PUBLICIDADE
  • A minha conta
  • Loja
  • Arquivo
  • Iniciar sessão
Carrinho / 0,00 €

Nenhum produto no carrinho.

Jornal de Leiria
PUBLICIDADE
ASSINATURA
  • Abertura
  • Entrevista
  • Sociedade
  • Saúde
  • Economia
  • Desporto
  • Viver
  • Opinião
  • Podcasts
  • Autárquicas 2025
Nenhum resultado
Ver todos os resultados
  • Abertura
  • Entrevista
  • Sociedade
  • Saúde
  • Economia
  • Desporto
  • Viver
  • Opinião
  • Podcasts
  • Autárquicas 2025
Nenhum resultado
Ver todos os resultados
Jornal de Leiria
Nenhum resultado
Ver todos os resultados
Home Entrevista

Pedro Matos, consultor em cibersegurança: “Usar sempre a mesma palavra-passe é meio caminho andado para a desgraça”

admin por admin
Março 25, 2022
em Entrevista
0
Pedro Matos, consultor em cibersegurança: “Usar sempre a mesma palavra-passe é meio caminho andado para a desgraça”
0
PARTILHAS
0
VISUALIZAÇÕES
Share on FacebookShare on Twitter

Qual é a função do Centro Nacional de Cibersegurança (CNCS)?
Tem diversos objectivos. É a autoridade nacional de cibersegurança. Tem um papel de supervisão e de regulação nessa área, em Portugal, e é, desde o ano passado, a autoridade nacional para a certificação em cibersegurança. No âmbito da nossa acção, temos a equipa nacional de resposta a incidentes, o cert.pt, e o nosso foco principal são os operadores de serviços essenciais em Portugal, os operadores de infra-estruturas críticas e a administração pública são o nosso “público-alvo”, digamos assim. Também alargamos o papel que temos para estas entidades. Temos uma oferta de produtos e serviços que prestamos igualmente a outras organizações no sector privado, para empresas, PME, ONG e para o cidadão comum.

A cibersegurança para as empresas é um tema que tem de estar sempre presente na sua actividade, porém, nos últimos meses, também ganhou dimensão para o cidadão comum, após ataques à Vodafone e ao Grupo Impresa, que até terão sido patrocinados por um Estado. Deixámos de ter “piratas informáticos” para ter “corsários informáticos”, apoiados por governos?
Não posso falar sobre casos específicos. A nossa mensagem desde há algum tempo é que a cibersegurança não é um problema meramente tecnológico e não é um problema apenas das grandes empresas. Há uma grande apetência de dirigir situações de ataque às PME. Há uma cadeia de valor que abre o apetite a quem quer ter algum proveito delas. Os casos mais mediatizados têm servido para alertar alguns sectores da sociedade de que existe um risco, de facto. A internet e o ciberespaço não são plataformas totalmente seguras, embora tragam vantagens às empresas e às organizações, mas também representam riscos. A mensagem do CNCS tem sido alertar para a presença desses riscos, mas também para as soluções e formas de as efectivar.

A ideia clássica que o público tem dos piratas informáticos é de alguém, normalmente um adolescente introvertido, num quarto escuro, a cometer estes crimes sozinho. Mas, actualmente, há grupos organizados, a trabalhar em rede e a fazer intrusões…
Os nossos relatórios do Observatório destacam essas abordagens, identificam actores e agentes de ameaça e existe uma panóplia de conceitos. Ainda há miúdos e adultos a operar isoladamente – os lobos solitários -, há activistas no ciberespaço – os hacktivists -, há uma grande vertente, que é o cibercrime organizado, e há indicadores de que alguns agentes podem estar ao serviço de Estados. Há de tudo. O ciberespaço é rico em oportunidades, mas também em riscos.

Foi um dos oradores num jantar-conferência, organizado pela Nerlei – Associação Empresarial da Região de Leiria, onde o tema foi Cibersegurança: Factor-chave nos negócios, que decorreu na semana passada. Que conselho deu, em caso de ataque aos sistemas informáticos e pedido de resgate?
A primeira coisa que nós e as autoridades recomendamos, quando há pedido de resgate, é que não se pague. Não há garantia que, mesmo após o pagamento, a cifra seja retirada, que o código para retirar a cifra seja fornecido ou que os dados sejam devolvidos em condições de integridade. Além disso, as empresas podem fazer a comunicação ao cert.pt e ao CNCS. O cert.pt irá, depois, agilizar com as autoridades policiais, neste caso, com a unidade técnica da Polícia Judiciária (PJ).

“Quem nunca recebeu um email de um príncipe milionário a dizer que tem não sei quantos milhões para dar? É essa tentativa de explorar o ser humano e as suas emoções que, por vezes, traz problemas de segurança”
Pedro Matos

Desde o início da pandemia, segundo a PJ, houve um grande aumento no cibercrime.
Não sei dados da unidade da PJ, mas notámos um aumento grande, desde o início da pandemia. As pessoas estão mais online, mas também há uma maior noção de como reagir a estas situações. Penso que, quando são vítimas de crime, elas já reagem, coisa que, dantes, não acontecia. Recebemos muitas notificações de cidadãos, não é só das empresas e operadores. Sabem que o CNCS existe, porque tem havido uma maior visibilidade do nosso centro. Muitas situações não podem ser tratadas pelo CNCS ou pelo cert.pt, porque a nossa função é de continuidade de negócio e não de investigação, ou seja, ir à procura do autor. Isso é com a PJ, mas fazemos a ponte e o processo segue a partir daí. Nos anos da pandemia, houve incremento do cibercrime. Atenção que este “incremento” pode não significar, taxativamente, mais incidentes. O que há é mais notificações de incidentes. Há uns anos, se calhar, não se notificava, mas agora os cidadãos estão mais alerta para os riscos e para a forma como os incidentes ocorrem e isso representa mais notificações e tratamento do nosso lado.

É verdade que o ser humano é o elo mais fraco na questão da cibersegurança?
Tenho dificuldade em dizer que é o elo mais fraco. Temos as componentes tecnológica e humana envolvidas e que são, de facto, factores de “exploração”, por parte dos agentes de ameaça. O factor humano é, provavelmente, o mais procurado pelos hackers, porque tem sentimentos, porque tem consciência, porque tem senso-comum e essas características humanas levam a ceder mais facilmente ao apelo que é feito do outro lado. Uma boa parte dos incidentes que tratamos, começam pelo factor humano; o phishing, a engenharia social feita às organizações e às pessoas das organizações – quem nunca recebeu um email de um príncipe milionário a dizer que tem não sei quantos milhões para dar? É essa tentativa de explorar o ser humano e as suas emoções que, por vezes, traz problemas de segurança. Depois, há a parte tecnológica, que é da responsabilidade das organizações. Porém, não diria que o ser humano é o elo mais fraco.

No caso das organizações, a gestão dos protocolos de segurança e das passwords é, muitas vezes, complicada.
Há uns anos, promovemos algumas iniciativas junto da sociedade, no seguimento de um relatório muito interessante que a Agência Europeia para a Cibersegurança (ENISA) produziu. Enumerámos um conjunto de situações para as quais as organizações deveriam tomar atenção, quando aplicam as suas políticas de cibersegurança e essa é uma das coisas que salientamos. Se tivermos uma política muito forte e muito exigente junto dos utilizadores e não tivermos a participação das pessoas que utilizam as tecnologias, ela será encarada com resistência e serão encontrados pontos de falha. Sejamos sinceros, mudar as passwords todos os três meses é chato e complicado! E até dá jeito tê-las no browser, que é coisa que não se deve fazer. Mas há sempre formas de tentar contornar essa rigidez. As organizações devem procurar políticas equilibradas, que lhes sejam adaptadas e favoreçam a segurança, mas que tenham a adesão dos utilizadores. Não pode ser apenas o informático a dizer que temos de mudar a password. A pessoa tem de perceber por que razão tem de mudar a password a cada três meses e qual o risco de não o fazer.

É uma questão de literacia digital?
A literacia digital é importantíssima e deveria ser parte essencial de uma política de cibersegurança nas organizações. Não basta ter a tecnologia, colocá-la à disposição das pessoas e dizer-lhes “é assim que têm de fazer” e esperar que assim seja. É preciso colocar à disposição das pessoas esses instrumentos, mas dar-lhes forma de os conseguirem utilizar de forma segura e informada. Isso permitirá à tecnologia e à política de segurança tentar mitigar os riscos e à pró- pria pessoa, na sua acção diária, a estar desperta para eles, ao ponto de ela própria, poder ser o primeiro ponto de bloqueio de uma ameaça. Se alguém receber um email de phishing e souber como são construídos, qual é o tipo de linguagem que estes emails têm, se souber procurar no corpo do email pequenos aspectos que podem indiciar que aquilo não tem origem fidedigna, será o primeiro ponto de bloqueio de uma ameaça. Se o utilizador falhar, a tecnologia pode estar muito preparada, mas há sempre um ponto de entrada. A pessoa é um dos elos de uma cadeia que pode ficar fragilizado, mas é também importantíssima na resistência e no alerta para o risco.

Num mundo de deep fakes, fake news, bots, trolls, já caiu na tentação de regressar ao modo de vida analógico?
Eu uso um caderno para tomar notas…. As passwords estão guardadas num processador humano, que é a minha massa cinzenta.

Cria mnemónicas?
Sim, é a forma que temos de o fazer e é o conselho que damos às pessoas. Devem criar mnemónicas e padrões, ou algo que lhes diga respeito, para que, facilmente, decorem as palavras-passe. Não se deve usar sempre a mesma. Usar sempre a mesma palavra-passe é meio caminho andado para a desgraça.

Segurança no ciberespaço
Pedro Matos é consultor no Centro Nacional de Cibersegurança (CNCS) desde Janeiro de 2019. É licenciado em Ciência Política e Relações Internacionais pela Faculdade de Ciências Sociais e Humanas da Universidade Lusófona de Humanidades e Tecnologias, mestre em Ciência Política e Relações Internacionais com área de especialização em Estudos Europeus pela Faculdade de Ciências Sociais e Humanas da Universidade Nova de Lisboa, e mestre em Economia e Políticas Públicas pelo ISCTE – Instituto Universitário de Lisboa. Com uma experiência de dez anos na vertente técnica das tecnologias de informação e comunicação, em 2011, iniciou um trajecto profissional na área das Relações Internacionais e políticas públicas em Investigação e Desenvolvimento e Sociedade da Informação. Participou em grupos de trabalho no âmbito das instituições europeias e em organizações internacionais. No Centro Nacional de Cibersegurança, as suas funções passam pelas Relações Externas, incluindo a representação do CNCS, e pela gestão do ciclo de vida da Estratégia Nacional de Segurança do Ciberespaço 2019-2023.
Etiquetas: Centro Nacional de Cibersegurançacert.ptcibersegurançaentrevistaexpressohackershacktivistsimpresaLeirianerleionlinePedro MatospiratasrederússiasociedadeVodafone
Previous Post

Quase 120 pessoas já cederam alojamento para refugiados na região

 Próxima publicação

Leiria recebe o primeiro torneio de Semi Kempo. Inscrições encerram hoje
Próxima publicação
Leiria recebe o primeiro torneio de Semi Kempo. Inscrições encerram hoje

Leiria recebe o primeiro torneio de Semi Kempo. Inscrições encerram hoje

Deixe um comentário Cancelar resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  • Empresa
  • Ficha Técnica
  • Contactos
  • Espaço do Leitor
  • Cartas ao director
  • Sugestões
  • Loja
  • Política de Privacidade
  • Termos & Condições
  • Livro de Reclamações

© 2025 Jornal de Leiria - by WORKMIND.

Bem-vindo de volta!

Aceder à sua conta abaixo

Esqueceu-se da palavra-passe?

Recuperar a sua palavra-passe

Introduza o seu nome de utilizador ou endereço de e-mail para redefinir a sua palavra-passe.

Iniciar sessão
Nenhum resultado
Ver todos os resultados
  • Opinião
  • Sociedade
  • Viver
  • Economia
  • Desporto
  • Autárquicas 2025
  • Saúde
  • Abertura
  • Entrevista

© 2025 Jornal de Leiria - by WORKMIND.