;
visionware
Exploração de processos fracos;
visionware
Exploração de falhas nos meios que acessam à Internet;
visionware
Exploração de código / aplicações inseguras;
visionware
Exploração de protocolos inseguros;
visionware
Exploração de ausência de controlos tecnológicos;
visionware
Exploração da falta de conhecimento ou de preparação do vetor humano através de ataques de engenharia social;
visionware
Entre outros.

Os termos que são utilizados para descrever os típicos ataques, nomeadamente Ransomware, Phishing, Malware, Eavesdropping, Sql Injection, Zero-Day, entre outros, tiram sempre partido de um ou mais vetores de ataque, acima descritos.

As consequências diretas de um ciberataque estão geralmente relacionadas com a quebra da confidencialidade, integridade ou da disponibilidade dos recursos em questão. As consequências indiretas podem ser diversas, dependendo do contexto. Alguns exemplos são: perda financeira, perda de vantagem competitiva, danos reputacionais, perda de informação digital, roubo de identidade, incapacidade de produzir ou laborar, havendo até exemplos de empresas que chegaram à insolvência por motivos de um Ciberataque bem-sucedido.

A proteção advém de um conjunto de medidas que devem ser selecionadas em concordância com o contexto do que e de quem queremos proteger.

É fundamental efetuar uma análise de risco transversal, identificar as ameaças e o nível de suscetibilidade às mesmas e mediante o potencial impacto, definir medidas de mitigação. Do ponto de vista empresarial, a adoção do Standard Internacional ISO 27001 é um excelente ponto de partida, enquanto que do ponto de vista pessoal, os utilizadores devem procurar incrementar os seus conhecimentos e nível de resiliência, através de conhecimento geral ou através de cursos de consciencialização em Segurança da Informação.

Cerca de 70% dos atacantes têm como intenção pura o Cibercrime, sendo os restantes compostos por Ativistas Online (Hacktivismo), espionagem, entre outras.

No contexto dos Cibercriminosos observa-se uma tendência de crescimento de grupos organizados, estruturados e financiados, com o propósito de obtenção de ganhos financeiros. Estes grupos atuam como uma verdadeira empresa, com profissionais dedicados ao Crime Informático e com áreas de especialização de acordo com os diferentes tipos de ataques cibernéticos e alvos.

Dados pessoais

É uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento (Fonte: Regulamento Geral de Proteção de Dados).

São informações relativas a uma pessoa singular identificada ou identificável; é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular (Fonte: Regulamento Geral de Proteção de Dados).

O Regulamento de Proteção de Dados (RGPD), é o regulamento Europeu que incide na privacidade e na proteção de dados pessoais. Além disso, o seu propósito é assegurar os direitos dos cidadãos e protegê-los de riscos e ameaças relativas à disponibilização ou utilização indevida dos seus dados.

O regulamento legisla assim vários direitos em defesa dos titulares dos dados pessoais, nomeadamente, o direito à transparência, à informação, ao acesso, retificação, eliminação, entre outros.

Às entidades a quem for aplicável o regulamento, incide assim uma responsabilidade legal de providenciar os recursos que assegurem esses direitos para além de implementar as medidas necessárias para assegurar uma proteção adequada dos dados dos titulares.

Esta proteção adequada, explicitada no regulamento, no artigo 32, refere “A capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento” e é precisamente neste ponto que existe a forte relação do RGPD com a área da Cibersegurança.

Torna-se assim imperativa, a aplicação das práticas e controlos associados à Cibersegurança, nomeadamente no que diz respeito ao Controlo de Acessos, Cifragem de dados, Backups, Resiliência, Testes, entre outros procedimentos fundamentais para assegurar o propósito das medidas de proteção dos dados pessoais.

Existe assim uma grande interseção entre estas duas áreas, da Privacidade e da Cibersegurança, embora possam ter propósitos diferentes, uma vez que uma parte considerável dos controlos para assegurar a Privacidade dos Dados passa pela implementação de controlos de Segurança da Informação. Por estes motivos, o RGPD veio efetivamente reforçar a importância da Cibersegurança.

Phishing

O Phishing é uma forma de ciberataque na qual os atacantes tentam, através do e-mail, aplicações ou websites, adquirir ilicitamente dados de utilizadores, seja senhas, dados financeiros ou bancários, números de cartões de crédito, entre outras informações confidenciais. O objetivo não é mais do que manipular os utilizadores e obter esses dados privados para roubo de identidade, roubo de contas bancárias, etc.

Geralmente os ataques de phishing são feitos em grande escala, o que significa que os atacantes enviam um e-mail (aparentemente oriundo de uma entidade legítima no mercado) para milhares de utilizadores, ao invés do spear phishing que é direcionado a alvos específicos, sejam indivíduos ou empresas.

Para evitarem serem vítimas deste tipo de ataque, os utilizadores devem estar atentos a emails enviados por pessoas ou entidades desconhecidas; não devem abrir anexos suspeitos ou que não estão à espera de receber e antes de abrir qualquer link, devem confirmar sempre se este é fidedigno.

Para se proteger contra novos golpes de phishing, os utilizadores devem ainda instalar e manter sempre atualizado os seus softwares de proteção, nomeadamente vírus, malware, entre outros aplicáveis. Saiba mais aqui.

Ransomware

Ransom malware, ou ransomware, é um tipo de malware que impede os utilizadores de aceder ao seu sistema ou ficheiros pessoais e exige-lhes o pagamento de um resgate para devolver o acesso. As primeiras versões de ransomware foram criadas no final dos anos 80 e o pagamento tinha de ser enviado através de correio postal. Hoje, os autores do ransomware exigem que o pagamento seja enviado através de criptomoeda ou cartão de crédito.

O ransomware pode infetar o seu computador de várias formas diferentes. Hoje em dia, um dos métodos mais comuns é através de spam malicioso, ou malspam, que consiste em emails não solicitados utilizados para enviar malware. Estes emails podem incluir anexos armadilhados, tais como PDFs ou documentos Word. Também podem conter links para websites maliciosos. O malspam utiliza a engenharia social para induzir as pessoas a abrir anexos ou clicar em links que aparentam ser legítimos - quer pareçam ser de uma instituição fidedigna ou de um amigo. Os cibercriminosos utilizam a engenharia social noutros tipos de ataques de ransomware, tais como fazerem-se passar pelo FBI para assustar os utilizadores e fazê-los pagar um determinado montante para desbloquear os seus ficheiros.

Outro método de infeção popular, que atingiu o seu pico em 2016, é o malvertising. Malvertising, ou publicidade maliciosa, é a utilização de publicidade online para distribuir malware sem necessidade de interação, ou com reduzida interação, por parte do utilizador. Ao navegar na Internet, mesmo em sites legítimos, os utilizadores podem ser direcionados para servidores criminosos sem nunca terem clicado num anúncio. Estes servidores armazenam dados sobre os computadores das vítimas e as suas localizações e, em seguida, selecionam o malware mais adequado para enviar. Frequentemente, este malware é ransomware. O malvertising utiliza frequentemente uma iframe infetada, ou um elemento de webpage invisível, para realizar o seu trabalho. A iframe redireciona o utilizador para uma página de destino de exploit e o código malicioso ataca o sistema a partir desta página, através do kit de exploits. Tudo isto ocorre sem o conhecimento do utilizador e, por isso, é frequentemente designado por download \"drive-by\".

Outras

A Engenharia social é o nome dado ao conjunto de técnicas de persuasão que visam levar os utilizadores a executar ou alavancar ações em consonância com os objetivos dos atacantes.

Os ataques de engenharia social são aplicáveis no contexto da cibersegurança, dado que podem ser aplicados em combinação com ataques de índole tecnológica. Exemplo disso é o ataque de Phishing, no qual se leva um determinado utilizador a disponibilizar informação ou acesso a recursos, na ilusão de estar a falar com uma entidade fidedigna.

Uma rede wi-fi é geralmente um meio de acesso à Internet. Com as configurações devidas de segurança uma rede wi-fi aufere de uma proteção adequada, sendo este geralmente o cenário das redes wi-fi pessoais que temos nas nossas casas, no entanto, em muitos contextos acabamos por utilizar redes wi-fi que não são de nossa pertença ou cuja configuração não foi efetivamente validada. Nesses contextos, estamos a aceder a recursos através de um meio que não pode ser totalmente confiável, traduzindo-se em múltiplos riscos para os utilizadores, nomeadamente a possibilidade de algum elemento com intentos maliciosos puder no limite interceptar ou monitorizar o conteúdo da sua ligação neste meio de acesso.

Assim sendo, nem todas as redes wi-fi são seguras, e devemos ponderar muto bem sempre que nos ligamos a uma rede wi-fi pública, e que tipo de transações e aplicações utilizamos neste contexto.

Outro dos riscos de relevo, são que, ao nos ligarmos a esta rede wi-fi deixamos o nosso equipamento mais exposto a todos os outros utilizadores desta rede wi-fi, sendo que este risco também deverá ser levado em consideração, uma vez que pode representar a possibilidade de intrusão ou infeção do seu equipamento com software malicioso.