O ano 2022 foi dos que registou maior número de ciberataques “de grande impacto social e nas infraestruturas e serviços”, segundo o Centro Nacional de Cibersegurança (CNCS), que aponta uma “perceção elevada” de risco de cibersegurança em Portugal.

“Ao longo de 2022, ocorreram diversos ciberataques de grande impacto social e nas infraestruturas e serviços em Portugal. Poderá ter sido dos anos com o maior número de incidentes com este nível de efeito, desde que há registos, resultando numa visibilidade muito grande do tema na opinião publicada”, lê-se na 4.ª edição do “Relatório Cibersegurança em Portugal – Riscos & Conflitos”, a que a agência Lusa teve hoje acesso.

Segundo o CNCS, as ciberameaças que mais afetaram o ciberespaço de interesse nacional em 2022 foram o ‘ransomware’ (‘software’ nocivo usado para bloquear dados de computadores e servidores e usado por ‘hackers’ para exigir resgates), a cibersabotagem/indisponibilidade, o ‘phishing’ (‘emails’ fraudulentos)/‘smishing’ (SMS fradulentos)/‘vishing’ (‘pishing’ através do telefone), a burla ‘online’, outras formas de engenharia social e o comprometimento de contas/tentativa de ‘login’.

As vítimas de incidentes de cibersegurança mais relevantes foram os setores da banca (sobretudo clientes), da educação e ciência, tecnologia e ensino superior, dos transportes, da saúde e da comunicação social. Entre os subsetores da Administração Pública, o relatório destaca a Administração Pública Local como “alvo com maior número de incidências”.

Já os principais agentes de ameaça a atuar no ciberespaço de interesse nacional em 2022 foram os cibercriminosos, os atores estatais e os ‘hacktivistas’ (ativistas políticos ou sociais usam ataques cibernéticos para declarar o apoio às suas causas ou atacar quem lhes é contrário).

Analisando os incidentes que mais marcaram o ano passado, o CNCS aponta, no primeiro trimestre, o “ataque disruptivo ao grupo Impresa”; o caso que afetou a Vodafone e “provocou interrupções nos serviços da empresa de telecomunicações sentidas por muitos utilizadores”; o ataque de ‘ransomware’ ao Laboratório Germano de Sousa, que deixou os respetivos serviços inacessíveis aos clientes; e um outro ataque de ‘ransomware’ à Sonae MC, que resultou na indisponibilidade do respetivo cartão de cliente.

Ainda referido é o ataque de ‘ransomware’ ao Hospital Garcia de Orta, em abril; outro ataque de ‘ransomware’ à Eletricidade dos Açores, em maio; o aumento de atividade ligada ao Emotet, em julho (um ‘malware’ que se distribui via ‘emails’ fraudulentos e pode colocar em causa informação bancária, por exemplo); o ataque de ‘ransomware’ à TAP, em agosto, que resultou na exposição de dados dos clientes da companhia aérea; e a intrusão numa plataforma da Segurança Social, em novembro, através do comprometimento de conta, “sem efeitos relevantes nos dados dos cidadãos, mas com impacto em termos de alarme social”.

Como resultado, o CNCS nota que “a perceção de risco de alguma entidade no ciberespaço de interesse nacional poder sofrer um incidente de cibersegurança aumentou em 2022 e 2023”, ao mesmo tempo que diminuiu “a perceção de que o ciberespaço está mais resiliente a ciberataques”.

Como principais tendências nacionais em termos de ameaças ao ciberespaço no presente e futuro próximo, o Centro Nacional de Cibersegurança destaca “a crescente ‘profissionalização’ do cibercrime, a incerteza resultante da guerra na Ucrânia e algumas ciberameaças específicas, tais como o ‘ransomware’, o DDoS (impede o funcionamento de ‘sites)’ o ‘malware’ (‘software’ nocivo) de furto de credenciais e os ‘smishing/ vishing/spoofing’ oportunistas relativamente ao uso massificado do telemóvel”.

“Os principais desafios ao ciberespaço de interesse nacional em 2023 e 2024 prendem-se com o aumento da superfície de ataque, a sofisticação de alguns agentes de ameaça, a dificuldade em imputar responsabilidades e a falta de literacia e de especialistas em cibersegurança”, enfatiza.

Como cenário persistente, o CNCS diz manterem-se “as ameaças típicas do contexto geopolítico e estratégico atual, devido ao prolongamento da guerra na Ucrânia”, prevendo que este cenário “se mantenha e possa mesmo agudizar-se” enquanto o conflito não terminar.

Paralelamente, aponta as ameaças emergentes que têm vindo a surgir “em resultado da disponibilização de plataformas de IA [inteligência artificial] para o público em geral e o seu potencial de utilização para o desenvolvimento de ferramentas úteis na realização de ações maliciosas no ciberespaço”.

Incidentes de cibersegurança em Portugal recuam 38% no 1.º trimestre

Os incidentes de cibersegurança registados pela Equipa de Resposta a Incidentes de Segurança Informática Nacional (CERT.PT) diminuíram 38% no primeiro trimestre em termos homólogos, mas ficaram 28% acima do último trimestre de 2022.

Segundo dados constantes da 4.ª edição do “Relatório Cibersegurança em Portugal – Riscos & Conflitos” do Centro Nacional de Cibersegurança (CNCS), a que a agência Lusa teve hoje acesso, o número de incidentes de cibersegurança registados pelo CERT.PT recuou de 754 registos no primeiro trimestre de 2022 para 470 de janeiro a março de 2023.

“Contudo, este valor representa uma subida de 28% relativamente ao último trimestre de 2022, no qual se registaram 366 incidentes”, nota.

Considerando a totalidade do ano de 2022, face a 2021, os incidentes de cibersegurança registados pelo CERT.PT aumentaram 14%, de 1.781 para 2.023, mantendo a trajetória ascendente dos anos anteriores.

Ainda assim, o CNCS destaca que se tratou do “crescimento mais baixo de sempre, de apenas 14%, quando na maioria dos restantes anos se registaram crescimentos entre os 20% e os 26%, à exceção de 2020, ano do início da pandemia de covid-19, em que se contabilizaram mais 88% de incidentes face a 2019”.

O Centro nota, no entanto, que a leitura deste abrandamento do crescimento “não deve ignorar o facto de o número de incidentes ter vindo a aumentar de ano para ano de forma cumulativa, representando um efetivo incremento deste tipo de problema no ciberespaço de interesse nacional”.

No ano passado, dois terços dos incidentes registados afetaram entidades privadas e um terço entidades públicas, tendo os setores e áreas governativas com mais ocorrências registadas sido a banca (sobretudo clientes), com 19% do total e um aumento de 32%, seguida das infraestruturas digitais (7%) e da educação e ciência, tecnologia e ensino superior (7%).

De acordo com o CNCS, o ‘phishing’ (‘emails fraudulentos) e o 'smishing’ (SMS fraudulentos) representaram 37% do total de incidentes, seguindo-se a engenharia social, com 14%, e a distribuição de ‘malware’ (‘software’ nocivo), com 11%.

O relatório reporta que as marcas da banca (59% do total), dos transportes e logística (17%) e dos serviços de ‘email’ e outros (17%) são as mais simuladas nos ataques de ‘phishing’ e ‘smishing’ registados pelo CERT.PT em 2022, tal como já aconteceu em 2021.

Por sua vez, em 2022, a Comissão Nacional de Proteção de Dados (CNPD) registou 376 violações de dados pessoais, mais 15% do que no ano anterior, sendo que cerca de 80% das entidades que notificaram violações eram privadas, sobretudo do comércio e serviços (28% dos casos), banca e seguros (15%) e saúde (11%).

O ‘ransomware’ foi a origem mais frequente para os incidentes de violações de dados notificados à CNPD (30% do total e uma subida de 57% face ao ano anterior), seguido da falha humana (22%) e das falhas aplicacionais (13%).

No que se refere aos crimes informáticos (Lei do Cibercrime) registados pelas autoridades policiais, aumentaram 48% em 2022, enquanto a burla informática/comunicações (não registada entre os crimes informáticos, mas relacionada com a informática) decresceu 2% (mas devido sobretudo a alterações metodológicas, caso contrário, teria crescido, nota o relatório).

A burla informática/comunicações é o crime relacionado com a informática mais registado pelas autoridades policiais em 2022, com 20.901 registos, sendo que o crime estritamente informático mais registado foi o acesso/interceção ilegítimos, com 1.012 registos, mais 60% do que no ano anterior (dados da Direção-Geral da Política de Justiça – DGPJ).

Os dados compilados pelo relatório do CNCS apontam ainda que a Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T) da Polícia Judiciária abriu mais 6,7% de inquéritos em 2022 do que em 2021, destacando-se o branqueamento de capitais, a ‘sextortion’ (extorsão de dinheiro em troca da não divulgação de imagens de cariz sexual) e o ‘ransomware’ (‘software’ nocivo usado para bloquear dados de computadores e servidores e usado por ‘hackers’ para exigir resgates) como os crimes com mais impacto entre os inquéritos abertos.

Por sua vez, em 2022, o Gabinete de Cibercrime da Procuradoria-Geral da República (PGR) registou 2.125 denúncias, mais 83% do que no ano anterior, sendo o ‘phishing’ e diversos tipos de burlas ‘online’ os tipos de criminalidade mais denunciados.