As ameaças à cibersegurança neste novo quadro de guerra foi o mote para uma conversa entre Pedro Mendonça, consultor no Centro Nacional de Cibersegurança, e Helena Garrido, jornalista e curadora da Grande Conferência Sustentabilidade Negócios 20|30. Após um contexto de ameaça marcado pela pandemia de covid-19, em que o cibercrime aproveitou o isolamento e um maior uso dos dispositivos digitais, passámos para um novo cenário geoestratégico, em que atores estatais, paraestatais e ativistas ganham relevância.

Vivem-se tempos de recolha de informação sensível e das posições políticas no ciberespaço, explica Pedro Mendonça. "2022 foi um ano marcado em Portugal por algumas disrupções, mas que resultaram, sobretudo, de atividades de grupos menos sofisticados do ponto de vista geoestratégico", como foram exemplo as mediáticas investidas contra a Impresa, a Vodafone ou a TAP. Ataques relacionados com um grupo "pouco claro do ponto de vista das suas motivações", uma vez que na cultura dos hackers a ideia de reputação e exibição entre os pares é muito relevante.



Não há segurança a 100%

Os analistas, os especialistas e o próprio mercado admitem que o cenário de segurança total é utópico. O que é preciso ter em consideração, defende Pedro Mendonça, "é que por mais que uma organização invista em tecnologia, é importante manter as pessoas formadas e atentas". Apesar da existência de sistemas tecnológicos de deteção e proteção, há sempre a possibilidade de o elemento humano, nomeadamente com responsabilidades na administração do sistema, "clicar onde não deve ou dar acesso ao que não era suposto".

De entre as grandes lições tiradas destes últimos ataques, Pedro Mendonça destaca a comunicação da organização alvo com a sociedade. "Sobretudo, há que ter o cuidado de comunicar com os clientes, explicar a situação em concreto, com o que se sabe e sem uma precipitação relativamente a diagnósticos", questões que tocam a esfera de danos reputacionais ou a ética da relação com o cliente.

País faz um bom caminho

Portugal tem feito "um caminho muito interessante", estando "bem colocado do ponto de vista das políticas públicas nos índices internacionais", como é o caso do Global Cyber Security Index do ITU - International Telecommunication Union, onde o país se encontra na 14.º posição. Ao nível dos incidentes, indicadores como o Eurostat, o gabinete de estatísticas da União Europeia, apontam para um menor volume quando comparado com os outros países europeus. Em todo o caso, o consultor ressalva que o número de incidentes e o cibercrime tem aumentado e que há, em Portugal, "um problema de capacitação das organizações".

Faltam recursos humanos

Para capacitar as empresas, o Centro Nacional de Cibersegurança tem várias iniciativas, como a C-Academy, um programa de formação avançada em cibersegurança desenvolvido no âmbito do Plano de Recuperação e Resiliência. O objetivo é capacitar recursos do ponto de vista técnico, jurídico e comportamental. Para além desta iniciativa, Pedro Mendonça enumerou outras ações, como cursos online gratuitos.

Quanto ao acesso mais generalizado à inteligência artificial (IA), nomeadamente através do chatGPT, o consultor salientou o facto deste poder ser usado como meio de acesso a instrumentos mais sofisticados que permitem a intrusão ou exploração de vulnerabilidades técnicas em sistemas.

"Essa democratização de instrumentos que permitem a realização de cibercrimes será uma tendência que nos deve preocupar". No inverso da medalha, assumiu que a IA pode ser muito útil à cibersegurança, seja na deteção de incidentes como de anomalias nos sistemas.

"Diria que estamos a apalpar terreno", havendo necessidade de (mais) regulamentação.