João Annes: “O mundo do OT é a próxima grande fronteira da cibersegurança” (com vídeo)

Durante a sua apresentação na IT Security Conference 2024, CISO da ANA - Aeroportos de Portugal e Membro do Observatório de Segurança e Defesa, João Annes, revelou que vivemos num “ambiente de policrise”, onde crises interligadas se desdobram em impactos imprevisíveis, muitas vezes amplificados pela complexidade das relações internacionais. “Temos um ambiente propenso ao risco no ambiente internacional que vivemos hoje. Isso acontece porque temos um contexto geopolítico”, explicou o orador que enfatiza que a atual instabilidade global exige uma nova abordagem para a cibersegurança.

O especialista sublinhou que o espaço informacional, que inclui sistemas digitais e físicos, tornou-se um campo de disputa entre os Estados. “Esse espaço, embora não seja tão tangível, é tanto ou mais importante [...] e constitui uma parte daquilo que são os jogos de poder da política internacional”, afirmou.

O papel crescente do ciberespaço nos conflitos globais

João Annes deixou claro que o ciberespaço transformou-se numa plataforma estratégica para a realização de conflitos entre Estados. “Os Estados também estão a ganhar cada vez mais apetência [...] por utilizar o ciberespaço como um meio para continuar a desenvolver esses conflitos”, afirmou. O CISO destacou que esta mudança de paradigma reflete-se até nas maiores alianças internacionais, mencionando que a NATO já reconheceu o impacto dos ciberataques. Segundo João Annes, o famoso artigo 5º do Tratado do Atlântico Norte, que define que um ataque contra um membro é um ataque contra todos, pode ser acionado na sequência de um ciberataque com “efeitos cinéticos”.

Ao abordar os incidentes que têm ocorrido no ciberespaço, o orador explicou que os Estados geralmente não assumem responsabilidade direta pelos ataques, o que torna difícil a atribuição de culpa. “É um combate que se faz nas sombras e procura-se evitar qualquer tipo de atribuição”, comentou, destacando que a natureza invisível dos ciberataques representa um desafio único para a segurança global.

Segundo o orador, “é um espaço que, neste momento, ainda não tem uma convenção de Genebra” e carece de “grandes regras entre os Estados para que se possam digladiar de forma um bocadinho mais civilizada”. Essa realidade evidencia que, muitas vezes, as consequências da cibersegurança vão além do que é apenas tecnologia da informação (IT). Ao reforçar que “não podemos ter democracia sem segurança e defesa”, João Annes apontou para o papel fundamental que a cibersegurança desempenha na proteção das infraestruturas críticas. Também foi destacado que “o mundo do OT é a próxima grande fronteira da cibersegurança”, referindo-se à necessidade de abordar as vulnerabilidades nas operações tecnológicas que suportam serviços essenciais.

A cibersegurança das organizações e a importância da cooperação

Para as organizações, o impacto dos ciberataques de origem estatal é particularmente grave. João Annes apontou que as empresas sozinhas não têm capacidade para competir com Estados ou grupos patrocinados por Estados, sugerindo que a melhor resposta a estas ameaças passa por uma cooperação estreita com as autoridades estatais. Além disso, o especialista salientou que “temos de adaptar a nossa própria avaliação de risco a este tipo de cenários”.

O CISO enfatizou também a importância de estratégias de dissuasão, apontando que estas devem ser desenvolvidas em conjunto com o Estado. Treinar e coordenar a cooperação internacional é, para João Annes, uma necessidade urgente, especialmente num contexto onde as ciberameaças estão a escalar rapidamente. “Quanto mais estes blocos se enfrentarem no ciberespaço, os impactos que virmos de um lado, amanhã vamos ver deste lado cada vez mais rapidamente”, alertou.

A NIS2 e a cooperação internacional

Durante a sua intervenção, João Annes fez várias referências à diretiva NIS2, destacando o seu papel na formalização de mecanismos de cooperação internacional. “A NIS2 no seu artigo 14º, formalizou um mecanismo de cooperação internacional”, explicou, sublinhando que estes tipos de iniciativas são fundamentais para a criação de uma resposta eficaz a ciberataques. No entanto, o especialista foi claro ao afirmar que estas estratégias precisam de ser postas em prática de forma eficiente para terem impacto.

João Annes concluiu com sugestões práticas para fortalecer a cibersegurança em Portugal. Entre elas, destacou a necessidade de incentivos fiscais para promover o investimento em cibersegurança, sobretudo na formação e retenção de profissionais. “Portugal não tem capacidade para pagar 12 mil euros líquidos como empresas na Suíça”, observou, referindo-se às dificuldades do país em competir com os salários oferecidos por outros países. Nesse sentido, apelou para a criação de mecanismos que permitam reter talento em Portugal, uma vez que “muitos deles por metade ficavam cá, mas por 10% não ficam”.

Propostas para um futuro mais seguro

O especialista apresentou ainda um conjunto de prioridades para melhorar a ciber-resiliência em Portugal. Entre as sugestões, destacou a necessidade de “harmonizar a legislação e regulamentar responsabilidades e atribuições”, de modo a reduzir a sobrecarga regulatória sobre os setores mais expostos a ciberataques. Com diferentes reguladores a aplicar diferentes normas, as empresas acabam por investir em compliance em vez de segurança real e alertou que “estamos a investir cada vez mais em perfis não técnicos, que vão nos ajudar a cumprir a legislação, mas não nos vão ajudar a responder a um incidente”.

João Annes sublinhou que o fortalecimento da cibersegurança no país passa por uma conjugação de esforços entre o Estado, as organizações privadas e a cooperação internacional. No atual ambiente geopolítico, onde a cibersegurança já não pode ser dissociada da política internacional, as ações coordenadas e eficazes são mais necessárias do que nunca.