Numa entrevista à Security Magazine, Jorge Pinto, co-fundador e presidente da AP2SI, aborda a temática das ameaças iminentes no ciberespaço, bem como da falta de competências e sensibilização. “A falta de competências nas áreas ligadas à segurança da informação e cibersegurança é, também, um desafio persistente”, diz.
Security Magazine – Fale-nos um pouco sobre as ameaças iminentes que espreitam no espaço cibernético. Como é que a superfície de ataque está a evoluir?
Jorge Pinto – As ameaças no ciberespaço estão em constante evolução, acompanhando também a evolução das tecnologias. A superfície de ataque tem se expandido devido ao aumento da conectividade e da digitalização e da presença online de organizações e indivíduos.
No campo tecnológico, alguns dos principais desafios são já bem conhecidos como ataques de malware e ransomware, ataques de engenharia social como phishing, acesso não autorizado a dados, e ataques de negação de serviço distribuído (DDoS).
Outros desafios como as ameaças persistentes avançadas (APTs) estão a ganhar terreno à medida que os Estados e organizações criminosas melhoram e evoluem as suas capacidades de explorar o ciberespaço para os seus fins.
Além disso, com a proliferação de dispositivos ligados à Internet das Coisas (IoT), continuam a surgir novas vulnerabilidades e pontos de entrada para ataques nos mais variados sectores, desde a indústria à saúde, passando pelas cidades inteligentes.
Por final gostaríamos de destacar também o panorama social, em particular as temáticas ligadas à desinformação e iliteracia digital, que apresentam um enorme potencial para contribuir para o enfraquecimento das instituições democráticas e da sociedade através da veiculação de notícias falsas, informação descontextualizada ou incompleta e até campanhas executadas por actores estatais.
A espionagem empresarial está a aumentar, tal como a actividade de agentes patrocinados pelo Estado. Qual é o maior problema?
Ambos são bastante relevantes. A espionagem empresarial e a actividade de agentes patrocinados pelo Estado, bem como a criminalidade organizada, representam problemas de segurança que não podemos ignorar.
As empresas e instituições do Estado sempre foram alvos preferenciais para o roubo de propriedade intelectual, segredos comerciais e informações sensíveis. A situação não mudou, mas agravou-se em grande medida devido à falta de percepção do risco aliada a investimentos desalinhados com as estratégias de negócio ou com as necessidades de protecção, num contexto de avanço tecnológico em que o tradicional perímetro de segurança se tem esbatido cada vez mais.
Além dos ganhos económicos, cobiçados em medida similar por organizações pouco éticas, criminosos ou Estados, é preciso lembrar que os agentes associados a Estados dispõem de acesso a recursos consideráveis e têm uma maior motivação para obter informações estratégicas visando, entre outros objectivos, a obtenção de vantagens geopolíticas e económicas.
Um grande problema na área da infosec é a falta de competências. A inclusão, nomeadamente através da diversidade de género, racial e neurodiversidade, é apontada como uma estratégia importante para colmatar esta questão, porém o problema mantém-se. Na sua opinião, quais as suas ideias para fazer frente a esta questão?
A falta de competências nas áreas ligadas à segurança da informação e cibersegurança é, também, um desafio persistente. A AP2SI trabalha com os seus parceiros para fazer frente a essa questão, executando ou promovendo iniciativas que visem atrair mais jovens para estas áreas, ou estejam focadas na requalificação.
São várias as estratégias que podemos seguir. Alguns exemplos são programas de formação financiados, bolsas de estudo, prémios de mérito, bem como actividades de mentoria.
Acreditamos também que é necessário promover temas como a inclusão e diversidade, através do incentivo à participação de mulheres, minorias raciais e pessoas neurodiversas em áreas relacionadas com a cibersegurança.
As empresas podem também apostar em fomentar ambientes mais inclusivos, em requalificar os seus profissionais e assegurar salários que permitam manter os profissionais e evitar a fuga para o estrangeiro.
Além disso, é fundamental que as instituições de ensino adeqúem os seus programas de forma a capacitar os alunos nos temas da literacia digital, por forma a que entendam a importância destas temáticas na sua vida pessoal e na sua futura vida profissional.
Daquilo que é o seu conhecimento, quais são as tecnologias emergentes e tendências no domínio da segurança e que oportunidades e desafios são gerados pelas mesmas?
No domínio da cibersegurança, algumas das tecnologias emergentes estão ligadas aos avanços tecnológicos em áreas como a inteligência artificial e machine learning, a computação em nuvem, a criptografia avançada, os dispositivos da IoT.
Qualquer uma destas áreas tem crescido bastante nos últimos anos e irá influenciar a forma como trabalhamos a segurança de sistemas e dados, bem como a protecção de dados pessoais.
Estes avanços trazem com eles excelentes oportunidades para quem trabalha em cibersegurança, por exemplo na melhoria dos mecanismos de detecção e resposta a ameaças, automatização de processos de segurança, fortalecimento dos mecanismos e tecnologias de criptografia, bem como no aumento da protecção de organizações e indivíduos.
No entanto, como qualquer tecnologia, também trazem desafios como a rápida evolução das tácticas dos criminosos exigindo uma constante adaptação das estratégias e soluções de segurança, o aumento de complexidade e interconectividade dos sistemas de informação que obriga a uma maior atenção na sua gestão e implementação, não esquecendo também os temas relacionados com a conformidade com legislação e regulamentação que as organizações necessitam conhecer e acomodar nas suas operações.
Por último, ainda no tema dos desafios, não podemos deixar de referir que, independentemente dos avanços, é necessário que as tecnologias respeitem a privacidade dos indivíduos e que não haja discriminação, viés ou abusos na sua aplicação.
Pode comentar-nos qual o estado actual da sensibilização de uma forma geral em matéria de cibersegurança e o estado de preparação para uma ciberameaça?
De uma forma geral, estamos mais bem preparados do que estávamos há 10 ou 20 anos atrás. Apesar de ainda haver um longo caminho a percorrer, a sensibilização em matérias relacionadas com a privacidade, a segurança da informação e a cibersegurança tem aumentado e vemos já resultados desse aumento.
No que diz respeito aos cidadãos, cada vez mais pessoas estão cientes dos riscos associados ao ciberespaço e à sociedade online, apesar de ainda existirem lacunas de conhecimento e prevalência de práticas inseguras. Entendemos que é necessário um esforço conjunto entre Estado e Sociedade Civil para alcançar aqueles que têm baixa literacia digital e dificuldade em compreender os riscos de uma sociedade cujo funcionamento está cada vez mais assente em sistemas de informação.
Acreditamos que, quanto mais pessoas estiverem conscientes, mais o assunto será discutido e difundido, resultando numa maior adopção de boas práticas.
No que diz respeito a empresas e organizações, estas estão mais cientes dos riscos, principalmente devido à divulgação cada vez maior sobre ciberataques e crimes na internet pelos meios de comunicação. No entanto, ainda existem disparidades significativas na forma como lidam com esses riscos.
Poucas integram a exposição aos riscos digitais na sua estratégia de negócio e operação, independentemente do tamanho da organização. Ainda são menos as que possuem um responsável ou uma equipe dedicados a 100% às funções de segurança da informação e cibersegurança. Algo que prevemos que mude brevemente por força da legislação e regulamentação.
A nível mundial temos assistido a uma proliferação de instituições e associações que têm trabalhado para que estas temáticas estejam, cada vez mais, embebidas na nossa sociedade.
Em Portugal, do lado do Estado não podíamos deixar de mencionar o trabalho levado a cabo pelo Centro Nacional de Cibersegurança (CNCS), a Polícia Judiciária (PJ) e a Procuradoria-Geral da República (PGR). Do lado da Sociedade Civil gostaríamos de destacar, além da AP2SI, o trabalho do ISACA Lisbon Chapter, da Women4Cyber Portugal e da Associação dos Profissionais de Proteção de Dados (APDPO), associações com as quais colaboramos regularmente.