“Estamos a investir o suficiente para diminuir o risco de cibercrime?”

A questão é lançada por Pedro Leite, Country Manager da S21sec. Em entrevista, o responsável alerta que esta deve ser uma preocupação não só das empresas, mas também dos cidadãos e fala sobre a estratégia da S21sec.

Foto
d.r.

Como olha para o mercado nacional? Ainda estamos pouco atentos aos cenários de crime informático?

A verdade faz-nos mais fortes

Das guerras aos desastres ambientais, da economia às ameaças epidémicas, quando os dias são de incerteza, o jornalismo do Público torna-se o porto de abrigo para os portugueses que querem pensar melhor. Juntos vemos melhor. Dê força à informação responsável que o ajuda entender o mundo, a pensar e decidir.

Como olha para o mercado nacional? Ainda estamos pouco atentos aos cenários de crime informático?

O ritmo evolutivo das ameaças e do seu nível de sofisticação é inexorável e afecta todo o tecido empresarial, independentemente do tamanho das empresas, e Portugal não é excepção. Com efeito, Portugal é um dos países europeus que menos investe na cibersegurança, de acordo com um estudo publicado no site do Gabinete de Estratégia e Estudos do Ministério da Economia, no final do ano passado. E, em comparação com outros membros da União Europeia, Portugal é o terceiro país mais vulnerável ao cibercrime. Mas, se o crescimento da cibercriminalidade teve um efeito positivo foi precisamente este: o aumento da consciencialização das empresas para os reais riscos que correm no caso de não cuidarem da segurança das suas organizações. Acredito, por isso, que progressivamente haverá lugar a um maior dinamismo do mercado nacional, com um incremento generalizado dos investimentos em serviços de cibersegurança. Espero, sobretudo, ver crescer os investimentos em soluções capazes de ter uma abordagem proactiva ao problema, ou seja, centrada na “prevenção” das ameaças e na respectiva “detecção” antes que estas penetrem nas redes. A pergunta que devemos colocar frequentemente é se estamos a investir o suficiente para diminuir o risco das nossas organizações ao cibercrime? E nesta pergunta que fazemos temos de ter sempre presente que é necessário actuar em duas vias para diminuir esse risco: recuperar o atraso que temos e acompanhar a evolução tecnológica que vai sendo introduzida nas nossas organizações.

A cibersegurança passa muito pelo comportamento individual, de modo particularmente crítico em contexto profissional, onde facilmente encontramos exemplos de más práticas. O que pode ser feito para minimizar esta situação?

Como sabemos o cibercrime não se restringe só ao tecido empresarial, mas também afecta gravemente os cidadãos. Se consultarmos os dados da APAV verificamos que 400 milhões de pessoas são vítimas do cibercrime e não podemos de forma alguma desassociar o cidadão e a empresa pois estão interligados. Em ambiente empresarial se queremos minimizar os riscos de ser afectados por um incidente de cibersegurança, o primeiro passo passa por ter uma política de segurança e colocá-la em prática. Quando se desenha uma política de segurança ou se estabelecem os mecanismos necessários para pô-la em prática, devemos identificar claramente quais os activos mais importantes que queremos proteger e quais os riscos que enfrentamos.

Neste ecossistema as pessoas e o seu comportamento individual são peça chave e por isso devemos contemplar sempre uma componente de formação e sensibilização na política de segurança que queremos por em prática nas nossas organizações. Não basta estabelecer mecanismos muito fortes e complexos de protecção tecnológica se esses não forem acompanhados pela formação e sensibilização dos colaboradores para o riscos do cibercrime. Os controlos técnicos e a tecnologia são absolutamente necessários, mas não suficientes. Por vezes, mais vale um colaborador formado em boas práticas de segurança consolidadas na política da empresa do que ter o mais avançado, inovador e complexo sistema de segurança.

Foto
D.R.

Na verdade, quando se trata de segurança informática empresarial, os colaboradores das empresas são o elo mais fraco da cadeia, frequentemente aproveitado pelos cibercriminosos para entrar nas organizações. Por isso a minha resposta resume-se a: formação, sensibilização e consciencialização. Como recomendação adicional, sugiro a definição e implementação de um plano de formação de cibersegurança que inclua a componente individual (como cidadão) e a empresarial. Se conseguirmos que as pessoas a nível pessoal / privado estejam sensibilizadas para o tema da cibersegurança, certamente será muito mais fácil essa consciencialização a nível empresarial.

Que soluções seriam desejáveis para ultrapassar a dificuldade em recrutar profissionais especializados em cibersegurança?

É uma verdade inquestionável que a procura de competências em cibersegurança por parte das empresas portuguesas está a aumentar a um ritmo mais rápido do que a capacidade que o país tem em formar e colocar no mercado estes profissionais. Como este problema da falta de profissionais em cibersegurança não está restrito a Portugal, mas também a outros países, a fuga destes profissionais para o estrangeiro agrava ainda mais a situação nacional. De acordo com a ISSA (Information System Security Association) pelo terceiro ano consecutivo este problema tem se agravado e está a impactar 74% das organizações a nível mundial.

 O cibercrime continua a crescer significativamente, e por arrasto, a necessidade de ter profissionais especializados na protecção das empresas é cada vez maior. Eu diria que, em primeiro lugar, tem que existir um maior investimento na oferta formativa destes profissionais não só no sector privado, mas também no sector publico. É fundamental que a política educativa do país tenha em contexto os problemas com que nos deparamos na área da cibersegurança e que defina, incentive e apoio a criação de cursos académicos que enderecem esta problemática.

As formações académicas ao nível das licenciaturas, mestrados e outros graus académicos em Portugal na área de cibersegurança são extremamente baixas. O país pode beneficiar muito ao investir nesta área, não só resolvendo o nosso problema interno da falta destes profissionais, mas também podendo exportar este tipo de serviços para o mundo através da criação de centros de competências especializados em cibersegurança. 

Um outro caminho que as organizações devem promover, passa por incentivar e definir planos de formação aos colaboradores que se encontrem em áreas tecnológicas adjacentes e demonstrem interesse pela área de cibersegurança. Segundo o ISSA, a nível mundial 79% dos profissionais de cibersegurança começaram a sua carreira profissional em Tecnologias e Sistemas de Informação.

Neste contexto global, um ponto que deve estar no topo das prioridades dos gestores e das organizações que eles representam é a retenção destes profissionais. Não vale muito ter uma boa política de captação se não tivermos uma boa política de retenção. Em conjunto com o departamento de recursos humanos é fundamental mobilizar a organização para este tema e para a importância de políticas de retenção dos nossos profissionais.

Quais têm sido as áreas de maior investimento da S21sec, em Portugal e nos mercados onde está presente?

A S21sec desde a sua origem sempre foi vista no mercado como uma das empresas mais inovadoras na área da cibersegurança, estando constantemente a lançar novas ofertas. Além de participarmos em vários projectos Europeus de R&D continuamos a investir na evolução da nossa linha de produto próprio (LDM - Lookwise Device Manager para protecção de redes ATM e de outros dispositivos críticos).

No entanto onde efectuamos o maior investimento é no desenvolvimento das nossas plataformas tecnológicas internas, que permitem melhorar a capacidade de protecção, detecção e resposta aos incidentes de segurança que é efectuada desde os nossos centros de operações de segurança (SOC). São várias as tecnologias que desenvolvemos e que complementam os produtos disponibilizados pelos fabricantes de segurança. Todos os países onde operamos beneficiam destas tecnologias e dos investimentos realizados.

A capacidade de inovação da equipa e o investimento que temos realizado na formação dos nossos profissionais tem-nos permitido também lançar nos últimos meses algumas ofertas que são inovadores e diferenciadoras, nomeadamente a Resposta a Incidentes Críticos de Segurança (DFIR), os serviços Red / Blue Team e os serviços de gestão de vulnerabilidades.

Ao nível de Portugal, o portefólio de serviços que a S21sec disponibiliza é igual ao que é disponibilizado a nível internacional. Temos investido fortemente no recrutamento e formação de profissionais de cibersegurança e colaboramos activamente com as universidades e outras instituições locais na introdução de recém-licenciados no mercado empresarial português. Ao longo dos últimos 5 anos em que operamos em Portugal crescemos de uma equipa com menos de 10 colaboradores para uma equipa que agora tem mais de 50 colaboradores. Este crescimento foi acompanhado como é natural ao nível de vendas e temos como nossos clientes algumas das principais empresas do PSI-20 cobrindo a maioria dos sectores de actividade.

A actual dimensão da equipa permite-nos uma proximidade muito grande com os nossos clientes. Privilegiamos uma relação de proximidade e confiança e a forte presença que temos em Lisboa e no Porto contribui para isso, garantindo uma resposta rápida às necessidades dos nossos clientes uma vez que as equipas estão equitativamente distribuídas.

Como decorre a estratégia de internacionalização da S21sec? 

A S21sec tem tido um forte crescimento nos últimos anos. Pertencemos a um grande grupo económico, que através da Sonae Investment Management é neste momento um dos principais investidores internacionais na área de cibersegurança, o que nos permite também explorar e crescer em novos mercados. Actualmente, temos presença local em 3 países com escritórios em Portugal, Espanha e México, sendo que este último cobre todo o território da América Latina. Aqui já contamos com mais de 30 especialistas que oferecem um portefólio completo de serviços de cibersegurança. Ao todo temos 10 escritórios entre estes 3 países. O objectivo é continuar a crescer com os melhores especialistas do mercado rumo à liderança Europeia.

Lembro-me que no início tinham o objectivo de ser um grande player de cibersegurança a nível europeu. Como se posiciona a S21sec face aos grandes fornecedores mundiais? 

A nossa ambição de ser um grande player europeu de cibersegurança continua intacta e temos trabalhado activamente neste objectivo. Nos últimos 3 anos juntamos à operação da S21sec duas empresas de referência, uma no mercado português e outra no mercado espanhol. Em Portugal a aquisição da SysValue reforçou a operação portuguesa e no ano passado a aquisição da Nextel reforçou ainda mais a operação espanhola. Actualmente, somos mais de 400 profissionais de cibersegurança e somos claramente líderes na ibéria. Ao nível europeu são muito poucos os pure players de cibersegurança que tem a nossa dimensão. A Sonae IM tem investido nos últimos anos em várias empresas de cibersegurança, e em mercados distintos. Ainda no final do ano passado adquiriu a Excellium, que tem presença no Benelux e conta com mais de 130 profissionais na área de cibersegurança. A estratégia de ser uma das empresas de referência e líder no mercado de cibersegurança continua a ser uma das nossas grandes ambições.

Os despachos normativos e as directivas europeias contribuíram para colocar o tema no topo da agenda. O facto de tornar a cibersegurança obrigatória está a ter reflexo no mercado?

Sem dúvida que o tema normativo e as directivas europeias têm sido um grande impulsionador para colocar este tema no topo das agendas dos conselhos de administração, mas os incidentes que têm ocorrido em muitas das organizações que conhecemos também tem contribuído para isso. Se ainda havia algumas empresas ou entidades que descurasse o tema da cibersegurança, a introdução do RGPD durante o ano passado, veio lembrar a todos a importância de garantir a privacidade e a segurança dos dados pessoais. Mas mais do que isso: veio informá-las sobre as consequências de não o fazer.

Até agora as empresas arriscavam perdas financeiras e de reputação devido a ciberataques. Mas as de menor dimensão tendiam sempre a considerar que esse era um problema exclusivo das grandes empresas. Os novos regulamentos vieram “democratizar” a preocupação, mostrando que a sobrevivência do negócio depende do seu cumprimento, independentemente do seu tamanho.

A área financeira foi desde início a mais sensível. A banca mantém-se como uma das principais clientes ou tem havido alargamento do mercado a outras áreas?

A banca foi um dos principais sectores a entender o risco cibernético desde muito cedo, porque lida com dinheiro, e uma das principais motivações das redes cibercriminosas é a financeira. No entanto, nos dias de hoje praticamente todas as indústrias estão sensíveis a este tema e estão conscientes dos riscos associados a um ciberataque. A banca continua a ser o líder em termos de investimento em cibersegurança e continua a ser o sector onde temos maior presença, no entanto há outros sectores que tiveram um crescimento muito interessante, nomeadamente o sector dos seguros e o da saúde. A saúde lida com temas muito sensíveis e impactantes em caso de um ciberataque e por isso houve uma grande procura por este tipo de serviços.

Um relatório da Kaspersky indica que os ataques DDoS desceram 13% em 2018, embora a sua duração tenha aumentado. Os casos de ransomware parecem estar a crescer. Em Portugal como caracteriza a situação actual?

Os ataques de DDoS não deixam de ser uma ameaça bem presente, que afecta todos os sectores de actividade e organismos públicos, e entidades de todo tipo e tamanho, dos fornecedores de serviços online às infra-estruturas críticas (fábricas, centrais eléctricas, sistemas de gestão de água e saneamento, etc.). No entanto, e de acordo com o último Relatório Anual de Segurança Interna, referente a 2018, o ransomware apresenta, com efeito, uma tendência de crescimento em Portugal, tendo passado de actividade de nicho a crime de larga escala com estirpes de malware a serem desenhadas para afectar sectores específicos de actividade. É, por isso, uma ameaça muito séria que pode comprometer empresas e cidadãos, bem como entidades governamentais e serviços de utilidade pública. A facilidade com que se pode executar este tipo de ataques e a forma como se propaga é impressionante. Ninguém está imune a este tipo de ataque. Muito facilmente os ataques de spam com malware chegam às grandes empresas, pequenas empresas e mesmo ao cidadão individual, e a forma de extorquir dinheiro é muito simples. No meu entender, em termos de cibercrime é a maior ameaça e a mais efectiva que temos actualmente.

Qual é o papel da S21sec nas relações com entidades como o CNCS ou a Europol?

A relação com a Europol e com o CNCS é de colaboração permanente nos temas da cibersegurança. A colaboração que temos com a Europol já é antiga e em 2015 assinamos um memorando de entendimento que na prática se traduz numa colaboração conjunto no combate ao cibercrime, disponibilizando informação sobre as ciber-ameaças que detectámos. Temos vários especialistas na investigação permanente das ciber-ameaças e é neste contexto que trocamos experiência e conhecimento com a Europol numa colaboração conjunta no combate ao cibercrime. Com o CNCS fazemos parte de alguns grupos de trabalho para o desenvolvimento do Quadro Nacional de Referência para a Cibersegurança Nacional. O CNCS está com várias iniciativas ao nível nacional e a S21sec vai interagindo com o CNCS dado o reconhecimento que a nossa empresa tem nesta matéria.

O célebre caso do trojan Dridex terá provocado perdas acima dos 10 milhões de dólares, apenas nos EUA, de acordo com as estimativas do FBI. Na altura a S21sec teve papel activo no desmantelamento da rede ciber-criminosa. Houve outros casos relevantes?

O caso do trojan Dridex foi efectivamente o mais mediático dado que os impactos económicos foram consideráveis, no entanto estamos continuamente a colaborar em processos de investigação e detecção de novas ameaças.

O desenvolvimento da Internet of Things (IoT), explorando as capacidades de Inteligência Artificial (IA) e de Machine Learning (ML), vai marcar a paisagem humana na próxima década. A par do actual portfolio, A S21sec vai investir no desenvolvimento soluções para estas novas áreas?

A tecnologia que desenvolvemos e usamos nos nossos centros de operações de segurança (SOC) já inclui capacidade de Machine Learning. É fundamental incluir estes conceitos nas tecnologias de detecção e prevenção de incidentes que vamos desenvolvendo e aperfeiçoando. A nossa equipa de DevOps tem trabalhado activamente na optimização e melhoramento das nossas plataformas de detecção de incidentes. A aplicação de Machine Learning e do Crowdsourcing na cibersegurança tem tido bastante adesão e é fundamental. A sofisticação e a complexidade dos ataques e a pouco fiabilidade das ferramentas tradicionais na detecção destes ataques complexos obriga a que se reinvente a forma como desenvolvemos e adaptamos as actuais tecnologias de cibersegurança.

Como é que um evento desta natureza [Cyber Security Event] acrescenta valor à estratégia da marca?

Encontramo-nos numa fase de crescimento ao nível global na S21sec. Em Portugal, estamos a aumentar significativamente a nossa presença e a nossa estrutura, sendo hoje de mais de 50 pessoas. Consideramos muito importante, quer a presença nos maiores eventos nacionais de cibersegurança quer na organização activa de eventos. Temos estado presentes em diversos eventos da indústria em Portugal, onde damos o nosso testemunho ao mercado e tentamos passar o nosso know how de mais de 30 anos de experiência. Vamos realizando frequentemente seminários e conferências onde temos a nossa equipa de especialistas e os nossos parceiros a falarem sobre os temas mais relevantes de cibersegurança. Faz parte da nossa estratégia desde o início a colaboração e partilha de conhecimento.