Hélder Medeiros
O setor governamental voltou a ser o principal alvo de incidentes de cibersegurança de elevada gravidade em 2025, concentrando 19% do total, de acordo com o relatório “Anatomy of a Cyber World”, da Kaspersky. Este é o segundo ano consecutivo em que as entidades públicas lideram esta classificação, seguidas pelo setor industrial com 17% e pelas tecnologias de informação com 15%. O setor financeiro, tradicionalmente associado a elevados níveis de risco, ficou fora dos três primeiros lugares.
O estudo baseia-se numa análise global de incidentes recolhidos a partir de vários serviços da Kaspersky, incluindo deteção e resposta gerida, resposta a incidentes e consultoria em centros de operações de segurança. A investigação identifica padrões consistentes nas táticas utilizadas pelos atacantes, bem como diferenças relevantes entre setores.
No caso das entidades governamentais, as Ameaças Persistentes Avançadas foram responsáveis por 33,3% dos incidentes, evidenciando um perfil de ataques direcionados e sustentados no tempo. Este tipo de ameaça caracteriza-se por operações conduzidas por grupos organizados, com objetivos específicos e capacidade para contornar mecanismos de defesa automatizados. Em paralelo, quase um quinto das organizações deste setor foi alvo de campanhas de engenharia social, o que reforça o papel do fator humano como ponto de entrada para ataques.
Em Portugal, os dados internacionais encontram correspondência na evolução recente dos incidentes reportados. O Centro Nacional de Cibersegurança tem registado um aumento significativo de ocorrências, com impacto direto em serviços e infraestruturas críticas. Casos envolvendo os CTT – Correios de Portugal e o Hospital Garcia de Orta ilustram que os ataques deixaram de ser apenas uma ameaça potencial, passando a ter consequências operacionais concretas.
A entrada em vigor da Diretiva NIS2 deverá acelerar o investimento em cibersegurança, sobretudo nos setores agora identificados como mais expostos. Esta evolução regulatória surge num contexto em que as organizações enfrentam uma dupla pressão, por um lado, ataques cada vez mais sofisticados; por outro, a necessidade de reforçar processos internos e cultura de segurança.
No setor industrial, o panorama apresenta maior diversidade de ameaças. Os incidentes distribuem-se de forma relativamente equilibrada entre APT, malware e engenharia social, refletindo o interesse de diferentes tipos de adversários neste tipo de organizações. Destaca-se ainda o peso significativo de exercícios de simulação de ataques, como o red teaming, que representam 22,8% dos casos, sinalizando um reforço das práticas de validação proativa da segurança.
Já no setor das tecnologias de informação, o padrão é distinto e mais concentrado. Os ataques APT conduzidos por humanos representam 41% dos incidentes, a taxa mais elevada entre todos os setores analisados, indicando um foco claro de atores sofisticados nestas organizações. Este interesse está frequentemente associado à posição destas empresas nas cadeias de abastecimento digitais, onde uma intrusão pode ter efeitos em cascata. Apesar disso, os exercícios de teste proativo continuam a ter uma expressão reduzida neste setor.
Por contraste, o setor financeiro apresenta sinais de maior maturidade na abordagem à segurança. A elevada incidência de exercícios de red teaming, que representam 36,1% dos incidentes, sugere uma estratégia mais orientada para a prevenção e conformidade. Em paralelo, a atividade APT confirmada mantém-se relativamente baixa.
O relatório conclui que os ataques não são aleatórios, mas sim direcionados e concebidos para garantir acesso persistente aos sistemas, exigindo uma resposta centrada na deteção precoce e na contenção rápida. Neste contexto, práticas como a monitorização contínua, a análise regular de comprometimento e a limitação de privilégios de acesso ganham relevância operacional.
Especialistas recomendam o reforço dos mecanismos de deteção com apoio especializado, a revisão dos processos internos à luz das ameaças atuais e a adoção de soluções centralizadas capazes de correlacionar dados e automatizar respostas. O objetivo passa por reduzir o tempo de exposição e aumentar a capacidade de reação num cenário onde os atacantes assumem uma postura cada vez mais persistente e estruturada.
