Cibercrime nas empresas portuguesas: Perfis de ataques cibernéticos e as denúncias de incidentes às autoridades

Abstract

Esta dissertação analisa o panorama do cibercrime em empresas portuguesas, e foca-se nos tipos de ataques cibernéticos e nos motivos que levaram à subnotificação destes incidentes às autoridades. O estudo baseou-se nos dados do inquérito "Flash Eurobarometer 496" da Comissão Europeia, complementado pela revisão de literatura. A revisão de literatura mostra que engenharia social e "malware" são os ataques mais comuns no contexto empresarial nacional. Diversas infraestruturas críticas em Portugal evidenciaram o impacto significativo destes crimes, tanto ao nível financeiro como operacional e reputacional. O aumento expressivo do número de denúncias entre 2016 e 2023 revelam uma maior consciência e exposição, mas destacam também desafios na resposta institucional. A análise de "clusters" identificou três grupos de empresas, diferenciados pela incidência de ataques: um "cluster" sem registo de incidentes, um com baixa incidência e outro altamente afetado. A caracterização dos 3 "clusters" revelou uma predominância do setor da construção, transportes e TIC. Verificou-se uma elevada taxa de intenção de não reporte no "Cluster" 1. Nos "Clusters" 1 e 3 foram identificados como fatores de subnotificação, a perceção de trivialidade dos ataques, a preferência por resolução interna, o desconhecimento do papel da polícia, e a inconveniência como o receio de danos reputacionais. A subnotificação compromete a eficácia das políticas públicas e a compreensão real do fenómeno do cibercrime, o que perpetua as vulnerabilidades no tecido empresarial. O estudo conclui que é urgente reforçar a sensibilização das empresas, simplificar os processos de denúncia e promover uma maior confiança nas autoridades policiais. Recomenda-se ainda a adoção de medidas de prevenção e resposta, envolvendo tanto o setor público como privado.

This dissertation analyzes the landscape of cybercrime in Portuguese companies, focusing on the types of cyberattacks and the reasons behind the underreporting of such incidents to the authorities. The study was based on data from the European Commission’s Flash Eurobarometer 496 survey, complemented by a literature review. The literature review shows that social engineering and malware are the most common attacks in the national business context. Several critical infrastructures in Portugal have demonstrated the significant impact of these crimes, both financially and in operational and reputational terms. The sharp increase in the number of reports between 2016 and 2023 reveals greater awareness and exposure, but also highlights challenges in the institutional response. The cluster analysis identified three groups of companies, differentiated by the incidence of attacks: a cluster with no record of incidents, one with low incidence, and another highly affected. The characterization of the three clusters revealed a predominance of the construction, transport, and TIC sectors. A high rate of non-reporting was observed in Cluster 1. In Clusters 1 and 3, the factors identified as contributing to underreporting included the perception of attacks as trivial, a preference for internal resolution, a lack of knowledge about the role of the police, and inconveniences such as fears of reputational damage. Underreporting undermines the effectiveness of public policies and the accurate understanding of the cybercrime phenomenon, thereby perpetuating vulnerabilities in the business sector. The study concludes that it is urgent to strengthen business awareness, simplify reporting processes, and promote greater trust in law enforcement authorities. It also recommends the adoption of prevention and response measures involving both the public and private sectors.