Lino Santos: “Temos de colocar a cibersegurança ao nível do plano de negócios”

Os desafios da cibersegurança para a hotelaria lançaram o mote para uma mesa-redonda dinamizada pela Associação da Hotelaria de Portugal (AHP) no Inspira Liberdade Boutique Hotel esta terça-feira, 30 de maio, que reuniu figuras como Lino Santos, coordenador do Centro Nacional de Cibersegurança, João Baptista Leite, CEO da Unicre, Rui Shantilal, administrador da Devoteam Cyber Trust e Nuno Oliveira, sócio da Devoteam Cyber Trust.

Recorrendo aos dados nacionais do ano passado, Lino Santos afirma que aquele foi “um ano desafiante para a cibersegurança”. Em 2022 foram registados 25 incidentes de impacto relevante em Portugal, além de um crescimento de 14% no número de incidentes, para um total de 2.023 incidentes durante todo o ano.

O coordenador do Centro Nacional de Cibersegurança explica que “muitas vezes a hotelaria é um alvo de oportunidade para a obtenção de credenciais para ataques mais focados e direcionados”, isto porque “normalmente as pessoas cometem o erro de usar as mesmas passwords, inclusive as credenciais do trabalho, para registo nos hotéis”.

Como explica, nesta situação “o objetivo não é atacar nem colocar dano no hotel, o objetivo é obter credenciais que possam ser usadas contra outro tipo de alvos – e aqui estamos a falar de órgãos de soberania, operadores de serviços essenciais, normalmente grandes empresas a quem se pode pedir um resgate avultado”.

Já Nuno Oliveira aporta-se a dados de 2019 do Cybersecurity Threat Index, da Morphisec, para dar conta de que 9% dos consumidores deste estudo afirmam terem sido vítimas de um ciberataque ou de violação de dados em hotéis, além dos quase 70% que não acreditam que os hotéis em que se hospedaram investiram o suficiente em cibersegurança.

No mesmo estudo é indicado que os hóspedes acreditam que o wi-fi comprometido representa o maior risco nos hotéis em que se hospedam, com os millenials a considerarem que os hotéis tradicionais são mais vulneráveis a uma violação de cibersegurança face ao Airbnb.

Formação dos quadros em cibersegurança vista como essencial

Posto este cenário, Lino Santos é da opinião de que o quadro de ameaças à cibersegurança é composto por três pontos principais: o facto de o cibercrime ser neste momento um serviço, com a possibilidade de adquirir todas as componentes de um ataque informático na dark web; o aumento da densidade digital e a falta de recursos humanos “capazes para segurar os sistemas informáticos”.

Na opinião do coordenador, com a pandemia fomos “forçados” a estar mais presentes no digital, que passa a ter “mais utilizações, mais utilizadores, mais aplicações, mais interações”. No entanto, muitos fizeram-no “sem as competências básicas”, naquilo a que apelida uma “carta de condução informática”, o que “aumenta brutalmente o fator de risco”.

“Mais de metade dos incidentes tem que ver com negligência, com falta de sensibilidade para o tema da cibersegurança – de clicar nos emails e nos anexos sem pensar, sem saber que risco estão a correr. Leva-nos a pensar que [é essencial] uma aposta na formação dos quadros, desde que tenham acesso à infraestrutura”, defende.

A isto acresce o facto de que, “à medida que as empresas se digitalizam”, são necessários “recursos humanos para assegurar essa segurança”. No entanto, e como Lino aponta, estes estão em falta, já que o processo de digitalização tem sido mais acelerado do que o ritmo a que as universidades conseguem colocar “especialistas no mercado de trabalho”.

“Há aqui também um esforço que temos de fazer de requalificação de quadros que temos nas nossas organizações”, afirma.

Densidade digital exige que cibersegurança seja vista no plano de negócios

Sobre este ponto, Rui Shantilal refere que é preciso ter em atenção que o investimento em tecnologia não vai permitir poupar dinheiro.

“Quando alguém vende uma solução tecnológica e garante que vai permitir ‘ser mais eficiente, ter menos pessoas, o cliente ser auto-atendido (self atended) e que vão poupar dinheiro’, é mentira. Esse investimento que fizerem em tecnologia vai-vos permitir providenciar uma melhor experiência ao cliente e serem competitivos se os vossos pares estiverem a fazê-lo. Mas o montante que eles vos conseguirem provar que vão poupar, é em investimento que têm de fazer em manter aquela tecnologia segura, na manutenção, na operação, no suporte e na segurança”, defende Rui Shantilal.

Já João Baptista Leite faz referência a um estudo da Marsh de 2023 – uma operadora mundial de seguros e consultora de riscos – onde após entrevistas a 130 gestores concluíram que, em Portugal, os ciberataques, a instabilidade social e política, a inflação e os talentos eram considerados os maiores riscos da atualidade, por esta exata ordem. Já no resto do mundo, a preocupação número um era a inflação e o crescimento económico, seguida pelos ciberataques.

“Se [os ciberataques] são considerados o risco número um, então no meu planeamento tenho de aplicar o remédio para este risco. E na hotelaria, quando se discute o plano para o próximo ano, há duas coisas que tenho a certeza que não falham: como é que vamos melhorar serviços a clientes e o programa de segurança alimentar. Se estes dois aspetos são críticos, se não ponho no mesmo patamar a cibersegurança, estou a cometer um erro que vou pagar caro”, assegura João Baptista Leite.

Posto isto, Lino Santos conclui que é necessário “combater o mito de que a cibersegurança é uma questão tecnológica: temos de colocá-lo ao nível do plano de negócio”. Como refere, “a densidade digital que as nossas organizações já têm exige que a tecnologia seja vista no plano de negócio. Este é o salto que temos de dar”.

A mesa-redonda dinamizada pela AHP teve como objetivo promover avaliações de cibersegurança pela Devoteam Cyber Trust junto dos associados, que usufruem de condições especiais proporcionadas pela associação.

Desta forma, os associados hoteleiros que pretendam ter uma avaliação de cibersegurança podem fazer uma pré-inscrição através do email [email protected], indicando no assunto “Pedido de Contacto: Avaliações de Cibersegurança” e discriminando no corpo de email o “nome do grupo/hotel; número de associado; número de hotéis do grupo e localização da sede”.

A primeira fase de pré-inscrição termina a 30 de junho, com as primeiras avaliações a serem feitas a 15 de julho. Existem ainda outras fases de inscrição, de 1 a 30 de outubro, com as primeiras avaliações a começarem a 15 de novembro.