Com a evolução tecnológica a puxar os mercados e os seus principais "stakeholders", criando movimentos de inovação disruptivos, os desafios de segurança colocam uma grande pressão sobre as organizações, do ponto de vista da especialização dos seus recursos e da resiliência das suas infra-estruturas.
A estas tendências acresce um ponto adicional, que passa pela democratização do cibercrime, através de ameaças cada vez mais avançadas e que envolvem um número maior de organizações e pessoas. O combate a estas novas tipologias de ataque requer um tipo de especialização que a maioria das empresas não detém.
Pedro Veiga, coordenador do Centro Nacional de Cibersegurança (CNCS), dá conta de uma baixa percepção dos riscos. Em entrevista ao Negócios em Rede, garante que há uma mudança de paradigma implícita na digitalização que não pode ser ignorada.
Fala-se muito de transformação digital e de segurança, na sua opinião, as organizações já perceberam que estes dois contextos estão relacionados?
Ainda há um importante défice de percepção de que a segurança – ou a cibersegurança como se refere ao ciberespaço – é algo que deve estar nas primeiras preocupações quando uma organização se pretende integrar no mundo digital. Aquilo a que se costuma designar em inglês por "security by design", obriga a que quando se trata da transformação digital de qualquer processo numa organização há que ter a segurança como um dos componentes cruciais da concepção, investindo precocemente nesta vertente para garantir a continuidade dos processos em qualquer contexto adverso. Caso tal não seja feito, os prejuízos resultantes de falta de cibersegurança podem representar danos financeiros ou reputacionais que podem ser muito elevados.
O mundo está preparado para esta transformação digital que está a disseminar-se por todos os quadrantes da sociedade?
Não é possível uma resposta global, mas há sectores de actividade ou da sociedade bastante bem preparados e outros onde pode haver problemas relevantes que é preciso ultrapassar de modo coerente e sustentado.
Podemos dizer que a digitalização é um gatilho para uma ameaça letal, que não conhece limites sociais, políticos ou económicos?
É uma afirmação demasiado radical, pelo menos face a outros desafios societais. A digitalização traz muitos benefícios, mas obriga a mudanças de paradigma que nem sempre são absorvidos ao ritmo necessário e por todos. E pode haver desafios que ainda não antecipamos, nomeadamente, com a Internet das Coisas em que, se não forem acautelados os problemas de cibersegurança, pode haver graves problemas de violação de privacidade ou de danos reputacionais difíceis de serem revertidos.
Nesta conjuntura, a cibersegurança é um antídoto?
Não concordamos. A segurança não é um antídoto, é antes um conjunto de abordagens e a respectiva concretização que visam garantir um elevado nível de resistência aos desafios que o mundo digital acarreta.
As organizações nacionais estão conscientes do que é preciso mudar em termos de segurança para realmente acolher esta revolução digital?
Julgo que se pode dizer que há um nível de percepção dos desafios que é análogo ao que se verifica no conjunto de países em que nos inserimos. Isto quer dizer que já muito trabalho tem sido feito, mas, também, que muito há ainda por fazer. E o nível de consciencialização não é uniforme em todos os sectores da sociedade, quer a nível organizacional quer a nível das pessoas.
Notam alterações no número de pedidos de apoio a incidentes ou para a criação de "Computer Security Incident Response Teams" (CSIRT)?
Sim, tem havido um aumento de alguns tipos de problemas, ainda difícil de quantificar devido ao ambiente em constante mudança e à falta de dados históricos que permitam, de modo sólido, identificar tendências. Não obstante, o "ransomware" tem vindo a ter uma incidência crescente o que implica alguma preocupação.
Como comenta o papel das entidades que regulam as questões da segurança e privacidade em Portugal? Está a ser feito um bom trabalho?
Diria que há um nível de preocupação e actuação adequados. Mas como em áreas tão dinâmicas e evolutivas como as que estão associadas ao mundo digital, há desafios permanentes que devem avaliados e, nalguns casos, antecipados para permitir uma preparação atempada.
Qual tem sido o contributo do CNCS neste campo?
O CNCS tem investido muitos recursos na capacitação da sua envolvente, sob várias formas, que vão desde cursos, conferências, participação em eventos, bem como no estabelecimento de protocolos de cooperação com entidades que são julgadas relevantes para que a nossa sociedade esteja preparada para os desafios do digital. Em especial o princípio da subsidiariedade, preconizado na Estratégia Nacional de Segurança do Ciberespaço, que é a base de cooperação que procura aumentar a eficácia de cada interveniente no mundo digital.
Que balanço faz do último ano de actividade do CNCS?
A avaliação feita e enviada ao Governo sobre a execução do mandato do CNCS, mostra que o que estava previsto tem vindo a ser executado a um bom ritmo, se bem que diversas limitações que vêm sendo identificadas limitem a capacidade de actuação em certas situações. Nomeadamente, o trabalho de transposição da Diretiva SRI (Directiva Relativa à Segurança das Redes e da Informação) veio abrir uma nova frente de trabalho, intensa, mas desafiante e que aconselha a uma adaptação de etapas e metas.
Que recomendações faria às organizações públicas e privadas neste contexto de mudança que está instalado, para que a segurança não deixe de ser um estado de graça?
"Security first!" Quando entramos num avião, num automóvel ou quando estamos no nosso lar, esperamos que a segurança tenha sido uma preocupação central na concepção destes equipamentos sociais. Com a crescente penetração das tecnologias digitais na nossa sociedade e, em particular, no nosso quotidiano, devemos também exigir a segurança em primeiro lugar nestes sistemas.