Bruno Castro
A Mango sofreu em outubro passado um massivo ciberataque que, na sua origem, teve como alvo um serviço externo de marketing utilizado pela empresa para campanhas publicitárias. Contudo, apesar do acesso a dados de clientes, felizmente, informações sensíveis permaneceram protegidas. Segundo o comunicado oficial da empresa, “houve um acesso não autorizado a dados pessoais de clientes, não tendo sido comprometidos dados bancários, cartões de crédito, documentos de identidade, credenciais de login ou palavras-passe”.
Ora, este é um caso bastante ilustrativo de um ponto altamente crítico, e frequentemente negligenciado, que é a partilha de dados com terceiros, como fornecedores de serviços externos, e que é também uma das questões cuja Diretiva NIS2, recentemente publicada em Diário da República, deposita particular enfoque e responsabilidade.
A NIS2, que substitui a anterior diretiva NIS, alarga significativamente o seu âmbito de aplicação, incluindo agora mais entidades e atribuindo também um maior peso aos seus fornecedores críticos. Esta mudança reflete uma realidade incontornável: a segurança de uma organização já não depende apenas dos seus próprios sistemas, mas antes da segurança e resiliência dos seus parceiros tecnológicos. A cadeia de fornecimento tornou-se, ela própria, um vetor de risco, e é justamente neste contexto que a Diretiva NIS2 da União Europeia se revela não apenas relevante, como também absolutamente necessária.
O recente ciberataque à Mango, que expôs dados pessoais de clientes através de um serviço externo de marketing, é um exemplo paradigmático. Embora os dados bancários não tenham sido comprometidos, o incidente levanta sérias questões sobre a supervisão dos parceiros externos e a responsabilidade das empresas na escolha e monitorização desses mesmos fornecedores. A NIS2 vem precisamente exigir que as organizações avaliem os riscos associados à sua cadeia de fornecimento, impondo obrigações claras de segurança, auditoria e notificação de incidentes.
Mais do que uma imposição legal, a NIS2 representa uma mudança de mentalidade. Obriga as empresas a reconhecer que cada parceiro externo é uma extensão do seu perímetro digital, e que, na Era digital, a confiança se constrói com segurança que começa desde logo na forma como escolhemos e gerimos os nossos parceiros externos.
Ainda assim, importa reconhecer que a Mango lidou com a situação de forma exemplar no que diz respeito à comunicação em contexto de crise: a empresa notificou prontamente os clientes afetados através de um e-mail claro e transparente, explicando o sucedido e tranquilizando-os quanto à natureza limitada dos dados comprometidos. O mesmo se passou em relação aos seus demais parceiros e stakeholders, demonstrando uma elevada maturidade digital, e sobretudo, capacidade de resposta na gestão eficaz e reputacional da sua marca.
Bruno Castro é Fundador & CEO da VisionWare. Especialista em Cibersegurança e Investigação Forense.
