Analysis
David Marques, Head of Cybersecurity do Grupo Nabeiro, aborda, em entrevista, o presente e o futuro das ciberameaças, a importância da cibersegurança nos processos de desenvolvimento e inovação das organizações e os programas de formação e sensibilização dos colaboradores
Por Rui Damião . 04/10/2024
Para quem possa não conhecer, o que é o Grupo Nabeiro? O Grupo Nabeiro é muito conhecido pela marca Delta Cafés, do qual é dono, mas o Grupo Nabeiro integra todas as marcas e empresas do grupo. Evidentemente, é uma empresa com muita história em Portugal, muito fruto de quem foi o seu fundador, o senhor Rui Nabeiro. Neste momento, o grupo tem mais de 60 anos de história e tem uma presença direta em oito países; tem em Portugal a sede, mais sete países com operação direta e presente em 40 países no total através de distribuidores locais. São cerca de 3.800 colaboradores no mundo todo e as principais e mais conhecidas marcas são a Delta Cafés – que trabalha todo o produto do café a nível de café moído e grão – e a Delta Q – com as cápsulas e máquinas. Desde cedo, foi intenção do fundador do grupo levar a marca Delta Cafés para além de Portugal e isso tem pautado aquilo que tem sido também a estratégia de internacionalização e expansão internacional do grupo, muito apoiada na inovação, com uma forte rede comercial e um foco muito grande no cliente; o senhor Rui era conhecido por ter uma proximidade muito grande com os clientes. Hoje é um grupo não apenas focado no café, apesar de ser o negócio principal, mas já existem um conjunto de outros negócios e outras atividades, como por exemplo a Adega Mayor que tem toda a componente de vinho e azeite. Há um conjunto de marcas que o grupo trabalha e representa, alguns produtos da nossa inovação, outros de terceiros e por nós representadas. Como é que olha para o atual panorama de ciberameaças? Já estou nesta área há alguns anos e acho que há que destacar algumas coisas positivas que têm ocorrido ao longo dos anos. Houve uma evolução muito grande no que diz respeito à cibersegurança, à maturidade de cibersegurança nas organizações. Falar de cibersegurança hoje é completamente distinto do que era falar sobre cibersegurança há dez ou 15 anos. É verdade que muito tem contribuído alguma regulamentação específica, também os incidentes de segurança e a mediatização de muitos desses incidentes, mas a verdade é que penso que o maior contributo também tem vindo das organizações que têm feito um investimento cada vez maior em capacitar as organizações para este tema tão importante, com investimentos muito significativos. Estes investimentos, na minha opinião, tiveram um impacto muito grande no mercado, quer por permitir criar, por exemplo, um ecossistema de empresas de cibersegurança que conseguiram surgir por causa desse novo investimento, quer muitas destas empresas, especialmente de média ou grande dimensão, criaram equipas próprias e internas de cibersegurança e, na realidade, fruto de todo esse trabalho, tem existido uma evolução gigantesca na resposta a estas ameaças atuais. Logicamente que há um caminho ainda grande a percorrer, e neste panorama atual destacaria dois pontos fundamentais. Um deles é, naturalmente, a inteligência artificial. Além de ser uma buzzword, é um tema da atualidade que já está a ser usado pelos atacantes para atingirem os seus objetivos. Agora, aquilo a que estamos a assistir é a inteligência artificial a ter de ser usada do ponto de vista de quem defende para conseguir lidar com o desafio da falta de recursos e da incapacidade de dar uma resposta tão rápida às ameaças existentes. Acredito que esta buzzword vai passar à prática operacional num período de dois a três anos e vai ter um impacto muito positivo. Destacava, ainda, uma outra ameaça que me parece muito relevante. Cada vez mais há uma necessidade de interligar e integrar ambientes de IT com ambientes de OT, ambientes industriais, e sabemos que o nível de maturidade atual dos ambientes IT é completamente distinto dos ambientes OT. No entanto, fruto desta necessidade de interligação destes ambientes, creio que vai haver cada vez mais uma tendência dos atacantes de explorarem também estes ambientes, e fruto também da falta de maturidade que estes ambientes têm comparativamente aos ambientes de IT. A verdade é que as organizações, para os seus processos produtivos, têm uma dependência de 100% destes ambientes de OT. Como é que o processo de digitalização de produção e a adoção de novas tecnologias impactam a postura de cibersegurança? Há cada vez mais uma digitalização para aquilo que é a Indústria 4.0 e uma interligação de todas estas tecnologias. Cada vez mais existem outro tipo de tecnologias que entram dentro daquilo que são as nossas fábricas e dou exemplos concretos para os quais muitas organizações estão a olhar, inclusivamente nós, como a entrada de AGV [Automated Guided Vehicles] como parte do processo produtivo. Isso traz um conjunto de novos desafios. É bom lembrar que quando entra uma destas novas tecnologias dentro de um processo produtivo, não estamos a falar de um dispositivo que entra nos fluxos de comunicação destas redes industriais; estamos a falar de ‘n’ dispositivos, ‘n’ sensores que são necessários para apenas um único equipamento autónomo destes conseguir trabalhar.
É lógico que, à medida que integramos estas tecnologias dentro dos processos produtivos, novas ameaças surgem porque, na prática, aquilo que estamos a fazer é aumentar, alargar a nossa superfície de ataque. Creio que vai haver aqui um processo onde as equipas de segurança – nomeadamente equipas de SOC e equipas de resposta a incidentes – vão ter de começar a adaptar-se para olhar para aquilo que são os outputs também destes novos sensores, destas novas tecnologias, para dentro dos seus processos de monitorização e resposta a incidentes, com os quais se calhar não estavam tão familiarizados. Mas a verdade é que vai haver cada vez mais uma recolha maior de informação produzida por todos estes sensores dentro de uma rede industrial que têm de ser avaliadas do ponto de vista de segurança para, lá está, desenvolver novos tipos de deteção para ameaças que vão ocorrer e que vão chegar cada vez mais perto destes processos produtivos. Além disso, inclusivamente, muitas destas novas tecnologias que entram dentro dos processos produtivos das fábricas, acabam por ter uma necessidade de comunicação com a cloud, com dashboards ou interfaces na cloud. Isto faz com que ambientes que no passado eram mesmo muito, muito isolados, tenham uma necessidade cada vez maior de ter interseções ou pontos de comunicação para com a rede global de Internet. Por sua vez, também traz um aumento de superfície de ataque que não é de todo despiciente e que todos estes dados, efetivamente, têm de passar a ser geridos de um ponto de vista de equipas de resposta a incidentes. Quais são os principais desafios para equilibrar a inovação tecnológica neste setor com a cibersegurança e defesa da organização? Essencialmente, temos aqui duas tipologias de desafios diferentes. Uns desafios do ponto de vista tecnológico e outros do ponto de vista mais humano e processual. Começando por esses desafios não tecnológicos, é verdade que existe um push muito grande – quer dos fabricantes, quer das próprias organizações – para a inovação tecnológica. Isto faz com que os ciclos de desenvolvimento sejam cada vez mais curtos para acompanhar aquilo que são as tendências de mercado. Aquilo que muitas vezes acontece é que alguns responsáveis de cibersegurança – e aí creio que talvez tenhamos de mudar a abordagem – são partidários do não porque algo é inseguro. Acho que cada vez mais temos de acompanhar esses processos para garantir que não comunicamos nãos, mas comunicamos efetivamente risco. Temos de ser capazes de fazer uma avaliação correta dos riscos envolvidos, aprender a comunicar corretamente esses riscos para pessoas e equipas que não têm nada a ver com cibersegurança porque, às vezes, nem é a própria equipa de segurança que tem de assumir e aceitar esses riscos. Há um longo caminho a percorrer para garantir que as portas não se fecham, que estes fluxos de comunicação entre as diferentes equipas se mantenham abertos. Por outro lado, também é verdade que temos os desafios tecnológicos atrás de todos estes processos. Aí, sempre que se agrega uma nova tecnologia em qualquer processo, essas tecnologias tipicamente trazem atrás de si hardware, software, bugs e problemas de segurança. É preciso olhar para tudo aquilo que entra dentro da organização e tentar acompanhar este ciclo de desenvolvimento tecnológico o mais cedo possível no processo de inovação. Aquilo que queremos evitar, do ponto de vista tecnológico, é que acompanhemos os projetos de inovação apenas na parte final; aí criamos um conjunto de fricções porque, aí sim, encontramos determinados problemas do ponto de vista de cibersegurança e que são muito mais difíceis de corrigir e é muito mais difícil parar a inovação tecnológica quando ela está quase no seu estágio final a sair para o mercado. É preciso garantir que há um acompanhamento destes processos de inovação desde o seu ciclo inicial porque, se isso acontecer, garante-se que as equipas de cibersegurança acabam por conseguir ter inputs muitos positivos e serem vistos como enabler do processo de inovação tecnológica e não o contrário. Referiu que o número de colaboradores do Grupo Nabeiro ronda os 3.800. Qual é a abordagem em relação à formação em cibersegurança dos colaboradores e como se avalia a eficácia destes programas de formação? Temos, efetivamente, um desafio enorme no que diz respeito a este tema da formação e sensibilização dos colaboradores. O primeiro é, como referido, por termos um elevado número de colaboradores, mas muito particularmente por causa da dispersão geográfica e linguística; temos este desafio enorme que faz com que seja difícil conseguir chegar a todos estes colaboradores. Ainda assim, também me parece que tem sido uma das áreas onde temos tido um maior sucesso e um feedback mais positivo em relação ao programa de sensibilização que temos implementado. É um feedback subjetivo, aquilo que se chama de feedback de conversas de café, mas muito positivo. Temos definidas um conjunto de métricas nesse programa de sensibilização que acabam por nos mostrar os resultados positivos do programa. De forma mais prática e operacional, aquilo que decidimos fazer em primeiro lugar – por causa do tema de dispersão geográfica e linguística, foi criar um portal interno de cibersegurança, um género de one-stop-shop, ou seja, para tudo aquilo que são as nossas políticas, procedimentos, vídeos, artigos, formação e tudo o que está relacionado, de alguma maneira, com cibersegurança; queríamos que os nossos utilizadores soubessem que têm um canal único, acessível e disponível a todos e esta foi a forma mais rápida de conseguirmos chegar a todos os colaboradores do grupo. Fizemos questão de, depois, começar a desenvolver um conjunto de conteúdos para esse portal. Desenvolvemos, por exemplo, uma série em vídeo com atores internos, pessoas da casa. Quando falamos daqueles temas mais típicos – como phishing ou navegação segura – desenvolvemos essa série em vídeo e tivemos os colaboradores como atores, pessoas com que se cruzam no dia-a-dia, o que teve um impacto muito, muito positivo. Além disso, também desenvolvemos um conjunto de outros artigos muito direcionados, muito rápidos de leitura, mas muito focados nas necessidades diárias do utilizador e não apenas nas necessidades do seu dia-a-dia corporativo. Entrámos naquilo que são as necessidades do dia-a-dia da utilização pessoal e o impacto que têm na cibersegurança porque acreditamos plenamente que, se as pessoas estiverem sensíveis na utilização dos sistemas de informação ou das redes sociais na sua vida pessoal, vão acabar por transportar essa sensibilização para dentro da organização. Paralelamente, criámos um programa de gestão de risco humano onde temos um conjunto de critérios – como simulação de phishing entre outros – que usamos para medir qual é a sensibilidade dos utilizadores do grupo para estes temas de cibersegurança. Com base neste programa de risco humano, podemos identificar áreas e colaboradores onde temos uma maior necessidade de focar os nossos programas de sensibilização e formação. Temos feito um esforço muito grande para conseguir levar estes programas de sensibilização até de forma presencial a muitas áreas da organização e criar, muitas vezes, formações mais direcionadas, até porque as necessidades e as preocupações de quem trabalha num call center são diferentes de quem trabalha numa direção financeira. Há algum ciberataque que o Grupo Nabeiro tenha sofrido e que possa partilhar? Como é que foi ultrapassado? O Grupo Nabeiro também sofre tentativas de ataque, assim como qualquer outra organização; desde que tenha presença na Internet isso é inevitável. Já tivemos, efetivamente, alguns incidentes de segurança no passado e aquilo que fizemos foi utilizar os nossos processos de resposta a incidentes para reagir a esses incidentes de cibersegurança e garantir que o impacto era o mais baixo possível e que conseguimos recuperar no mais curto espaço de tempo possível. Aquilo que internamente aprendemos é que os incidentes reais – de maior ou menor escala – são a forma mais rápida que qualquer equipa de cibersegurança tem de potenciar a aprendizagem. Dificilmente existirá qualquer outro cenário controlado onde uma equipa de cibersegurança consiga aprender tanto como no incidente real. Aquilo que tentamos fazer cada vez que temos uma situação é tirar um conjunto de lições de aprendizagem para evitar recorrências de coisas semelhantes no futuro. Acho que aí tem sido muito positivo essa aprendizagem que temos conseguido ao longo do tempo, e a minha recomendação para qualquer equipa de cibersegurança, é focar-se muito mais na aprendizagem rápida que se consegue obter de um incidente melhorias dentro dos processos de resposta a incidentes. Como olha para a evolução das ciberameaças? O que é que se pode fazer para as organizações começarem a preparar-se para esse futuro? Vejo realmente uma evolução em diversas áreas e em algumas delas dificilmente conseguimos antever o que é que vai acontecer. No entanto, há aqui grupos que sabemos que vamos ter de endereçar no futuro e que vão ser alvo dos atacantes e destacaria três: as identidades, as vulnerabilidades e aquilo que é o supply chain. A identidade tem um papel cada vez mais importante dentro das organizações. Sabemos que, quer pela questão do teletrabalho, quer também pela utilização massiva de sistemas baseados em cloud, os perímetros físicos acabaram dentro das organizações. Acabando esse perímetro físico, a identidade tem um impacto cada vez maior e os atacantes sabem disso. A exploração do comprometimento de identidades é um dos pontos que acredito que vai continuar – já é à data de hoje – a ser muito explorado. Durante muitos anos habituámo-nos a gerir identidades e gerir as ameaças às identidades num ecossistema de ambientes dentro de um perímetro físico, os tais ambientes on-premises e agora temos de gerir as mesmas identidades em ambientes muito mais complexos. Acho que tem de haver uma mudança de paradigma; as organizações têm de aprender aquilo que fizeram para gerir identidades e a sua segurança num ambiente on-premises, mas na prática têm de mudar para um paradigma muito mais complexo e não ficar focados na forma como geriam identidades no passado porque esta gestão de identidades e de acessos que existem hoje, sem dúvida, que são altamente granulares quando comparados com o passado e exige um trabalho também cada vez mais granular das equipas de segurança para garantir que conseguem ter um controlo cada vez mais efetivo das identidades. Por outro lado, o tema das vulnerabilidades. É verdade que, ao longo dos últimos anos, tem existido uma evolução muito grande nos processos de desenvolvimento seguro de aplicações e hoje temos aplicações muito mais seguras do que teríamos há alguns anos. Acredito que, neste sentido, até possa assistir um decréscimo no número de vulnerabilidades que existe no mercado, mas também acredito, por outro lado, que as que são descobertas têm um acréscimo no impacto que podem ter dentro das organizações se forem exploradas. Aqui temos um desafio enorme como equipas de segurança, porque os processos tradicionais de gestão de vulnerabilidades, onde as equipas de segurança têm backlogs de milhares, ou até centenas de milhares de vulnerabilidades para corrigir e onde se focam apenas naquelas que têm tipicamente uma severidade baseada num critério que é mais habitual, que é o CVSS, para corrigir as vulnerabilidades, a verdade é que vão apenas corrigir apenas aquelas que realmente são mais críticas para a organização e continuam a ter um backlog gigantesco que tem tendência simplesmente a aumentar. Penso que temos de mudar e ser um agregador de fatores que não é baseado apenas num único critério, como acontece muitas vezes hoje, e usar critérios novos, como a métrica Exploit Prediction Scoring System, ou EPSS, que ajudam a fugir a este método tradicional e a passar a fazer uma gestão de vulnerabilidades muito mais focadas no risco efetivo delas. Isso pode fazer com que as organizações deixem de estar atoladas em querer andar atrás da correção de milhares ou centenas de milhares de vulnerabilidades para estarem muito mais focadas em corrigir aquelas que têm um impacto na gestão de risco. Do ponto de vista do supply chain, acredito que os ataques vão continuar e vão aumentar; acredito que vão aumentar cada vez mais em escala porque, do lado dos atacantes, é uma forma muito efetiva de maximizar o seu impacto e, de muitas vezes, conseguirem atingir determinados targets que, de forma direta, seriam mais difíceis de atingir. Acredito que as organizações têm de ter programas robustos de third-party risk management e deixar de focar apenas naquilo que é a nossa realidade como organizações, mas focar cada vez mais na exposição do nosso ecossistema, e como o ecossistema interage todos os dias com estas grandes organizações e, tipicamente, têm centenas de Parceiros que trabalham dentro das suas infraestruturas diariamente. É preciso focar o risco destas entidades que fazem parte do nosso ecossistema porque acredito que este tema vai piorar. Especialmente as empresas grandes têm quase que uma responsabilidade de ajudar nestes seus programas de gestão de risco de terceiros, quase para ajudar organizações mais pequenas e que não têm tantos recursos alocados ao tema da cibersegurança a criar programas ou, pelo menos, práticas de ciberhigiene. Se fizermos isto, acabamos por estar a beneficiar não apenas uma única entidade, mas toda a cadeia de valor. Quais são os conselhos que deixa a outros diretores de cibersegurança? Deixo notas em duas áreas, fruto não só desta minha experiência atual, mas também de experiência passada de um lado de um prestador de serviços que trabalhava com muitas organizações em termos de cibersegurança. Em primeiro lugar, penso que é importante as organizações conseguirem definir aquilo que é um roadmap para a cibersegurança adaptado àquilo que é a sua realidade, ter um plano concreto e definido. Seja um plano mais curto, mais longo, como também aquilo que é o objetivo e a cultura da organização. Aquilo que pode acontecer, muitas vezes, a essas organizações, é não terem este tipo de planeamento, não saberem onde é que querem chegar; ao estar simplesmente a aplicar medidas de correção ou pensos rápidos, medidas ad hoc, nunca vão conseguir sair desta camada muito micro. Podemos fazer muita diferença dentro das organizações quando conseguimos começar a trabalhar camadas mais acima, camadas focadas na alteração dos processos e fluxos da organização. Isso é aquilo que vai ter um impacto muito, muito grande do ponto de vista de cibersegurança. Também, por outro lado, se tivermos um plano muito bem definido e soubermos onde é que queremos chegar, ficamos muito menos expostos também àquilo que é a pressão normal dos vendors e fabricantes de cibersegurança porque aí vamos utilizar a tecnologia como um enabler para cumprir um plano que está definido e não o contrário, não vamos utilizar a tecnologia para criar o nosso plano de cibersegurança, porque o plano tem que ser algo muito mais transversal e muito mais agnóstico a qualquer tipo de tecnologia. Em segundo lugar, destacaria um ponto que até no passado havia essa abordagem e não pareceu que tivesse trazido bons resultados. Penso que não devemos olhar para a cibersegurança apenas de um ponto de vista de compliance. O compliance é importante, tem o seu papel fundamental dentro daquilo que são os planos de cibersegurança, mas não podemos olhar para a cibersegurança apenas como o cumprimento de um conjunto de checkboxes, porque senão podemos passar uma completa falsa sensação de cibersegurança porque temos a checkbox, mas temos efetivamente problemas de segurança. Neste contexto, é bom lembrar que os atacantes não cumprem quaisquer regulamentações, não usam quaisquer frameworks e ainda assim eles são bem-sucedidos. |