Cidades, câmaras municipais, departamentos, regiões… As organizações ao serviço dos cidadãos, independentemente da sua dimensão, são alvos potenciais deciberataques. Ao visar as autarquias, o Estado está implicitamente na mira dos hackers.
De facto, em 2019, a ANSSI registou 92 incidentes de cibersegurança contra municípios e associações intermunicipais. Em plena expansão, 2020 foi um ano de todos os recordes em termos deciberataques dirigidos a autarquias.Embora a maioria das organizações, por razões jurídicas, raramente revele os impactos financeiros, é fácil avaliar quais os custos gerados por estes ciberataques.
A parte visível: os custos mais conhecidos
O caso dos ransomware
Segundo a ANSSI, os custos e os danos causados pelo ransomware podem incluir:
Perdas financeiras, como a extorsão de dinheiro. Por exemplo, uma autarquia foi vítima de um vírus de encriptação que encriptou milhares de ficheiros. O valor do resgate? Mais de 150 000 euros!
As investigações informáticas, os danos causados ao parque informático e a recuperação do Serviço de Informática. Por exemplo, a cidade de Houilles (Yvelines), onde o ciberataque de janeiro de 2021 custou 350 000 euros ao orçamento municipal (fonte:actu.fr).
Uma perda de rendimento ou a perturbação, ou mesmo a interrupção da atividade durante alguns dias a várias semanas, pode impedir a prestação dos serviços administrativos habituais de uma Câmara Municipal.
É importante referir que estudos revelam que, em média, uma organização demora cerca de 196 dias a detetar um incidente de segurança, independentemente do seu setor de atividade. (fonte: ANSSI; Ponemon Institute: Estudo sobre o Custo de uma Violação de Dados de 2018).
A lesão da imagem e, consequentemente, uma perda de confiança em relação ao município afetado, à associação intermunicipal ou aos representantes eleitos.
Algumas perdas de dados e/ou violações da integridade de dados sensíveis ou confidenciais acarretam custos consideráveis. É importante recordar que uma autarquia mantém nos seus sistemas de informação dados do registo civil, de identidade ou de identificação!
A título de exemplo, em 2020, seis meses após o ataque cibernético a uma autarquia francesa, os hackers divulgaram 40 GB de dados da cidade, incluindo uma base de dados com 23 000 endereços de e-mail, os nomes e números de identificação dos funcionários, e todo o tipo de dados privados.
Por fim, acrescentemos os prejuízos humanos que afetam tanto os funcionários como os utilizadores: por exemplo, o impacto nos salários dos funcionários caso a aplicação em questão faça parte do Sistema de Informação em causa.
É importante salientar, além disso, as potenciais vítimas colaterais em caso de propagação do ransomware em redes interligadas.
E isso é apenas a ponta do iceberg.
A parte submersa: quais são os custos menos visíveis?
Entre estes, contam-se os custos relacionados com:
à perda de produtividade associada ao regresso ao papel e lápis. Mas também ao tempo perdido devido à perda de informações;
Acima de tudo, é essencial ter em conta os custos associados às sanções administrativas:
A autarquia é responsável pelo tratamento de dados pessoais. Deve garantir que tomou todas as medidas necessárias para prevenir um ciberataque:
- A nível técnico (antivírus, antispam, etc.)
- A nível organizacional (formação, informação, etc.)
No caso de um ciberataque, se for atribuída à autarquia a responsabilidade por uma falha, a CNIL pode aplicar-lhe as seguintes sanções:
- advertência à autarquia;
- ordem de conformidade com o RGPD, incluindo sob a forma de multa coerciva;
- sancção pecuniária que pode ir até 20 milhões de euros de multa, dependendo da gravidade da infração e das circunstâncias em que esta ocorreu.
Rumo a uma verdadeira estratégia financeira: Investir na cibersegurança
A conclusão é clara: os impactos financeiros causados por um ciberataque revelam-se mais significativos do que as despesas relacionadas com a proteção dos sistemas de informação.
«Tal como aconteceu recentemente em Évreux, Bayonne, La Rochelle, Angers, Houilles… A questão já não é saber «se» as autarquias serão alvo de ciberataques, mas «quando».» (fonte:cybermalveillance.gouv.fr).
É urgente tomar precauções: este dinheiro não deve beneficiar os hackers!
Antecipação e prevenção: eis as duas palavras-chave que permitem às organizações protegerem-se contra ciberataques e reforçarem a sua cibersegurança. A formação dos seus utilizadores permite proteger a sua organização dos riscos (e custos) associados a um ciberataque.
É agora urgente investir em soluções técnicas e organizacionais.
