Artigo publicado no jornal Vida Económica a 13 de outubro de 2023
A palavra-chave é “era” porque no final do mês de setembro declarou insolvência e um dos motivos apontados pelos administradores liquidatários, para além de um contexto financeiro desafiante, foi ter sido vítima de um ataque informático em junho deste ano.
De acordo com as informações divulgadas, o ataque de ransomware que ocorreu em junho deste ano, afetou os sistemas críticos e capacidade operacional da empresa durante um periodo de tempo suficientemente longo, inibindo a normal prestação de serviços e geração de receitas condicionando de forma decisiva a sustentabilidade da empresa.
A KNP Logistics terá sido vítima de um novo grupo dedicado a operações de ramsomware denominado Akira. Basicamente este grupo criminoso dedica-se a atacar sistemas informáticos corporativos, através de introdução de software malicioso de forma a que possa tornar a infraestrutura parcial ou totalmente inoperacional. De forma a maximizar o dano esse ramsomware procura igualmente comprometer os backups de informação essenciais a qualquer processo de recuperação. O “modelo de negócio” passa por exigir dinheiro em troca da suposta chave de desincriptação ou então em troca de sigilo, isto é, em troca do compromisso de não divulgar dados “ceifados” durante o acesso não autorizado aos sistemas.
Este grupo, aparentemente ativo desde março de 2023, reclama já mais de 60 vítimas oriundas dos mais diversos setores (banca, ensino, indústria, saúde, etc.). Para quem pensa que Portugal está fora do raio de ação, foi noticiado que será o mesmo grupo que esteve na origem do ataque informático que em maio deste ano vitimou o Instituto Politécnico de Leiria. É no entanto um grupo entre muitos que fazem deste modelo de negócio um modo de vida lucrativo.
Em Portugal, de acordo com o Centro Nacional de Cibersegurança o ramsomware está no topo da lista de ameaças com relevância elevada em Portugal. De acordo com a mesma fonte, o ramsomware é a origem mais frequente para os incidentes de violações de dados notificados à CNPD em 2022 (30% do total), seguido da falha humana (22%) e das falhas aplicacionais (13%). Estamos assim perante um risco observável e muito concreto para a realidade das organizações em Portugal.
Não é, felizmente, habitual vermos notícias de empresas que não sobrevivem a um ataque informático, mas isso não significa que os danos sejam negligenciáveis. Importa destacar a materialidade que estes eventos podem representar tal como ficou patente no recente ataque informático sofrido pelo SESARAM (Serviço Regional de Saúde da Região Autónoma da Madeira).
O ataque informático ao SESARAM, detetado no início de agosto, provocou significativa degradação de serviços até à presente data e “só” em aquisição de serviços de consultoria especializada para auxiliar a recuperação de sistemas foram provisionados 600.000 EUR em gastos. Naturalmente para este valor não concorrem os custos indiretos relacionados com horas extraordinárias, atos médicos cancelados e naturalmente consequências para os utentes dos serviços. Numa organização com fins lucrativos será necessário olhar certamente para os gastos incorridos para responder à emergência mas também para o impacto na capacidade de geração de receitas, para as perdas reputacionais incorridas para já não falar das possíveis ramificações de natureza jurídica.
Os recursos financeiros e humanos são escassos e por isso importa priorizar ações e investimentos que ajudem a gerir este risco. Quais os principais cenários de risco cibernético que podem afetar a organização na prossecução dos objetivos operacionais e estratégicos? Como é que o risco cibernético afeta a saúde financeira da organização (EBITDA, PL, outros KPIs)? Qual é o ROI do investimento necessário para gerir o risco cibernético em função do nosso perfil de risco? Quais as perdas que potencialmente serão absorvidas pelo seguro de riscos cibernéticos e consequentemente o limite adequado a contratar? Dar resposta a estas questões ajudará a definir uma estratégia realista e que envolva toda a organização.
