O documento do Observatório de Cibersegurança do Centro Nacional de Cibersegurança (CNCS), que analisa as atitudes, comportamentos e a educação e sensibilização no âmbito da cibersegurança, com base em dados de 2023 e de 2024, apresenta conclusões e algumas recomendações sobre o assunto.

Segundo o relatório, as empresas e a Administração Pública têm dificuldade em interiorizar “competências especializadas em cibersegurança”, o que é negativo “para a proteção contra ameaças com um maior pendor técnico, como o 'ransomware' (pedidos de resgate por dados informáticos) e, em parte, o comprometimento de contas”.

“O insuficiente uso do MFA (múltiplo fator de autenticação, para criar uma defesa em camadas de duas ou mais credenciais independentes) na Administração Pública é particularmente preocupante, atuando negativamente sobre estas e outras ameaças, sobretudo as que envolvem palavras-passe e o acesso a contas”, acrescenta.

Na sua 6.ª edição, o estudo utiliza dados do Eurostat e da Direção-Geral de Estatísticas da Educação e Ciência (DGEEC), bem como de fontes abertas ou de inquéritos realizados pelo Observatório à comunidade.

Negativa é igualmente, de acordo com o relatório, “a falta de uma maior massificação das ações de sensibilização em cibersegurança e a quase ausência de avaliação do impacto, nos comportamentos dos públicos-alvo, das ações que são realizadas em geral”.

Entre as principais conclusões e no que se refere a questões positivas, o estudo destaca que nos media e nos índices de pesquisa ‘online’ tem aumentado o interesse pelas “ciberameaças relevantes ligadas ao fator humano”, assim como a “elevada sensibilidade das organizações relativamente à cibersegurança, embora tenham poucos recursos internos".

Ao nível da sensibilização e educação, o relatório conclui que se recorre pouco a “meios de grande alcance” para campanhas sobre cibersegurança, registando que tem havido “maior investimento das organizações em ações dirigidas aos colaboradores” e que “continua a aumentar o número de cursos e alunos de cibersegurança no ensino superior”.

Para fazer face aos riscos e vulnerabilidades, o estudo recomenda que qualquer formação sobre literacia digital inclua a questão da cibersegurança, uma maior utilização do MFA e o aumento dos “recursos das organizações em cibersegurança, nomeadamente na Administração Pública e pequenas e médias empresas”, assim como do alcance das ações de sensibilização, para se chegar a um público mais alargado.

O relatório do CNCS Cibersegurança em Portugal - riscos e conflitos, divulgado em julho, indica que a criminalidade informática no ciberespaço aumentou em 2023, embora tenha estabilizado o número de incidentes.

Segundo o estudo, as autoridades policiais registaram, em 2023, 2.512 crimes informáticos, enquadrados pela Lei do Cibercrime, mais 13% do que em 2022, merecendo destaque o “acesso/interceção ilegítimos e a falsidade informática”, fenómeno que cresceu 33%.

As ciberameaças mais relevantes foram o ‘ransomware’ (pedidos de resgate por dados informáticos), ‘phishing’ (tentativa de obter dados pessoais sensíveis através de email) ou ‘smishing’ (‘phishing’ através de mensagens de texto), burlas ‘online’ e comprometimento de contas.