“A legislação pode sair, mas, se a gestão de topo não entender que é uma necessidade do negócio, nunca vai funcionar”

Para quem possa não conhecer, o que é a Associação Nacional de Farmácias?

A Associação Nacional das Farmácias é uma associação patronal que representa os proprietários das farmácias. Foi fundada em 1975 e vinha de uma organização anterior que era o Grémio Nacional das Farmácias.

O objetivo da associação é representar e defender os interesses dos proprietários das farmácias. É totalmente privada; os associados são os proprietários das farmácias. A missão é claríssima: apoiar os proprietários das farmácias e, obviamente, a saúde em Portugal.

Cerca de 95% das farmácias portuguesas são associadas da ANF. Temos uma grande representatividade das farmácias em todo o país. Temos uma dispersão geográfica das farmácias nossas associadas muito grande.

O que a Associação Nacional das Farmácias também fez foi, em setores de apoio às farmácias e à saúde, construir organizações que ajudam a desenvolver o negócio da farmácia e o negócio da saúde. Em termos da área tecnológica, temos a Glintt, que resultou há vários anos de uma fusão com a ParaRede; a Consiste era uma empresa já da ANF que se fundiu com a ParaRede e criou-se a Glintt. Tem também a parte da distribuição de medicamentos com a Alliance Healthcare. Temos uma escola de pós-graduação em saúde. Temos um pequeno laboratório farmacêutico, não para produção, mas para análise.

O grupo foi criando, debaixo da ANF, uma holding, que é a Farminvest. Esta Farminvest tem, se quisermos, um grupo empresarial que tem a mesma missão da ANF, ou seja, defender os interesses das farmácias e defender a saúde em Portugal. Também temos uma participação – mas aí a gestão é independente – muito antiga na CUF.

Em termos de cibersegurança, a Associação Nacional das Farmácias é que dá o apoio às farmácias propriamente ditas?

A relação da ANF com as farmácias é uma relação de sugestão; as farmácias são independentes. Obviamente que os membros da direção são proprietários de farmácia – faz parte do estatuto –, mas nós, com as farmácias, temos sempre mais uma posição de aconselhamento do que de imposição de regras.

O que é que isso quer dizer: tentamos definir aquilo que são boas práticas e aquilo que é a defesa das farmácias. Fazemos uma proposta e depois as farmácias que querem aderir, aderem e as farmácias que não querem aderir são livres de o fazer.

Como é que olha para o atual panorama de ciberameaças?

Aquilo que vemos, tipicamente, é que as ciberameaças vão sendo cada vez mais elaboradas. Quando comecei a trabalhar nisto, tínhamos os emails do príncipe da Nigéria; a pessoa olhava e via logo o que era aquilo. Hoje já temos emails completamente direcionados.

Antes tínhamos alguns ataques, mas já sabíamos detetar. Hoje temos deepfakes com vídeos a imitar não só o CEO, como todo um conjunto de executivos. Por exemplo, houve um ataque muito falado de uma empresa de Hong Kong em que, no fundo, o financeiro esteve numa videochamada com uma série de colegas e, na realidade, ele era o único que existia; todos os outros eram deepfakes, incluindo o CEO, e fez uma transferência de 25 milhões de dólares. Hoje, já nem no vídeo conseguimos acreditar.                                                                                   

Portanto, aquilo que vemos é que as ameaças são cada vez mais elaboradas, cada vez mais sofisticadas e, por outro lado, hoje já ninguém vive sem Internet. Já ninguém pensa em ir ao banco; temos o home banking. Ou já muito pouca gente faz uma encomenda sem usar Internet, já há muito pouca gente. Essa utilização acaba por facilitar um bocadinho a tarefa de quem a ataca e de quem provoca esses ataques.

Vamos lá ver: os burlões sempre existiram. Eles vão ficando mais sofisticados. Enquanto sociedade, é preciso entender que existem esses riscos e é preciso ser mais cauteloso na utilização dessas ferramentas. O exemplo típico do ‘Olá Mãe, Olá Pai’: a quantidade de pessoas que caíram nessa burla… se pensasse em montar uma burla, dizia que isto não vale a pena porque qualquer pessoa olha para isto e vê que é mentira. Mas, afinal, não.

Os burlões são muito mais inventivos do que nós e isso é, talvez, aquilo que custa mais, principalmente em gerações mais antigas, essa noção do risco. Vejo que, por exemplo, as gerações mais novas estão completamente alerta para o que são as ciberameaças e os spams, os phishings e as chamadas. Estão muito mais alerta do que está a minha geração e as gerações mais velhas do que eu. É importante essa consciencialização da sociedade.

Sente que as ciberameaças com que a ANF tem de lidar também são mais sofisticadas?

Sim. Apesar de termos um papel importante, acabamos por estar um bocadinho mais protegidos porque não somos as farmácias, não somos os hospitais, nem temos dados de saúde. Mas, obviamente, temos emails de phishing e de spam que são muito mais direcionados do que eram aqui há uns anos, sem dúvida. Antigamente, um email vinha com umas palavras que nem sequer se percebia muito bem e eram coisas muito gerais; hoje já temos ataques direcionados aos utilizadores com algum conhecimento da realidade da organização que era algo que antigamente não existia.

Hoje já recebemos emails a nomear as pessoas e os cargos que ocupam, o CEO ‘x’ ou o CFO ‘y’; isso, há uns anos, não existia. Era uma coisa muito genérica.

De que maneira é que as novas tecnologias, nomeadamente a inteligência artificial, estão a ser utilizadas para fortalecer a produtividade de segurança?

A inteligência artificial agora é moda. É incontornável e já sabemos. Inteligência artificial não é uma coisa nova; há 20 anos fazíamos projetos de inteligência artificial. Agora, obviamente que a capacidade de processamento, por um lado, e a quantidade de dados que se podem usar para esses modelos, por outro, fazem com que a inteligência artificial seja imprescindível.

Estamos sempre na luta entre gato e rato e os atacantes são cada vez mais profissionais e cada vez mais têm capacidade de utilizar inteligência artificial nos ataques, na análise dos dados que recolhem, na capacidade que têm de massificar os ataques. Do lado de quem faz a defesa, é importante aproveitar aquilo que a inteligência artificial traz para conseguir responder.

Sempre estivemos – mas agora ainda mais – numa batalha de tempo, ou seja, o tempo que leva a infetar uma máquina e o tempo que leva a detetar e reagir. Cada vez que melhoramos os processos de defesa, os atacantes melhoram o processo de ataque. Isto é uma luta constante. Neste momento, sem a inteligência artificial a fazer correlação de eventos, que possa fazer deteção automática, que possa fazer tudo o que são medidas automatizadas, é impossível defender.

Para os mais puristas podemos dizer se são algoritmos pré-programados se é inteligência artificial, mas vamos chamar inteligência artificial, que é o conceito mais alargado que é ter a capacidade de dar ao sistema algumas regras para ele, depois, consoante a situação, reagir e conseguir responder. É incontornável: vamos ter de ter cada vez mais inteligência artificial do lado da deteção, do lado da resposta, do lado da mitigação.

O cenário ideal é termos uma inteligência artificial tão potente que consegue identificar a tentativa de ataque e parar essa mesma tentativa antes sequer de se manifestar nos sistemas. Esse é sempre o objetivo.

Qual é a abordagem em relação à formação e consciencialização dos colaboradores em cibersegurança? Como avalia a eficácia desses programas de formação na prevenção de incidentes de segurança causados por erros humanos?

Acho que hoje é impensável não ter formação em cibersegurança, num sentido não só tecnológico, mas num termo mais abrangente que é o de ciberhigiene. Temos estes programas a correr, estamos neste momento aqui numa fase de ligeira redefinição do modelo, porque achamos que há um modelo que pode funcionar melhor, mas aquilo que fazemos é todos os nossos colaboradores têm formação. São inscritos num curso de formação, temos uma plataforma que dá essa formação – como temos uma escola de pós-graduação, temos esse apoio na formação interna.

Aquilo que fazemos é tentar abarcar uma série de temas: a atenção ao spam, a atenção ao phishing, a atenção aos documentos, à classificação da informação, à segurança da informação. Nós temos isso e achamos que tem funcionado.

Já cá estou há uns anos e tenho visto a evolução. Se calhar, há seis, sete ou oito anos a quantidade de pessoas que caíam em emails de spam ou de phishing eram imensas e hoje temos muito gente que recebe um email verdadeiro e reportam, perguntam se é mesmo assim.

Por exemplo, temos uma plataforma de formação que é automatizada e que envia os emails de inscrição nos cursos e as pessoas, a primeira vez que recebem um email, reportam porque são de um sítio que não conhecem, ou há algo na mensagem. Tem havido um esforço nesse sentido.

Agora, temos sempre um problema de números. Em dois mil colaboradores, basta um cair; temos de defender os dois mil colaboradores. Quem ataca só precisa de acertar em um desses dois mil colaboradores. É um bocadinho desnivelado e, para ajudar, temos outros mecanismos além desses.

Do ponto de vista de formação, aquilo que estamos agora a tentar montar, paralelamente à formação mais tradicional, é ter pequenos vídeos, pequenas peças, todos os meses onde se fala de temas diferentes da segurança da informação no seu todo, porque a segurança da informação não são só os computadores, os emails ou os telemóveis. Quando se fala de segurança da informação, muitas vezes as pessoas esquecem-se que o papel também tem informação, muitas vezes confidencial.

Aquilo que estamos a tentar adicionar é pequenos momentos de refrescamento mensais para as pessoas se irem lembrando dos temas de segurança, criar esta noção nos colaboradores de que o risco está aí, que os ataques estão aí e que temos de ser capazes de estar alerta.

Não somos 100% eficazes; temos pessoas que caem em emails de phishing, que respondem a um email de spam com informação… continuamos a ter isto tudo e aquilo que vamos tentando ter é mecanismos que consigam fazer essa barreira. Por exemplo, temos um filtro que não deixa seguir links diretamente, passam por um mecanismo que faz alguma sandbox dos emails para garantir que são seguros. Parecendo que não, dá-nos conforto e uma segurança muito maior, primeiro pela rapidez, depois pelo volume.

Estamos a viver um período de alterações de regulamentações no que concerne a cibersegurança. Como é que olha para estas alterações?

Do ponto de vista geral, acho que toda esta regulamentação vai num bom sentido, o de tentar criar a consciencialização de que a segurança é importante, que é estratégica para as organizações e que tem de ser implementada de maneira a conseguirmos manter um nível adequado de proteção em todos os players do mercado.

Agora, há um tema com a legislação de forma geral que é quando sai uma legislação deste tipo – seja um NIS 2, seja um DORA, seja um RGPD – e chega às organizações, à gestão de topo, com honrosas exceções, a primeira coisa que perguntam é ‘isto aplica-se a nós? Vai trazer requisitos? Temos de fazer muita coisa? Vamos tentar dizer que isto, afinal, não é para nós’. Aí começa o problema.

A legislação pode sair, mas, se as empresas e a gestão de topo não entender que isto é uma necessidade do negócio, que já não é um nicho, já não é um tema dos maluquinhos da segurança que estão sempre a pensar nos cenários hipotéticos, nunca vai funcionar.

Depois, temos um outro tema, e com o RGPD foi mais ou menos notório, pelo menos cá em Portugal: a legislação implica multas e penalizações para quem não cumpre, mas a sensação generalizada é o que é que acontece? Que multas leva? Que castigos é que tem por não cumprir? Não tem. Então, se empresa ‘x’ não cumprir, empresa ‘y’ não tem de gastar dinheiro. Há essa sensação quase de impunidade que acaba por prejudicar muito aquilo que seria o poder de legislação.

Em Portugal temos um problema adicional que é a dimensão das empresas. Quando temos uma legislação europeia que olha para a Europa como um espaço completamente homogéneo, lembro-me numa outra empresa em que discutimos a nível internacional escalões, para um projeto específico onde as microempresas eram empresas com menos do que mil funcionários; assim, para nós em Portugal quase todas eram micro. Há esta distorção da dimensão das organizações que prejudica.

No caso da NIS 2 é um exemplo: a regulação não se aplica a empresas abaixo dos 50 colaboradores. Ora, o tecido empresarial em Portugal tem menos de 50 colaboradores. As empresas olham para este ponto e dizem que não se aplica a elas. Mas é preciso não esquecer que mesmo que queiram, muitas empresas não conseguem fazer o esforço para ficar ao nível de uma grande empresa europeia, mas, ao mesmo tempo, presta serviços a essas grandes empresas.

Até que ponto é que uma pequena empresa de nicho com 15 pessoas, que presta serviços para uma empresa multinacional, não pode transferir esse risco, ou levar esse risco? Como é que fazemos? Acabamos com as empresas abaixo de 50 empregados que não têm segurança adicional? O que o NIS 2 nos diz é que se os fornecedores não cumprirem, não servem. Depois é um tema de capacidade, quando dizem que para fazer isto é preciso gastar um determinado valor e não é possível ter os mecanismos todos de segurança porque, para todos os efeitos, é preciso fazer um investimento e há outras preocupações.

Por exemplo, e é um exemplo difícil de resolver: tenho, obviamente, papéis de trabalho em cima da secretária. Alguns desses papéis podem ser confidenciais. Eu tenho essa consciência e quando saio fecho a porta do gabinete à chave. Mas temos um prestador de um serviço essencial que é a limpeza que todos os dias de manhã, quando chegam, abrem a porta, limpam o gabinete e saem. Do ponto de vista purista da segurança da informação, devia garantir que as pessoas da limpeza, quando entram, têm noção do que é que é informação classificada, que a empresa que as contratou fez algum tipo de background check. Nos filmes, isto funciona muito bem, mas em Portugal é impensável fazer isto; não é realista pedir que a empresa que faz o serviço de limpeza faça um background check às pessoas que fazem a limpeza.

Estas noções de dimensão são importantes e acho que afetam um bocadinho a aplicabilidade da legislação europeia, que é boa e bem-vinda, mas acho que só produzir legislação não chega. Acho que é importante incutir este tema da segurança como uma área estratégica nas áreas menos técnicas. Por exemplo, os cursos de gestão, os cursos de economia, os MBA, ou seja, a preparação dos gestores que depois vão para as administrações e para as comissões executivas, devem começar a ter incluída e embebida a noção de que a segurança é um dos fatores estratégicos.

Passámos por isso com o IT. O IT começou por ser aquele centro de custo que, tipicamente, reportava ao diretor financeiro. Aquilo era só custo. Depois percebeu-se que o IT era uma coisa estratégica e passaram a existir os CIO, que passaram a ter assento na administração, nas comissões executivas, porque a tecnologia era fundamental.

Acho que estamos neste momento. Espero que estejamos neste momento de transição para a área de sistema de informação. Ou seja, criámos as figuras dos CISO, mas não lhes demos ainda a importância que precisam de ter. Ou seja, temos em muitas organizações os CISO a reportar diretamente às comissões executivas, o que é bom, mas o reporte à comissão executiva é diferente de estar na comissão executiva em termos de empowerment, em termos de abrangência, porque há muitas coisas que os CISO não têm conhecimento. A gestão de topo lança um novo projeto e não inclui o CISO, mas isso pode significar que, no futuro, vai ser preciso repensar o projeto porque na altura não pensei na segurança e não pensei em como me iria salvaguardar.

Por exemplo, tipicamente, o CISO não é tido nem achado numa aquisição de uma empresa. Entra-se em negociações, faz-se a due diligence, compra-se a empresa e quando se conclui o negócio, e só nessa altura, é que a área de segurança é envolvida e isso pode ser já tarde demais. Se o CISO estiver nas comissões executivas, ele sabe que aquilo vai acontecer e pode dar algum input. Se não estiver na comissão executiva, ninguém lhe vai perguntar se é para comprar aquela empresa ou não. É possível ver qual é a reputação, do ponto de vista de segurança, da empresa que se quer comprar, se tem ou não quebras de segurança já confirmadas, como é que são as políticas de segurança, se são cumpridas. Se o CISO for envolvido nesta fase, vai ter em conta o impacto no resultado da due diligence e, se calhar, tem impacto na negociação do valor da empresa porque se tiver uma empresa que está muito diferente da minha realidade em termos de segurança, o investimento vai ter de ser maior para trazer para o mesmo patamar.

Qual é que é o conselho que deixa para outros líderes da cibersegurança?

Feliz ou infelizmente acabamos por ser poucos e acabamos por nos conhecer muito e haver alguns fóruns onde estamos todos juntos e acho que aí temos todos mais ou menos a mesma visão e o mesmo pensamento, mas acho que a grande diferenciação tem a ver com, primeiro, a capacidade de falar a linguagem de gestão, ou seja, já não conseguimos ir e dizer que precisamos de um sistema de gestão de passwords ou que faça autenticação multifator; já morremos na praia. Temos de ser capazes de transformar os termos tecnológicos em linguagem de gestão e de risco para que depois seja mais fácil a quem decide.

É preciso quantificar e depois tentar mostrar a necessidade estratégica da segurança da informação. Não é depois do incidente acontecer; a segurança é precisa para evitar que o incidente aconteça porque depois de acontecer já há pouco a fazer. É preciso consciencializar que temos este projeto para fazer, o resultado de não fazer este projeto é este, com cenários que acontecem noutras empresas.

É preciso levar essa visão estratégica, essa visão de negócio, incorporando a segurança de informação. É a grande chave de conseguir convencer porque, se não, somos sempre aquela área que só quer gastar dinheiro. É preciso conseguir fazer essa passagem para o negócio, obviamente, mas também é preciso estar no negócio.

Há uma razão muito simples: a área da segurança sempre foi uma área ingrata neste sentido. Se tenho uma fábrica e preciso de uma máquina, digo que quero comprar a máquina que custa um milhão de euros que permite produzir mais isto e aquilo e quando chego ao chão de fábrica tenho lá a máquina toda bonita. Na área de segurança dizemos que precisamos de um milhão de euros para montar uma série de sistemas de prevenção, deteção, de backups, de redundância, mas qual é o outcome? O outcome é, se isto for tudo bem gasto, não acontece nada, que é suposto, mas não é palpável. É uma área ingrata porque tenho de justificar um investimento e, quanto mais invisto, menos coisas acontecem, que é um bocadinho ao contrário de outros projetos.