Em 27 de junho de 2017, funcionários de mais de 80 empresas globais ligaram os seus computadores para apenas encontrarem um écran com a mensagem “Os seus ficheiros importantes foram cifrados”. Em complemento, era feito um pedido de pagamento de uma quantia em bitcoins, que levaria à decifragem dos ficheiros entretanto tornados inacessíveis. Com o desenrolar do dia, o “C level” começou a compreender a dimensão e o impacto da situação a que tinham sido sujeitas as suas empresas: o malware tinha infetado servidores centrais com uma tal profundidade e gravidade, que as operações globais se encontravam paralisadas, incluindo as comunicações entre os diversos hubs empresariais, acessos a documentos e interligação com os respetivos sistemas de controlo industrial.
Esta breve descrição retrata, de forma muito genérica, o que se passou com o ciberataque conhecido como NotPetya, um "verme” que começou a propagar-se com a atualização de um software muito popular na Europa de leste, e que acabou por causar danos económicos globais superiores a 10 mil milhões de USD em setores como transporte, energia, produtos farmacêuticos, produção alimentar e de bens de consumo.
Todavia, apesar destes exemplos de ciberataques devastadores em escala e âmbito, existem evidências de que muitas das maiores empresas permanecem com baixos níveis de preparação nesta área. Embora os respetivos dirigentes já reconheçam a cibersegurança como uma importante parte das atividades na área do IT, ainda não compreenderam o caráter estratégico desta temática e o quão relevante é, para o negócio, trazerem para a mesa do Conselho de Administração o tema da cibersegurança, sobretudo quando importa olhá-lo como uma oportunidade, face ao facto de, cada vez mais, as atividades das empresas dependerem do digital.
Noutra perspetiva, constata-se que os executivos que conseguiram gerir o impacto daqueles ciberataques com sucesso, reconhecem na cibersegurança uma prioridade estratégica de alto nível, por verificaram, factualmente, que seu maior erro no período que antecedeu este ataque terá sido o de tratar a cibersegurança apenas como uma questão técnico-operacional.
As lições aprendidas deste ciberataque evidenciaram que a melhor forma de mitigar os riscos inerentes é maximizar a preparação corporativa numa lógica transversal à organização, uma vez que todo o negócio pode ser gravemente afetado por uma situação deste género, para além da reputação da empresa, o que, no limite, pode impactar o respetivo valor bolsista. Trata-se, assim, de uma mudança fundamental de "mindset”: a cibersegurança deve ser tratada como um assunto de natureza estratégica e não eminentemente operacional e como uma oportunidade e não como uma despesa.
Com efeito, o olhar-se para este assunto como uma oportunidade, leva a que a organização desenvolva uma sólida estratégia de cibersegurança, focada na identificação dos riscos associados aos ativos críticos para os processos de negócio e o respetivo tratamento e mitigação. O mecanismo de desenvolvimento da estratégia permitirá, ainda, reconhecer novas oportunidades estratégicas, incluindo a revelação de novos pontos fortes e fracos, fundamentais quer para a transformação das lideranças das equipas, quer no âmbito da evolução das capacidades organizacionais, nomeadamente aquelas que contribuem para incremento da resiliência organizacional através da cibersegurança.
Em linha com este raciocínio, e usando uma "objetiva de grande angular”, verificamos que a segurança do ciberespaço se tem vindo a transformar, passando de um domínio eminentemente técnico, centrado na proteção de redes e tecnologia, para um importante tópico transversal, centrado nas pessoas e nos potenciais impactos nas organizações e na sociedade, e por isso de natureza estratégica e de importância global.
A segurança do ciberespaço é, por isso, cada vez mais um pilar de uma sociedade digital, que se pretende resiliente, sendo por isso essencial para garantir a integridade dos processos sociais e de negócios interconectados, que estão no centro dos complexos ecossistemas das sociedades modernas. A sua crescente importância, designadamente quanto ao impacto que os mais diversos tipos de ciberataques podem provocar na sociedade, tem sido sistematicamente classificada pelas mais diversas fontes como um dos maiores riscos que a economia global enfrenta hoje.
CONTEXTO
No que diz respeito aos riscos decorrentes da profusão das tecnologias digitais, aumentados com a situação pandémica em que nos encontramos, vários autores assinalam que os ciberataques se tornarão mais frequentes e complexos, quer na sofisticação do ataque, quer no seu alcance e âmbito, e que a proliferação da desinformação, alavancada pela convergência das capacidades analíticas de grandes quantidades de informação com técnicas de criação de "deep fake”, suportadas em algoritmos de aprendizagem automática, pode provocar uma perceção da realidade completamente alterada por parte de quem, de forma incauta, poderá consumir aquele tipo de informação.
No seu mais recente relatório sobre o panorama da ameaça,1 a Agência Europeia para a Cibersegurança (ENISA) assinala as 15 maiores ameaças (Figura 1), sendo que muitas delas são potenciadas pela situação pandémica em que todos vivemos, uma vez que existe uma maior exposição ao ciberataque por estarmos todos a usar, de forma intensa, os meios digitais para a concretização das nossas atividades.
No caso português em particular, o Observatório de Cibersegurança,2 desenvolvido sob coordenação do Centro Nacional de Cibersegurança (CNCS), apurou que, relativamente à linha de observação "Riscos e conflitos”,3 em particular no seu boletim atualizado de agosto de 2020, a infeção por malware representou 16% do total de incidentes registados pelo CERT.PT,4 de facto o 2º mais frequente depois do phishing, com 36%. Estes números representam um crescimento relativamente aos do período homólogo de 2019, no qual 14% dos incidentes foram infeção por malware e 31% foram phishing. Assinale-se que este é, muitas vezes, um veículo de disseminação do malware, que, por ser menos visível, pode atingir as vítimas de forma mais discreta e silenciosa, colocando os respetivos dispositivos comprometidos e assim vulneráveis e reféns de todo o tipo de atividades criminosas.
DESAFIOS E OPORTUNIDADES PARA PORTUGAL
Para fazer face aos desafios colocados pela evolução tecnológica acima referida e ao crescimento em quantidade e sofisticação que os ciberataques apresentam, Portugal tem em curso, através do CNCS e dos demais parceiros nacionais neste domínio, um conjunto de iniciativas que, em linha com as diretrizes da União Europeia, contribuirão para que o espaço europeu seja um local que possui, neste domínio, políticas públicas harmonizadas mas também adaptadas à realidade de cada um dos Estados-Membros.
Com efeito, e de acordo com o mais recente relatório sobre o Índice de Digitalidade da Economia e da Sociedade 2020 (DESI 20205), Portugal ocupa o 19º lugar entre os Estados-Membros, sendo que a dimensão que mais difere da média europeia está relacionada com a literacia digital das pessoas (Figura 4), razão pela qual uma das iniciativas mais significativas que se se encontra em curso é precisamente na área do incremento do conhecimento e da sensibilização da sociedade no domínio da segurança digital. Esta atividade, que é contínua, consubstancia-se num conjunto de ações como cursos gerais de cibersegurança e workshops temáticas, passando por uma ampla participação em conferências e seminários alusivos ao tema. Neste capítulo, destaca-se a recente realização da conferência anual (CDAYS20206) onde se abordou o tema da segurança do ciberespaço numa lógica transversal às diversas áreas da sociedade, e onde se relevou a necessidade premente de incrementar a capacitação da sociedade portuguesa em conhecimentos na área digital em geral e em cibersegurança em particular.
Todavia, as atividades do CNCS possuem uma abrangência consideravelmente maior e um alinhamento com o conjunto de iniciativas estruturantes que decorrem quer do Cybersecurity Act da EU,7 quer da Diretiva NIS8, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação. Da transposição desta última para o ordenamento jurídico nacional, através do Regime Jurídico de Segurança do Ciberespaço,9 foi realizado um conjunto de atividades que visa dotar o nosso País com os mecanismos congéneres com a União no que diz respeito à cibersegurança, designadamente no âmbito da identificação dos prestadores de serviços essenciais à sociedade, e aos respetivos requisitos de cibersegurança. Concomitantemente, e dada a entrada em vigor a 27 de junho de 2019 do Cybersecurity Act da UE, está em curso a construção de um sistema nacional de certificação de cibersegurança para produtos e serviços que terão validade em toda a EU, através do qual se promoverá, ao nível do mercado interno, a materialização do "security by design”, aumentando a segurança dos produtos conectados, dispositivos de Internet das coisas e infraestruturas críticas ao consumidor. Neste contexto, as novas regras espelhadas no Cibersecurity Act são um fator gerador de confiança no mercado digital e nos dispositivos que usamos todos os dias, assegurando a sua conformidade com os elevados níveis de cibersegurança exigidos, através de uma avaliação rigorosa e independente de uma entidade certificadora. Do ponto de vista das empresas, este sistema disponibiliza um conjunto de oportunidades para a certificação de produtos e serviços das nossas PMEs inovadoras, resultando numa economia de custos significativa, uma vez que, de outra forma, teriam de se dirigir a outros países para obter essa certificação. Uma única certificação com validade europeia também removerá as potenciais barreiras de entrada no mercado, sendo que as empresas serão, assim, incentivadas a investir na cibersegurança dos seus produtos. Esta é, igualmente, uma forma da União Europeia mitigar a sua relativamente baixa soberania digital pois, à semelhança do que fez no âmbito do regulamento geral de proteção de dados pessoais, imporá à partida requisitos a todos os construtores de dispositivos e serviços IT, independentemente da sua proveniência.
CONCLUSÕES
Num futuro próximo, as empresas melhor preparadas para lidar com os riscos de cibersegurança terão uma importante vantagem competitiva sobre as restantes, e a escolha de fornecedores e parceiros terá como um dos seus critérios de decisão a respetiva maturidade em cibersegurança. De igual modo, os potenciais clientes escolherão as empresas que obtiverem índices de resiliência digital mais elevados porque assim passarão a ser merecedores de maior confiança. Este contexto deve ser visto como uma oportunidade estratégica para as empresas. Melhorar os índices de cibersegurança e diminuir a vulnerabilidade da sociedade decorrente da sua crescente digitalização será feita, por um lado, com uma contínua aposta na sensibilização e na criação de competências na nossa sociedade e, por outro, na regulação dos agentes de atividade económica, exigindo-lhes a aplicação de medidas de segurança de forma a garantir um elevado patamar de cibersegurança nos seus serviços prestados. Para tal, são necessárias lideranças empenhadas e conscientes do valor estratégico da cibersegurança para as suas organizações e para a sociedade. É preciso desmistificar e normalizar a cibersegurança na vida das organizações.
O Contra‑almirante António Gameiro Marques é licenciado em Ciências Militares Navais, Classe de Marinha. Prestou serviço em vários navios da Armada e, após frequentar a especialização de Comunicações na Marinha, concluiu em 1987 o Mestrado em Electrical and Computer Engineering que frequentou na Naval Postgraduate School em Monterey na Califórnia, EUA. Esteve envolvido na equipa de projeto dos sistemas de combate das fragatas da classe Vasco da Gama da Marinha Portuguesa, tendo igualmente feito parte da equipa de e certificação internacional daqueles navios no Reino Unido. Após ter frequentado o curso do Colégio de Defesa NATO em Roma em 2003 foi, de outubro de 2004 a outubro de 2007, o conselheiro militar de Marinha do Embaixador de Portugal junto da Aliança Atlântica no Quartel‑General da NATO em Bruxelas, onde cumulativamente representou Portugal no NATO Consultation Command and Control Board (NC3B), entidade responsável naquela organização internacional por todos os assuntos relacionados com as tecnologias de informação e comunicação. Foi promovido ao posto de Contra‑ Almirante a 27 de novembro de 2008. Foi o Chief Information Officer (CIO) da Marinha durante cerca de 4 anos, Secretário‑ Geral Adjunto do Ministério da Defesa Nacional durante os 3 anos seguintes e desde 1 de setembro de 2016 é o Diretor‑ Geral do Gabinete Nacional de Segurança, sendo, por inerência, a Autoridade Nacional de Segurança. O Centro Nacional de Cibersegurança encontra‑ se na estrutura do GNS. Frequentou o 39º Programa de Alta Direção de Empresas (PADE) da AESE/IESE ‑ Escola de Direção e Negócios, incluindo as respetivas atualizações em 2016 e 2017.
Lino Santos é Mestre em Direito e Segurança pela Faculdade de Direito da Universidade Nova de Lisboa, licenciado em Engenharia de Sistemas e Informática pela Universidade do Minho, é coordenador do Centro Nacional de Cibersegurança e membro designado ao conselho de administração da Agência Europeia de Cibersegurança – ENISA. Foi diretor de Segurança e Serviços à Comunidade na Fundação para a Computação Científica Nacional, diretor do serviço de resposta a incidentes de segurança informática CERT.PT, oficial de ligação nacional à ENISA e Membro da Comissão instaladora do Centro Nacional de Cibersegurança.
