“A cibersegurança existe porque existe negócio”

Como é que sentiram o crescimento das ciberameaças desde março do ano passado, quando começou a pandemia?

Já tínhamos registos de inúmeras ameaças, quer ao nível de tentativas de fraude com dados pessoais e de exploração de roubo de informação pessoal, como também de phishing e, também, não podemos esquecer episódio gerais, como, por exemplo, o Wannacry.

Acho que há duas evidências. Há uma visão de que, efetivamente, há um maior número de ataques porque começámos a registar muito mais do que aquilo que fazíamos. Mesmo estes relatórios que temos do Centro Nacional de Cibersegurança são agora muito mais exaustivos.

O segundo fator é, efetivamente, a questão da pandemia que acaba por criar algumas vulnerabilidades, muitas vezes até da perspetiva social e que, por sua vez, se consegue perpetuar outros ataques com muito mais dimensão, como aqueles que temos de ransomware. Nessa perspetiva, o ransomware acaba por assumir, a nível mundial, uma faceta de crime organizado de grandes proporções que tem um impacto muito forte na nossa sociedade. Como sabemos, tivemos um ataque de ransomware em abril de 2020 e fomos alvo desse crescimento.

Como é que se podem educar os colaboradores para terem mais atenção a essas ameaças?

Esta tarefa não é fácil porque este risco de cibersegurança não é um risco recente, ou seja, não é um risco que esteja dentro do nosso ADN. Costumo usar muitas vezes esta ideia de que, por exemplo, se tentar comunicar aos meus pais – que não estão de forma alguma por dentro da perceção deste risco – que quando eles acedem à Internet e ao seu banco podem estar a correr riscos, que têm de mudar a password do router porque podem estar em risco de sofrer uma fraude financeira. Eles não vão entender esse risco, não é percetível para eles. É um risco novo; como tal, vai ser muito difícil porque não está dentro da nossa forma de funcionamento.

Temos de criar grandes campanhas de awareness, com demonstração das situações e dos perigos em particular. Tentamos fazer isto com insistência dentro do grupo e também com os clientes, que acabam por ser alvos de phishing com o nome da EDP. Não há muita outra forma.

Existe uma forma um bocadinho mais rebuscada ou criativa. O que fizemos – e vamos continuar esse programa – foi tentar criar uma ligação emocional ao comportamento de risco. Colocámos os filhos dos nossos colaboradores durante um fim de semana numa sala em que tinham uma atividade nas redes sociais e demonstrámos aos pais – que estavam noutra sala – os riscos a que estavam sujeitos se tivessem pouca proteção ou comportamentos incorretos. O que é que pretendíamos: a ligação que temos com os nossos filhos é do mais instintivo, do mais forte que existe e ao percebermos o risco que está ali, que nos toca muito e é muito forte, trazemos os bons comportamentos também para dentro da organização. Isto é uma forma de dar uma perceção do risco mais real. Terá que girar sempre à volta desta questão de tentar mostrar o risco com analogias ou demonstrações práticas.

Um dos problemas que quem tem a responsabilidade da cibersegurança encontra é a dificuldade de ter acesso aos recursos financeiros necessários porque a cibersegurança é vista como um custo. Isto acontece também na EDP?

Temos uma área formalizada, há mais de dez anos, de cibersegurança dentro da EDP e nunca tivemos essa dificuldade. Conheço outras congéneres europeias que também sempre tiveram esta perceção.

Tenho contactos com outros peers no mundo da cibersegurança – a nível nacional e europeu – e não será assim noutras empresas, noutras indústrias. É muito complicado mostrar, muitas vezes, a necessidade desse investimento. Compete ao profissional responsável pela cibersegurança conseguir demonstrar em linguagem de negócio o risco que a mesma representa ao conselho de administração executivo.

Mesmo tendo recursos, diria que existem às vezes outras preocupações, outras tensões, mais difíceis de resolver e de gerir. Um deles é o time to market. Temos de pensar que a cibersegurança existe porque existe negócio. Costumo dizer que queremos ser vistos como enablers e não blockers; no fundo, sou um gestor de risco. Na prática, a decisão do risco é sempre do conselho executivo, que é assim que funcionam as organizações. A mim compete demonstrar o risco.

Para se manterem no mercado e para estarem na vanguarda, as empresas precisam de ter as questões muito flexíveis e resolvidas com rapidez e acontece muitas vezes os temas de segurança terem alguma dificuldade de funcionar nesse ambiente muito rápido. Porquê? Porque a segurança funciona aqui como um blocker uma vez que é necessário contemplar a segurança em tudo aquilo que se faz e em todos os produtos e serviços que lançamos para o mercado. Com esta tensão entre o time to market e a necessidade de ter todas as questões de segurança, este sim, é um dos pontos que mesmo as empresas com recursos têm para resolver e considerava um dos mais críticos atualmente. Como é que se resolve isto: muitas vezes, a melhor maneira será sempre ter a segurança by design, ter a segurança imbuída nos processos, nos desenhos e nos processos de contratação de fornecedores para ela nascer e não ser pensado a posteriori.

As organizações precisam de vários fornecedores externos que podem ser uma porta de entrada para um ciberataque. Como é que a EDP procura minimizar essas portas de entrada?

Há várias vertentes de atuação; uma delas já falámos um bocadinho e são as questões de awareness do risco, para colaboradores e ao mesmo tempo para os conselhos de administração. Os fornecedores acabam por estar neste âmbito do awareness. Fazemos formação, por exemplo, no nosso cyber range, um espaço que temos para formação com equipamentos reais. Também os convidamos a integrarem essas equipas para perceberem o risco a que estamos associados e no qual eles vão também trabalhar.

Depois temos a vertente contratual com a vertente dissuasora, todo o formalismo contratual; questões de dados pessoais e de cibersegurança estão também formalizadas nos contratos. À medida que novas exigências vêm, estes vão sendo atualizados.

Finalmente, no due diligence – e aqui temos alguns passos a dar – temos ratings de segurança, a possibilidade de fazermos auditorias em alguns fornecedores dentro da organização, que gerem recursos mais críticos por via da contratação, onde podemos fazer auditorias técnicas e de segurança a esses fornecedores.

A EDP tem uma das infraestruturas críticas em Portugal. Dentro do que pode revelar, como é que se faz a proteção desta infraestrutura para que nada falhe?

Temos aqui uma questão de preciosismo; existem as infraestruturas críticas e também, no quadro da nova lei que derivou da NIS da lei europeia para a cibersegurança, somos operadores de serviços essenciais. Existem aqui duas perspetivas; a perspetiva de infraestrutura crítica – do ativo em si que depois é gerido por sistemas – e também a perspetiva de serviços essenciais, na qual também as empresas como as utilities estão enquadradas.

Na proteção acaba por haver uma segregação. Há, efetivamente, uma ideia de homogeneização da segurança, mas nunca podemos deixar de lado os aspetos do domínio das redes e sistemas que chamamos de OT – operational technology – e que controla os equipamentos e os aspetos físicos das coisas que mexem e que controlam a energia, transportes, etc., do mundo do IT. Estes dois mundos acabam por terem de estar de alguma maneira segregados; a visão da segurança deverá ser única no sentido de conhecer o risco global da organização, mas, na atuação, estes mundos acabam por estar segregados, e este é um dos aspetos fundamentais para a proteção das infraestruturas críticas.

O outro aspeto é que dentro das infraestruturas críticas – que têm um peso, um legado com sistemas com uma duração muito maior daquilo a que estamos habituados nos nossos PC, são sistemas que não foram pensados na altura para vulnerabilidades – há uma urgência de fazer uma atualização e eliminar vulnerabilidades que possam existir em sistemas legados.

Há o aspeto, também, de colocar os sistemas mais inteligentes que temos tecnologicamente disponíveis para soluções de segurança dentro do domínio do OT com sistemas que possam fazer correlação e alertas em tempo real.

Tudo isto é fundamental, mas há um aspeto que é crucial e que todas as organizações devem ter, que são planos de continuidade de negócios. Estes planos têm de assegurar o fornecimento, no nosso caso, da energia caso os sistemas que estão primariamente a trabalhar falhem. É isso que acontece, que temos programado e planeado, mas isto não é apenas para as questões de cibersegurança. Se imaginarmos um temporal ou uma outra catástrofe ou incidente nos nossos ativos, temos de ter sempre um plano de continuidade de negócio.

O Paulo referiu anteriormente o ciberataque que a EDP sofreu em abril de 2020. O que é que pode revelar sobre o mesmo?

Foi um ataque de ransomware e afetou a nossa infraestrutura baseada em sistemas Windows do qual recuperámos de backup e não tivemos, felizmente, nenhuma perda de informação.

Temos presença em várias geografias e tivemos várias aprendizagens a vários níveis, entre as quais – saliento uma – a questão da comunicação. É interessante ver que muitas vezes temos mapeado a forma como temos de comunicar nestes incidentes, com os nossos reguladores – com a CNPD e o CNCS e também nos vários sítios onde temos presença –, mas depois, por exemplo, não imaginamos a quantidade de fornecedores que a EDP tem, os prestadores de serviços, os stakeholders… um número gigante. Uma das aprendizagens é termos a capacidade de dar esta resposta porque os stakeholders estão preocupados ou assustados com a situação.

Outra das coisas positivas, daquilo que falámos há bocadinho da consciencialização… aqui não estamos a falar de uma metáfora ou uma analogia; foi mesmo uma situação real que acabou por ter efeitos muito importantes na consciencialização da importância da cibersegurança dentro da organização.

Qual foi a principal aprendizagem que retirou deste ciberataque e que pode servir de conselho para outros CISO, CSO ou diretores de IT com responsabilidade de cibersegurança?

Há aqui algumas questões particulares que, obviamente, não poderei partilhar. As questões de awareness são fundamentais; aproveitar o incidente para melhorar estas questões de awareness porque temos uma hipótese de ter uma aprendizagem real. Não devemos enterrar o incidente e fazer disto um tabu, antes pelo contrário; devemos utilizá-lo para levantar as questões e criar uma cultura de cibersegurança mais forte porque é um exemplo real. Não é algo que desejávamos, mas, já que o temos, vamos aproveitar porque é uma situação única.

Também se percebe que, depois de termos um incidente, aquelas máquinas que não se podem parar, porque é tudo muito urgente, para se aplicar um patch ou uma nova solução, ganhou uma outra prioridade e uma outra força perante uma situação de crise. Também é uma aprendizagem que, se calhar, há aqui questões que temos de priorizar porque elas são também fundamentais para o negócio.

Volto a dizer isto como nota final porque acho que a minha missão é a gestão de risco, mas a minha visão é sermos reconhecidos como um enabler e não um blocker na organização. E não é fácil. Dizer que há servidor ou um sistema que precisa da aplicação de um patch e que isso implica um downtime de um serviço acaba por ser um dilema em termos de segurança e para o serviço que prestamos e às vezes temos de tender mais para estas questões do risco. Acho que o incidente trouxe essa aprendizagem porque estamos a falar de um risco real que todos sentimos.