“É fundamental definir uma estratégia sistemática e holística, que seja reconhecida a todos os níveis da organização”

Qual é a análise que faz do atual panorama de ciberameaças, especialmente em Portugal?

O panorama é muito complexo e tem-se vindo a alterar significativamente no último ano. A verdade é que já víamos, desde há alguns anos, o aumento significativo dos ciberincidentes, quer a nível de complexidade, como de sofisticação e de impacto. Está a tornar-se uma atividade progressivamente mais lucrativa.

No início deste ano, identificamos dois fenómenos muito particulares que a mim – e diria que para os CISO em Portugal - tem provocado algumas noites menos bem dormidas. Logo no início do ano verificamos um conjunto de ciberataques à indústria nacional com um impacto significativo e com grande cobertura mediática, o que nos deixa, obviamente, ainda mais alerta pois verificamos que Portugal – um país tipicamente mais afastado deste tipo de realidade – começa a ser também um alvo por parte destes atores.

Relativamente aos atores, uma particularidade é que vários destes ataques não tiveram, ao contrário do que era habitual, uma motivação financeira; não houve extorsão nem pedido de resgate associado, não houve a pretensão de rentabilizar o esforço aplicado para comprometer estas organizações. Isso deixa- nos a pensar qual será então a motivação.

A E-Redes, sendo responsável pela exploração da rede elétrica de distribuição em Portugal Continental – uma atividade evidentemente tão crítica para a sociedade –, não fica indiferente a esta circunstância, tendo inclusivamente ativado o estado de alerta do seu Plano de Atuação e resposta a ciberincidentes.

O segundo fenómeno também muito preocupante tem a ver com o início do conflito na Ucrânia, logo após esta onda de ataques em Portugal. Este conflito coexiste atualmente em duas dimensões paralelas: a dimensão física, onde, apesar de toda a destruição que vamos acompanhando à distância, ainda persiste alguma contenção no armamento que é utilizado e no controlo do perímetro de intervenção; e o domínio digital onde não se verifica essa mesma contenção, pois sabemos que no ciberespaço as fronteiras esbatem-se e é muito difícil rastrear quem está por trás das ameaças e dos ataques. Nesta arena, estamos vulneráveis a que as superpotências – que têm capacidades ofensivas com grande sofisticação e potencial destruidor – nos apontem o alvo.

Desde há alguns anos que temos vindo a falar de uma ciber guerra fria, em que os principais Estados-nação têm vindo a perpetrar atividades cibernéticas hostis e operações ofensivas, procurando silenciosamente identificar fragilidades nas organizações mais relevantes e nas infraestruturas críticas dos países opositores, preparando-se para um momento como aquele que estamos agora a viver.

Assim, se o conflito se alargar à escala global, poderá ser acompanhado por um conjunto de ciberataques destrutivos que certamente garantirão uma vantagem competitiva àqueles que conseguirem ser mais bem-sucedidos neste domínio. Na E-Redes temos necessariamente de considerar este cenário, já que exploramos uma infraestrutura crítica nacional com elevado valor societário – o que nos poderá posicionar certamente como um alvo apetecível. Ademais, sabemos que esta infraestrutura tem vindo a ser progressivamente digitalizada ao longo dos anos para garantir maior garantia e segurança do fornecimento de energia elétrica aos portugueses, mas isso deixa-nos evidentemente mais vulneráveis quer pelo aumento significativo da superfície de ataque quer pela complexidade do ecossistema que temos de gerir e proteger.

Quais são as ameaças que mais o preocupam atualmente?

Neste momento, existem três que me preocupam particularmente. Primeiro, de uma forma genérica, o malware. O malware tem vindo a crescer significativamente em sofisticação e o que vemos é que os atores estão investidos na construção de variantes de software existente, ampliando o seu grau de complexidade, inovação e poder destrutivo.

Depois, a exfiltração de dados pessoais e de inteligência. Vimos agora o caso da TAP que, não tendo sido afetada na sua atividade operacional, poderá ser significativamente impactada pelo ciberincidente de que foi alvo, quer numa perspetiva reputacional, quer numa perspetiva regulatória. A dimensão regulatória é particularmente relevante, considerando o risco da aplicação de sansões e coimas, no âmbito do RGPD - que sabemos poderem atingir valores avultados – na sequência da exposição massiva de dados pessoais dos seus clientes e do eventual incumprimento das suas obrigações em matéria de proteção de dados.

Por fim, há uma ameaça que tem ganho particular prevalência nos últimos anos, relacionada com o ataque às cadeias de fornecimento. Há agora um entendimento claro – basta lembramo-nos do ciber ataque à Solarwinds – de que os nossos fornecedores e prestadores de serviço são uma extensão das nossas equipas, redes e sistemas e que, por consequência, constituem vetores de ataque para as nossas organizações. Esta evidência exige o alargamento da nossa pegada e da nossa disciplina de Cibersegurança a todos estes parceiros. Caso contrário, poderão ser o nosso elo mais fraco.

Como é que olha para o atual estado da cibersegurança em Portugal, principalmente com o recente aumento de ciberataques no país?

Em Portugal, não há dúvida que ainda temos um longo percurso pela frente para garantirmos um coletivo de organizações – públicas e privadas – mais ciber-resilientes.

A transformação digital da nossa sociedade e economia está a acontecer há mais de duas décadas a um ritmo muito acelerado, e acredito que o Estado não assumiu tão rápido quanto seria necessário um papel ativo na garantia de que há uma compreensão generalizada em relação aos riscos de cibersegurança desta transformação, e na publicação de políticas públicas que possam, de alguma forma, regulamentar, guiar e incentivar as organizações para a implementação de medidas proporcionais e adequadas para a gestão destes riscos.

Esta realidade tem vindo a mudar. Diria que nos últimos cinco anos – também decorrente de um papel muito mais ativo do Centro Nacional de Cibersegurança e da publicação da Estratégia Nacional de Segurança do Ciberespaço – começa de facto a reconhecer-se um farol a nível nacional que nos pode guiar e apoiar a todos nesta difícil jornada. Obviamente que algumas organizações precisam de maior orientação do que outras.

Em Portugal temos um tecido empresarial muito heterogéneo. Mais de 99% das nossas empresas são PME que, predominantemente, não dispõem de recursos nem know-how dedicados a este domínio. Neste sentido, considero que o Centro Nacional de Cibersegurança tem um papel essencial do apoiar estas organizações na literacia da Cibersegurança e das orientações necessárias para fazerem um bom trabalho a protegerem os seus negócios. No final do dia, quanto mais protegido estiver este tecido empresarial, mais protegido estará o nosso país.

Começámos um pouco tarde demais porque o processo de digitalização já está muito enraizado na nossa economia e a verdade é que vemos a quantidade de organizações que têm vindo a ser comprometidas, precisamente porque a nova realidade é a digitalização transversal dos negócios. Há muito tempo que devíamos estar a avaliar os riscos desta transformação, e a garantir a incorporação da cibersegurança na estratégia das organizações como pilar essencial para a sua contínua mitigação.

Portugal está em 14.º lugar no Índice Global de Cibersegurança, o que não representa um mau posicionamento. Contudo, sabemos que a maturidade generalizada para a Cibersegurança das organizações públicas e privadas não parece refletir este score.

Existe um longo caminho pela frente, que não será nem simples nem harmonioso para a generalidade das organizações. Algumas estão apenas agora a começar. Vendo o copo meio cheio, beneficiam de uma literacia generalizada em relação à cibersegurança que promove uma mais rápida aculturação, apoio dos decisores e maior agilidade na implementação das medidas necessárias para prevenção e resposta a incidentes. Contudo, este desenvolvimento leva muito tempo; é um tema complexo, denso e exige um esforço significativo das estruturas para se adaptarem, assim como aos seus processos de negócio, a esta nova realidade.

Por outro lado, vemos organizações com um grau de maturidade muito significativo que também vêm as suas redes comprometidas. Sabemos que a TAP é uma empresa bastante bem preparada; sabemos que a Vodafone, enquanto operador de telecomunicações, tem naturalmente um grau de preparação e de maturidade muito significativo, sabemos que a Uber terá certamente centenas de pessoas dedicadas à proteção do seu negócio. Mas a realidade é que estas organizações também estão a ser atacadas e altamente impactadas, o que nos apela à humildade e à consciência de que nunca estamos totalmente seguros, e que devemos incessantemente trabalhar para reforçar as nossas defesas.

É importante dar nota que alguns destes setores estão mais bem preparados porque foram influenciados por regulação. São setores com elevada relevância societária, e os próprios reguladores instituíram um conjunto de orientações e exigências técnicas e organizativas que aceleraram esta mudança. As organizações que prestam serviços essenciais devem efetivamente reconhecer o seu dever, a sua responsabilidade, de protegerem as suas infraestruturas através de uma estratégia holística e sistemática de cibersegurança, e os reguladores têm procurado garantir que assim acontece.

Ainda que não sejam obrigadas a implementar, sente que o decreto-lei 65/2021 pode levar as organizações mais pequenas a melhorar a proteção das suas infraestruturas?

As organizações que compreenderem o papel que a Cibersegurança passou a representar para o seu negócio, para a garantia do cumprimento da sua missão, encontram neste decreto-lei e no Quadro Nacional de Referência para a Cibersegurança publicado pelo CNCS excelentes guias para desenvolverem as suas estratégias de Cibersegurança, baseadas na gestão de risco e na implementação de requisitos mínimos de segurança das redes e sistemas de informação. São referenciais holísticos e maduros, desenvolvidos com base noutras normas e referenciais que têm muito evoluído ao longo do tempo, nomeadamente a framework NIST e o standard internacional ISO 27001. Por estes motivos, parecem-me efetivamente um excelente referencial e ponto de partida para quem está a iniciar esta caminhada.

A pergunta tem outra perspetiva: mas será que vão? Depende precisamente da sua consciencialização para estes riscos e da importância que a cibersegurança representa para os seus negócios. Acredito que o impacto mediático de muitos dos incidentes que temos experienciado acaba por proporcionar uma oportunidade para que a cibersegurança se estabeleça efetivamente como um tema prioritário na agenda das administrações e dos executivos, e para que seja alcançada uma consciência coletiva para este novo paradigma. A essa consciência deve-se seguir a ação, com a disponibilização dos recursos necessários – financeiros e humanos – para se desenvolver esta nova disciplina nas suas organizações.

Historicamente, a cibersegurança é vista como um custo por parte da administração. Por outro lado, os recentes ciberataques colocaram o tema na administração. Se ainda não o fizeram, como é que os diretores de Cibersegurança podem colocar o tema junto da administração?

A rentabilidade da cibersegurança está associada ao custo evitado quando se previne um ciberincidente, decorrente do seu potencial impacto no negócio, seja do ponto de vista operacional, financeiro ou regulatório. O benefício do investimento em cibersegurança é reduzir ou mitigar o risco de um incidente se vir a concretizar. Uma das ferramentas fundamentais para a comunicação com a gestão é evidenciar quais são efetivamente esses riscos e de que forma se refletem no negócio, quantificando-os – justificando por esse via os investimentos necessários nesta matéria. Deste modo, conseguimos, enquanto CISO, traduzir a dimensão técnica da Cibersegurança em linguagem de negócio, mais bem compreendida e apreendida pelos decisores.

Posso partilhar como é que há 12 anos começamos a trabalhar a cibersegurança na E-Redes de forma mais estruturada. Essencialmente, não tínhamos budget alocado à cibersegurança, nem equipas dedicadas e especializadas nesta matéria. Começamos por realizar um assessment; quisemos compreender, com base numa framework e com o apoio de um parceiro reconhecidos, qual era o nosso estado de preparação face ao panorama das ameaças a que estávamos sujeitos e tendo também em consideração o contexto da acelerada transformação digital que estávamos a experienciar. Estas duas dimensões andam sempre de mãos dadas e temos de as analisar quando pensamos cibersegurança.

A dimensão exógena. Tudo o que tem origem no exterior – as ameaças, a evolução dos grupos atacantes, a evolução do contexto geopolítico – e que nos exige a recolha contínua de inteligência e uma rápida adaptação sempre que necessário. Depois a dimensão endógena, a realidade da organização, que nos exige um acompanhamento progressivo e permanente do negócio e da sua jornada de digitalização por forma a garantir, consistentemente, a resiliência da arquitetura e do ecossistema tecnológico.

Voltando à realidade E-Redes, o assessment realizado permitiu-nos avaliar de uma forma muito transversal, incorporando todas as dimensões relevantes da cibersegurança, qual era o nosso grau de maturidade no momento.

Foram identificadas lacunas e fragilidades, nomeadamente o facto de não existir governança eficaz e de não estarem implementados todos os processos e tecnologias essenciais para a prevenção e resposta a incidentes. Correspondentemente, foram apresentadas as recomendações concretas para a sua mitigação, tendo daí decorrido um programa transformacional que estabeleceu as fundações para o que é hoje a cibersegurança na E-Redes.

Este caminho não se fez de um dia para o outro. O programa incorporou mais de uma dezena de projetos e iniciativas, de naturezas tecnológica e processual, tendo representado um investimento muito significativo e um esforço de mais de três anos.

Concretamente, recordo-me que esta abordagem de assessment, como ponto de partida, foi uma abordagem muito conveniente e profícua para a comunicação com a nossa administração. Comunicava risco de negócio e taxativamente um nível de preparação abaixo do desejado para uma organização com um papel tão crítico no setor da energia. Levantaram-se as bandeiras vermelhas e a organização reagiu construtivamente.

Quais são os conselhos que deixa para outros CISO e diretores de IT com responsabilidade de Cibersegurança dentro de uma determinada entidade para melhorarem a proteção da sua organização?

Muito poderia ser dito, mas penso que, de uma forma geral, é preciso compreender que o risco de cibersegurança é um risco de negócio. Os CISO devem conseguir comunicá-lo desta forma, particularmente aos decisores, promovendo a definição de uma estratégia de cibersegurança alinhada com os objetivos de negócio, e a libertação dos recursos humanos e financeiros necessários para a sua concretização. Complementarmente, os CISO devem também reconhecer e abraçar a complexidade do tema, assegurando uma abordagem compreensiva e de grande transversalidade, e a implementação do conjunto muito alargado de controlos técnicos, processuais e de governo, que compõem o corolário desta disciplina. Esta caminhada é feita por um caminho de pedras, que nunca termina.

É fundamental definir uma estratégia sistemática e holística que seja reconhecida a todos os níveis da organização, e que ateste a cibersegurança como um sistema composto por vários processos que, na prática, constituem a nossa linha de defesa e de resposta a ciberincidentes. O CISO e a sua equipa devem, em coordenação com as diferentes áreas da empresa, emanar as políticas, normas e requisitos essenciais para a gestão do risco, de forma a alcançar um nível de excelência na concretização de uma estratégia estruturada, abrangente e progressiva de cibersegurança.

No nosso caso, posso asseverar que a norma ISO 27001 tem sido desde 2017 um bom guia para a implementação de uma estratégia assente nestes preceitos, aquando da implementação do nosso Sistema de Gestão de Segurança da Informação.

Muita dedicação e empenho para a aculturação da organização. A formação, sensibilização e comunicação são fatores chave para o sucesso. Todos na organização têm de reconhecer os riscos que representa e a importância da Cibersegurança para a sua missão, assim como o seu papel nesta complexa equação – todos fazem parte do problema ou da solução; e o desafio dos especialistas é criar uma força de trabalho que contribui ativamente como primeira linha de defesa. Esta transformação implica abordagens multidisciplinares, a todos os níveis da estrutura, para que a Cibersegurança seja normalizada e tratada como um enabler de negócio.

E uma última nota, é colaborar. Estamos todos neste campo de batalha, independentemente das nossas cores e particularidades, e juntos seremos seguramente mais capazes de enfrentar este desafio. A E-Redes abraçou desde muito cedo esta filosofia, sendo inclusivamente um dos objetivos estratégicos da cibersegurança. Estamos envolvidos em diversos fóruns, nacionais e internacionais, onde procuramos intervir ativamente para uma cooperação efetiva e para a capacitação coletiva de todos os envolvidos para a cibersegurança.