O Estado da Nação no ano mais importante para a cibersegurança

A cibersegurança tem vindo a tornar-se cada vez mais importante para as organizações; e ainda bem que assim o é. 2024, no entanto, mostra-se como de extrema importância para as organizações; a entrada em vigor do NIS2, as novas tecnologias – como a Inteligência Artificial (IA) – que vão aparecendo e a escassez de talento generalizada trazem novos desafios para as empresas portuguesas.

Para uma plateia de mais de 300 leitores, a IT Security voltou a organizar – pelo terceiro ano consecutivo – o Estado da Nação em Cibersegurança onde os representantes de dez empresas portuguesas partilharam a sua visão sobre como está a cibersegurança em 2024.

Comparando Portugal com outros países europeus, como está o contexto da cibersegurança?

	Luís Catarino, Head of Offensive Security Iberia, S21sec

Luís Catarino, Head of Offensive Security Iberia, S21sec: “Estamos todos conscientes que o mundo enfrenta grandes ameaças à segurança, sejam elas do mundo físico ou do mundo digital. Com esta conjuntura, com o crescimento exponencial dos ciberataques e com o aumento da complexidade dos mesmos, há uma consciencialização do risco por parte das nossas organizações e de todos os profissionais nesta área. Com base no relatório Riscos e Conflitos de 2024 do Centro Nacional de Cibersegurança, os ciberataques foram muito mais direcionados aos indivíduos e às PME”

Vasco Sousa, Channel Account Manager, Arcserve: “Estamos um bocadinho mais resguardados naquilo que são os ataques em termos de infraestrutura críticas ligados à área da defesa. Isso tem sido, pelo menos, bastante visível em alguns outros territórios europeus, e em Portugal, felizmente, não temos visto. Por outro lado, os ciberataques com vista ao lucro continuam a existir; há muitos anos que andamos a falar deles e acho que vamos continuar a falar durante muitos anos. O cibercrime já se tornou, há bastante tempo, num negócio lucrativo”

Bruno Castro, Fundador & CEO, VisionWare: “O cibercrime é um negócio completamente maduro e profissional e já trabalha em modo de consórcio empresarial em que, num ciberataque, temos vários grupos cibercriminosos que se aliam para serem capazes de otimizar o lucro no processo de cibercrime. Não nos preocupa a facilidade com que se consegue ferramentas de malware para gerar ataques; esses grupos criminosos wanna be são relevantes, mas não são os mais importantes ou críticos em termos de ciberdefesa. O cibercrime gera muito dinheiro e é trabalhado por profissionais da área tão bons ou melhores do que nós”

Como sentem a maturidade das organizações e das empresas portuguesas?

António Ribeiro, Portugal Cybersecurity Country Lead, DXC

António Ribeiro, Portugal Cybersecurity Country Lead, DXC: “A perceção é que as grandes organizações estão num estado de maturidade naturalmente elevado, há uma boa perceção do risco. Apesar desse estado de maturidade elevado, não quer dizer que a sua execução seja efetiva; há a vontade de fazer algo, mas falta o budget para o executar. Quando descemos para aquilo que é o core da indústria nacional, nomeadamente as PME, vemos muito mais dificuldades, seja por questões orçamentais ou porque nem sequer têm perceção do risco a que estão sujeitas”

Quais são as novas tecnologias que estão a ser mais procuradas pelas organizações nacionais? Em 2024, qual sentem que é o tipo de produto que as empresas portuguesas mais investem?

	Miguel Barreiros, Sales & Marketing Director, Securnet

Miguel Barreiros, Sales & Marketing Director, Securnet: “Aquilo que tenho sentido nas empresas nacionais é que, mais do que tecnologia, têm sido procurados serviços por trás da tecnologia. Ou seja, SOC-asa- Service, MDR ou XDR, que precisam de ter alguém a operar e que saiba operar em regimes 24/7. A maior parte das organizações não tem um conjunto de tecnologias que as protege e que as defende. Os utilizadores são, e serão sempre, o elo mais fraco. Não há mal nenhum nisso; há é que lidar com isso e encontrar formas de gerir este facto”

Luís Martins, VP Managing Director, Cipher: “O que sentimos no mercado é que há uma procura de tudo aquilo que são ferramentas ligadas a inteligência artificial. Mais do que ferramentas propriamente ditas, as organizações perceberam que têm de ter as pessoas e sinto que se procura cada vez mais os serviços e não tanto as ferramentas. A maior parte das organizações já percebeu que as ferramentas não resolvem o problema por si só e que não é possível, só com ferramentas, endereçar tudo aquilo que são as necessidades que as organizações têm”

Bruno Gonçalves, Cybersecurity Business Unit, Warpcom: “Tem sido notório no mercado esta consciencialização de que não basta uma solução; claramente existe a necessidade de que esta solução tenha um acompanhamento que só se consegue fazer com serviços. Em termos de áreas, as organizações procuram a parte de XDR, a componente de garantir a deteção e a resposta a incidentes de segurança. Esta é uma área onde não é apenas ter a tecnologia, mas depois ter a capacidade e o know-how do que fazer a seguir”

Vasco Sousa, Arcserve: “No que diz respeito às aplicações as-a-Service, é preciso perceber quem é que tem a responsabilidade de fazer as cópias de aplicações como Microsoft 365 ou os dados do Exchange. Antigamente, só fazíamos backup dos dados e depois começámos a guardar, também, as configurações dos servidores de forma a termos um disaster recovery rápido. Acho que estamos também, neste preciso momento, a olhar para as aplicações da mesma forma”

A inteligência artificial aplicada à cibersegurança já é uma realidade? As organizações estão a apostar em IA para proteger as suas organizações?

Bruno Gonçalves, Cybersecurity Business Unit, Warpcom

Bruno Gonçalves, Warpcom: “Do lado do atacante, temos assistido a muitos ChatGPT específicos para a criação de ataques e esse é um componente que está a ser cada vez mais explorado. Temos, inclusivamente, uma vertente muito grande de deepfakes que está a acontecer e que utiliza mecanismos de deep learning para fazer ataques. Do lado de quem defende, a IA terá um grande benefício na componente de deteção e correlação de eventos onde algumas organizações já começam a tirar partido deste tipo de mecanismos”

David Grave, Security Director, Claranet: “Há um rebrand de uma série de funcionalidades que já conhecíamos – que se chamavam machine learning e agora se chamam inteligência artificial. Umas vão passar a chamar-se assistentes – de ataque ou de defesa – e isto é uma área muito nova, mas já vimos o impacto tanto positivo, como negativo. É incontornável. As organizações estão a adotar mecanismos de cibersegurança incorporados nas aplicações que costumam utilizar”

Bernardete Carvalho, Territory Account Manager, Sophos: “A IA é um tema que está em cima da mesa, mas já subsiste há muitos anos. A inteligência artificial está aplicada a diversas áreas, nomeadamente à cibersegurança; isso é um facto. No contexto das organizações, notamos no dia-a-dia que todas têm vindo a tomar medidas e a definir a sua estratégia, que tem passado pela adoção de soluções e serviços, que é uma componente extremamente importante no contexto da cibersegurança. A adoção destas soluções e serviços depreende que consigam absorver, analisar e correlacionar grandes quantidades de informação em tempo real”

António Ribeiro, DXC: “Este é um hype gigantesco que existe no mercado e a expectativa é que vá resolver todos os males no mundo. Estamos todos numa fase de descoberta, sejam os próprios integradores ou os próprios clientes, de perceber qual é a melhor forma de tirar partido da tecnologia. Se a tecnologia beneficia quem se defende dos ataques, também está a beneficiar – e, se calhar, até muito mais – quem ataca. Para quem defende, há uma grande vantagem no tempo de resposta e a expectativa é que, quando estamos perante um incidente, a IA ajude e que o tempo de resposta seja muito mais célere”

Luís Catarino, S21sec: “É importante clarificar que este hype que estamos a ver nasce a partir do momento em que se democratizou o acesso à IA generativa, capaz de produzir texto, imagem e vídeo. No que toca a Portugal, a inteligência artificial, através das soluções, já estava em uso. Não sabemos bem para onde se vai e estamos numa fase piloto, mas não conseguimos voltar atrás e a IA vai integrar de alguma forma a nossa área, tanto na perspetiva de defesa como de ataque”

Luís Martins, Cipher: “Do ponto de vista dos ciberataques, há uma maior utilização e preponderância da inteligência artificial e nota-se em coisas tão simples como fazer AI poisoning; como existem vários motores de inteligência artificial utilizados, aquilo que os cibercriminosos fazem é tentar envenenar essas fontes para dificultar a defesa e as pessoas que nela trabalham. Hoje, já existe este tipo de aproximação e a defesa está um passo atrás. A tendência vai ser incluir cada vez mais inteligência artificial e formas de combater estas novas formas de ataque”

Como está a evoluir a proteção do endpoint? Quais são as soluções que os utilizadores têm à sua disposição?

	Bernardete Carvalho, Territory Account Manager, Sophos

Bernardete Carvalho, Sophos: “Destaco, mais uma vez, a integração da inteligência artificial que veio trazer mais capacidades à proteção do endpoint, como a análise comportamental e nos processos de deteção de software. Claro que também, a nível de software, foi incorporada tecnologias de última geração. Destaco o Adaptative Attack Protection que é assente em vários modelos avanços de deep learning que permite adaptar, em tempo real, a defesa do endpoint aos diversos ataques, nomeadamente ataques zero-day e persistentes”

José De La Cruz, Technical Director Iberia, Trend Micro: “Primeiro, é preciso compreender o novo perímetro. Propomos uma regra básica que qualquer empresa pode aplicar para melhorar a sua postura de cibersegurança, que é a regra ‘ABC’. ‘A’ para análise de postura de cibersegurança, onde se corrige o básico. ‘B’ para bloqueio e deteção de ataques, onde quanto mais cedo detetarmos o ataque, melhor. Por fim, ‘C’ para controlo e resposta; vivemos na era da automatização e precisamos de automatizar a resposta para ser o mais eficiente possível”

Miguel Barreiros, Securnet: “O endpoint voltou a ser o rei. O endpoint foi negligenciado na altura das redes em que tudo era firewalls, redes e servidores e, na altura pandémica e pós-pandémica, ganhou uma nova vida. Juntamos ferramentas tudo àquilo que é necessário para um endpoint e que já assistimos a este processo nas firewalls, mas também ferramentas que cobrem, por exemplo, o ciclo de gestão de vulnerabilidades, desde a identificação das vulnerabilidades até à sua categorização, priorização e correção em bloco”

Como sentem as organizações nacionais a olhar para as regulamentações europeias, nomeadamente a NIS2? Sentem que as organizações estão prontas para a entrada em vigor desta regulamentação?

Luís Martins, VP Managing Director, Cipher

Luís Martins, Cipher: “O que sentimos no mercado é que a grande maioria das organizações com grande maturidade estão habituadas a cumprir com as diretivas e a ter um elevado nível de conformidade e estão mais bem preparadas do que a maioria das outras organizações. O grosso do nosso mercado são PME e a maioria delas vai lutar bastante para implementar alguns dos requisitos do NIS2 e diria que algumas delas ainda não têm sequer noção de que estão abrangidas e vão ter de aplicar um conjunto de controlos e processos referente ao que é exigido”

Bruno Gonçalves, Warpcom: “Há um maior awareness das organizações, até daquilo que era o NIS e se traduziu no decreto-lei 65/2021 e agora, para o NIS2, há um conjunto de organizações que já começa a ter esse awareness, principalmente no setor público. Nas PME, aí sim há algum desconhecimento do quão exigente é e de como começar. Muitas organizações continuam a ter o problema de perceber como é que se chega lá e de garantir que têm um plano de segurança e gestão de risco. O principal objetivo desta normativa é ganhar capacidade e resiliência de princípios básicos de cibersegurança”

David Grave, Claranet: “O NIS2 é uma evolução importante em relação ao NIS e a outros regulamentos e as organizações têm vindo a levar esta necessidade de conformidade muito a sério. Temos ajudado muitas organizações a navegar este processo, onde sentimos que há um empenho claro em cumprir os requisitos, mas muitas organizações ainda estão numa fase de adaptação, de trabalho, de conhecer completamente as suas infraestruturas e processos de cibersegurança. Agora, o NIS2 exige um nível muito elevado não só de proteção, mas de resiliência das organizações”

Miguel Barreiros, Securnet: “Tenho sido bastante surpreendido pela atenção que tem sido dada ao tema pelos clientes do setor público e privado. Se entendo que uma norma para a indústria automóvel, por exemplo, o chamamento é o negócio – onde ou cumprem, ou não fornecem –, aqui há outro chamamento que é a multa, que na falta de melhor é uma justificação para se avançar. Hoje, o awareness é completamente diferente do que era há uns anos e as pessoas estão mais despertas para estas necessidades, seja por regulamentações setoriais ou por aquilo que tem sido a mensagem passada sobre este tema”

	Vasco Sousa, Channel Account Manager, Arcserve

Vasco Sousa, Arcserve: “É uma regulamentação muito extensa que cobre muitos fatores. Na Europa, o NIS2 foca-se na continuidade do negócio e é uma parte essencial da ciberhigiene das organizações. Na recuperação de negócio, é preciso ter uma estratégia de cópias de segurança e de identificar e catalogar dados que são críticos e não críticos e que devem ser alvo de cópias de segurança e, muito provavelmente, com estratégias diferentes para o tipo de dados, assim como estabelecer o procedimento de restauro”

José De La Cruz, Trend Micro: “Estou muito surpreendido com a resposta e o interesse que todas as empresas – tanto em Espanha como em Portugal, públicas ou privadas – têm em respeito ao NIS2. A normativa deve ser transposta por todos os Estados-Membros [da União Europeia] até outubro de 2024; Espanha ainda não está preparada e Portugal também não. Não sei se será transposta até essa data, mas a normativa requer a análise do risco e identificar os pontos fracos, assim como políticas de segurança robustas para proteger os vetores de ataque”

A escassez de talento é um problema para qualquer organização, especialmente em cibersegurança? Como se pode combater este tema?

David Grave, Security Director, Claranet

David Grave, Claranet: “Este é um tema transversal. Não é um desafio nacional, mas sim global e ninguém está imune a isso. Adotamos uma abordagem com múltiplas frentes para podermos identificar os recursos necessários. Fazemos um investimento em programas de formação, gestão de carreira e capacitação das equipas e das pessoas e diria que a maioria dos profissionais que está em cargos de relevância nesta área vieram por um processo orgânico, de interesse, e as suas carreiras trouxeram-nos até aqui, construindo o seu conhecimento”

António Ribeiro, DXC: “É um problema para os clientes finais e também para os integradores. Todos sabemos o que temos feito e a dificuldade que é a escassez de talento. Isto não se endereça com inteligência artificial; pode ajudar, mas não é a resposta, pelo menos não no imediato. A automação pode ter um impacto significativo. Com mais automação, podemos reduzir um pouco esta escassez de talento. Por outro lado, é preciso realçar o esforço do Centro Nacional de Cibersegurança que tem lançado vários programas – em particular o C-Academy – que tem procurado colmatar o problema, mas isto não se resolve de um dia para o outro”

Bernardete Carvalho, Sophos: “Isto é uma preocupação e um desafio para as organizações a nível local e global. É um facto que as características dos ataques implicam ter perfis capacitados, mas não basta o conhecimento adquirido, também é preciso a experiência. Só a experiência pode dar a estes recursos a efetividade e resposta às características mais sofisticadas dos ataques. Sabemos que as equipas de IT não conseguem estar dedicados totalmente no seu dia-a-dia e percebemos as dificuldades de estarem focados na componente da cibersegurança”

Como estão a evoluir as ciberameaças e como é que as organizações portuguesas estão a fazer frente às mesmas?

	Bruno Castro, Fundador & CEO, VisionWare

Bruno Castro, VisionWare: “A fase pós-pandémica ainda não passou. Vemos cada vez mais grupos de cibercriminosos a aparecer todos os dias, sempre altamente especializados que, agora, vêm num modelo de consórcio empresarial onde quem faz a intrusão não é quem rouba e quem rouba já não é quem vende; é muito mais complexo. Aliado à questão geopolítica, o mundo do cibercrime sempre atuou sob uma bandeira o que complica a vida porque dá uma latitude de ciberataques onde vale quase tudo. É preciso antecipar qual será a nova forma de ataque”

Luís Catarino, S21sec: “Não podemos deixar de referir a gestão de vulnerabilidades; este é um processo fundamental. Já foram reportadas 17 mil vulnerabilidades este ano e esta é uma porta de entrada. A exploração destas vulnerabilidades é uma tendência para o futuro. Por muito que não queiramos falar de IA, acredito que vamos ter de encontrar soluções a nível tecnológico, mas também aumentar a consciencialização, o que se torna difícil quando nós próprios não conseguimos avaliar concretamente este novo tipo de ameaças”

Como tem estado a evoluir o envolvimento da administração na cibersegurança? O CISO, CSO ou diretores de IT com responsabilidade de cibersegurança estão a conseguir colocar o tema nas reuniões de administrações?

José De La Cruz, Technical Director Iberia, Trend Micro

José De La Cruz, Trend Micro: “Os regulamentos vão desempenhar um papel fundamental nesta matéria. A novidade do NIS2 é a responsabilidade jurídica que recai nos CISO e CSO. A cibersegurança tem de ser implementada na fase de desenho de qualquer projeto que se vai implementar, tendo em conta os riscos existentes e investindo em tecnologias de cibersegurança corretas. Por último, as direções precisam de ter visão sobre a postura de cibersegurança da empresa. É muito importante identificar os pontos fracos antes dos atacantes o façam”

Bruno Castro, VisionWare: “Antes, a cibersegurança não era sequer tema da administração; hoje, é totalmente distinto do que se via há dez anos. Conseguimos ter o top management envolvido – até por pressões mediáticas – porque o negócio assim exige. As diretivas e normativas existem para aumentar o nível de maturidade das organizações em cibersegurança e a segurança que podemos dar ao ecossistema onde nos posicionamos. Em momentos de desastre, o top management tem de estar envolvido”