O setor da Educação é um dos mais visados por cibercriminosos. Segundo o relatório Cibersegurança em Portugal, divulgado em julho de 2024 pelo Centro Nacional de Cibersegurança, a Área Governativa da Educação, Ciência, Tecnologia e Ensino Superior, em 2023, era a 5ª com o maior número de incidentes, um total de 150.
As instituições desta tipologia lidam com grandes volumes de informação sensível, desde dados pessoais de alunos e funcionários até investigação científica. Para a salvaguardar, o esforço deve passar por todos os que se relacionam com as entidades, nomeadamente, os seus colaboradores, que são de extrema relevância neste trajeto.
Segundo Carlos Friaças, gestor do RCTS CERT, serviço digital da Fundação para a Ciência e a Tecnologia, desenvolvido pela FCCN “Os colaboradores devem ter sempre uma atitude preventiva e, em caso de dúvida, na realização de algumas ações, devem questionar outras pessoas se faz sentido realizá-las, e avaliar o risco para a organização”.
No entanto, saberão os colaboradores como defender a sua segurança? Que atitudes de prevenção devem ter? Para responder a estas questões, a equipa do serviço de segurança da FCCN deixa cinco conselhos essenciais.
#1 Não abra ficheiros de proveniência desconhecida
A pessoa que lhe enviou um email pode até lhe parecer familiar, mas confirme sempre se é seguro descarregar um determinado anexo ou clicar num link. Muitas vezes, os cibercriminosos utilizam emails que parecem vir de fontes confiáveis, simulando até ser da própria universidade, mas que, quando vistos mais ao detalhe, não são legítimos nem têm na realidade essa proveniência.
Quando faz download de um ficheiro ou acede a um link, poderá estar a descarregar malware, vírus ou outros softwares invasivos destinados a danificar o seu computador ou a tentar aceder a informação pessoal. Habitualmente, estas estratégias configuram dois tipos de ataques: phishing e ransomware.
#2 Respeite os alertas sobre websites potencialmente maliciosos
Um estudo publicado pela equipa do browser Google Chrome concluiu que apenas um em cada quatro utilizadores respeita os avisos de certificados Security Sockets Layer. Ter em consideração os alertas do seu browser é, contudo, uma prática básica de cibersegurança para evitar consequências desagradáveis para a Instituição onde trabalha e para si próprio/a.
Visitar determinados websites quando estes apresentam avisos de alerta, escolhendo a opção “avançar para website não seguro” pode resultar, por exemplo, em roubos de informação. Quando confrontado com esta realidade, retroceda. Se o website for legítimo, mais tarde um certificado válido voltará a estar instalado.
#3 Faça cópias de conteúdos que não sejam alvo de backups regulares
O imediatismo das tecnologias pode criar a ilusão de que toda a informação está para sempre disponível online. Contudo, determinados ataques podem fazer com que esta deixe de ser uma realidade.
Por essa razão, uma das práticas mais elementares de cibersegurança é criar cópias das informações mais sensíveis, que no caso das entidades de Ensino podem ser dados de alunos, professores, vencimentos, pagamentos e até investigação de caráter confidencial. Esta deve assim ser replicada numa localização segura e distinta do seu dispositivo de origem.
#4 Nunca partilhe passwords
A partilha de passwords foi identificada como um dos principais riscos de segurança interna nas organizações: quanto mais pessoas souberem uma palavra-passe, mais provável é que ocorra uma falha de segurança.
Os sistemas de autenticação com múltiplos fatores são uma barreira extra de segurança, bem como a utilização de gestor de password que facilite a utilização de senhas fortes e diferentes em cada uma das contas da mesma pessoa.
É ainda importante que a password que utiliza na sua Instituição não seja aplicada em mais nenhum domínio da sua vida, e que não a deixe registada em nenhum local, quer seja físico ou digital, por mais inofensivo que isso possa parecer: o seu posto de trabalho não é excepção.
#5 Utilize Redes Seguras
Evite usar redes Wi-Fi públicas para aceder a informações sensíveis. Sempre que possível, utilize a Eduroam, a rede segura da sua instituição.
Quando estiver a trabalhar remotamente, utilize uma rede privada virtual (VPN) para se ligar de forma segura e criptografada aos recursos que necessita aceder.