“O utilizador é o elo mais fraco porque não o robustecemos”

Como é que a EPAL sentiu o crescimento de ciberameaças que tem existido nos últimos anos?

Diria que a EPAL tem sentido o crescimento em alinhamento com as restantes empresas, embora tenhamos algumas questões específicas do setor e por sermos uma empresa com relação com o Estado. A verdade é que os fatores que levam o crescimento a ser a dois dígitos – como tem acontecido – têm sido os mesmos: tem a ver com a histórica importância que foi dada a todos os temas de cibersegurança – que foi relativamente baixa, as empresas não davam a importância que lhe dão agora –; algumas empresas também acumularam muito legacy do ponto de vista de sistemas de informação, às vezes provenientes de reduções de custos dos anos de crise que passámos. Depois, isto contrapôs com a pandemia que provocou um crescimento de utilização à distância e muitas vezes com os colaboradores a terem uma literacia digital baixa porque não lhes foi entregue melhor informação. Também as empresas tinham temas pouco preparados, por vezes; as empresas até tinham uma VPN, mas depois não tinham qualquer tipo de proteção do posto de trabalho e ficaram um bocadinho aflitos. Este crescimento acaba por estar muito relacionado com o próprio momento que vivemos.

Por outro lado, também houve uma concentração dos serviços de sistemas de informação muito motivada – outra vez – pela redução de custos onde foram movendo os ovos todos para o mesmo cesto; agarrámos e andámos a trabalhar uma série de anos a centralizar sistemas e a sua gestão, que acabaram por deixar algumas empresas um pouco mais a jeito do que o normal. Esta centralização acaba por se notar em alguns ataques que foram feitos a grupos em Portugal porque, efetivamente, quando alguém consegue dar um disparo, o disparo é certeiro demais e acaba por provocar muito mais lesão do que seria suposto.

O crescimento de ciberameaças que temos sentido vem muito por estes fatores. Também nós tínhamos algum legacy que temos de tratar, também nós viemos, ao longo do tempo, a preparar os nossos utilizadores, de uma geral, na tal literacia digital e isso ajudou-nos muito já em várias situações, e a visão de concentração de sistemas, de pôr todos os ovos no mesmo cesto, felizmente, não tem sido a nossa visão; a nossa visão tem sido obviamente aproveitar ao máximo as sinergias, mas, ao mesmo tempo, ter uma granularidade que nos proteja.

Se olharmos para este crescimento, é isto que nos tem dado alguma sustentabilidade, a conseguir ir sobrevivendo. A verdade é que sofremos os ataques como todos e o que temos de fazer é conseguir prever e estar preparados quando eles acontecerem, até porque a ciberameaça está a mudar muito. Fala-se muito – e é verdade – que o cibercrime move largos milhares de milhões de dólares e o modelo de negócio está a mudar; um simples ataque que já se contratava as-a-Service no submundo está a mudar e a focar-se muito na extorsão e é o que temos visto ultimamente. Todos estes fatores que dizia antes – de ter os sistemas muito centralizados, ter os ovos no mesmo cesto, as organizações com muito legacy, os utilizadores não estarem preparados e que acabam por ser uma ajuda para que tudo isto se consiga fazer – acabam por ser os principais pilares do crescimento das ciberameaças num mundo que roda muito rápido.

Fala-se repetidamente que os colaboradores podem ser uma porta de entrada para um ciberataque. Como é que se pode educar eficazmente os colaboradores para os ciber riscos?

É muito difícil resolvermos um problema que não vimos; quem não sabe é como quem não vê. Não podemos ter os colaboradores da empresa a estarem atentos a temas de ciber risco se não lhes damos essa literacia e não os ajudamos a entender. Infelizmente, começamos a ver formação do uso de tecnologia nos primeiros níveis de escolaridade, mas formação de cibersegurança e daquilo que é inerente à tecnologia ainda se vê muito pouco.

É aqui que está, do meu ponto de vista, um dos pilares principais; o maior aliado para proteger a nossa estrutura, a nossa empresa e a nossa informação são os utilizadores, os trabalhadores, sejam internos ou externos, que colaboram connosco no dia a dia. Isso nem sempre precisa de um grande investimento; é mais o investimento estratégico do que o investimento económico que tem de ser feito. Existem uma série de mecanismos; o Centro Nacional de Cibersegurança tem vindo a disponibilizar uma série de materiais e formações que embora possam ser mais ou menos simples, a verdade é que são ferramentas que estão ao dispor para as empresas usarem nesta matéria.

O que fizemos na EPAL – e já fazemos há alguns anos – foi uma série de iniciativas apoiadas pela gestão de topo que identifica o tema de cibersegurança como um tema realmente importante e esse talvez seja um dos primeiros passos: se queremos chegar às pessoas, é necessário que a gestão de topo estejatambém comprometida. Já fizemos sessões presenciais, abertas a todos os colaboradores, incluindo informação não só interna, mas também de outras entidades que vieram partilhar a forma como viam. Isto é importantíssimo porque desperta os colaboradores para o tema. À parte disso, fizemos uma série de webinares específicos sobre o tema, mas isto tem de ser uma coisa do dia a dia. Vamos reforçando ao longo do tempo – e obviamente houve um reforço muito grande em 2020 quando fomos todos para casa –, mas sempre num formato simplificado. Por exemplo, enviamos assiduamente exemplos concretos de ataques, de emails de phishing que estão a chegar num determinado formato, de chamadas que estavam a ser feitas para nós, de SMS que estão a acontecer, quer nos nossos casos em concreto, quer em situações que se veja no mercado. Isto quer dizer que, continuamente, há um pingar de informação em todos os colaboradores que vai ficando e vai fomentando essa literacia que é necessária para estarem mais atentos a determinadas formas de ataque ou de como recebem a informação. O formato simplificado tem como objetivo cativar a própria atenção; se o que fazemos é enviar procedimentos – que também têm de existir e ser divulgados – isso tem de ser mais direto e incisivo no que é a matéria.

Têm nos corrido bem. Um dos principais indicadores ou KPI que temos para perceber se isto está a correr bem é exatamente a quantidade de avisos e denúncias que chegam todos os dias aos sistemas de informação provenientes dos próprios utilizadores; são eles mesmos que denunciam que estão a receber um determinado tipo de informação, chamada ou SMS de tentativas de fraude.

A EPAL tem uma infraestrutura muito importante, uma vez que faz chegar água potável à casa de milhões de portugueses. Quais são os principais desafios de cibersegurança e como é que se faz a proteção desta infraestrutura para que o impacto de um ciberataque seja minimizado e a água não deixe de existir na casa da população?

Somos uma empresa de serviço crítico; os humanos podem viver sem muitas coisas, mas não sem água. Os nossos desafios acabam por estar muito alinhados com a maioria das empresas no mundo e em Portugal, em concreto. Ainda que se possa achar e que se goste de dizer que Portugal está aqui no fim e não acontece grande coisa, isso não é exatamente assim e temos visto que não é assim pelos piores motivos. O que temos são algumas questões específicas em cibersegurança para nós pelo facto do setor onde atuamos, pelo facto de fazermos parte do Estado. Em termos de recursos, é muito difícil encontrar recursos especializados em cibersegurança, mas é ainda muito mais difícil poder-lhes pagar. Temos limitações económicas e salariais que tornam complicado contratar um recurso que é muito caro no mercado e depois consegui-lo manter. Quase sempre temos investido em formatos alternativos de formar estes ativos, de tentar desenvolvê-los cá dentro e cativá- los para que continuem a trabalhar connosco, ao mesmo tempo que criamos parcerias específicas para que tudo isto funcione.

Por outro lado, há outros desafios que é o próprio acompanhamento que tem de existir. A maioria das empresas – não todas – tem uma determinada infraestrutura: o seu edifício, ou dois ou três escritórios para proteger. Nós temos uma dispersão imensa no terreno. Muita gente conhece a EPAL por Lisboa – e é aí que temos uma larga história –, mas temos a gestão das águas do Vale do Tejo, o que significa que temos de falar desde a Guarda, a Évora, a Lisboa e a outras zonas. É uma dispersão imensa com milhares de localizações que tornam difícil e complicado estes recursos perseguirem esses desafios.

Há uma grande exigência; a água não pode faltar. Um problema que exista – seja de cibersegurança ou de outra índole – tem de ser resolvido de maneira que isto flua muito rapidamente e nem sempre é muito reconhecido no mercado, e ainda bem que assim é; somos uma utility que as pessoas não estão habituadas que falte, sobretudo nas grandes cidades. A qualidade e a quantidade da água nas torneiras dos cidadãos normalmente não estão em causa; isto passa de uma forma muito ligeira.

A forma como temos encarado estes desafios é em modelos de colaboração com entidades externas, com o CNCS e sobretudo com os nossos utilizadores, que são um elo imprescindível para que esta proteção corra bem. Com esses utilizadores acabamos por, dentro desta infraestrutura crítica, construir uma espécie de balanceamento entre aquilo que é a gestão central para que os recursos sejam o suficiente ou consigam gerir tudo aquilo que existe. Também procuramos não centralizar sistemas, tentar evitar ao máximo que se houve um problema num sítio, ele não repercute, obrigatoriamente, por os demais sítios como às vezes acontece em grupos ou em empresas realmente de índole alargada como é o nosso caso.

Por outro lado, temos as nossas medidas de proteção tecnológicas típicas que muitas empresas têm e que apoiam os utilizadores e o negócio para proteger a informação do negócio, tudo isto numa revisão contínua.

Um tema que muitos responsáveis de cibersegurança encontram na sua organização é a falta de investimento em recursos. Qual é o conselho que deixa a quem está nessa situação e precisa desse investimento para fazer uma proteção adequada às necessidades e convencer quem decide?

Esse convencimento acontece em qualquer empresa e a EPAL tem as mesmas dificuldades e houve essas dificuldades quando o processo começou. Quando é um processo novo e alguém vem pedir dinheiro para algo, esse dinheiro tem de ser justificado.

A primeira questão que tem de haver quando queremos endereçar a falta de recursos ou de investimento, é perceber onde estamos. Aí, o apoio que temos da nossa administração tem tudo a ver com isso: terem percebido onde é que estávamos, o que acontece no mundo, terem consciência de onde está a EPAL, as repercussões que existem se tivermos um problema e qual é o risco que está em causa. Diria que, para qualquer empresa – pequena ou grande –, o tema é esse mesmo: para resolvermos o problema, temos primeiro que o reconhecer. É preciso que a empresa tenha um bom diagnóstico do seu próprio estado, de como integram o mundo.

Isto não obriga forçosamente um investimento muito avultado. É evidente que podemos utilizar uma grande consultora para fazer este trabalho, mas também é verdade que existem mecanismos e muitas ajudas para conseguir fazer um trabalho bastante eficaz praticamente sem investimento. É preciso é fazê-lo. É muito difícil pedir o que quer que seja numa empresa sem justificar qual é o benefício que aquilo vai ter.

Acho que é muito complicado chegar à gestão de topo de uma empresa – que até pode ter um determinado tipo de limitações – e dizer que ‘nós, agora, precisamos de ter aqui vários sistemas de firewall, de proteção dos postos de trabalho, ter uma equipa só a monitorizar tudo isto, ter um tipo especialista a fazer de CISO’. É difícil – se não mesmo impossível – num determinado nível de empresas; é muito difícil mesmo em empresas grandes porque o investimento não está lá e a capacidade nem sempre justifica o que é o próprio risco. Se pusermos os riscos em cima da mesa medidos, se percebermos qual é o impacto que esse risco tem e a probabilidade, a própria gestão – tal como faz todas as suas decisões – vai perceber o efeito que aquilo possa ter e é essa apresentação do risco real que vai ajudar na estratégia de quem está nas empresas a ter de fazer alguma coisa e tem de o fazer de forma muito meritória, linear e transparente.

Além dos investimentos diretos, há um vasto leque de ações que nem sempre tem forçosamente investimentos e que podem ser feitos, como a consciencialização dos utilizadores – porque posso ter imensa tecnologia, mas se o utilizador não for minimamente consciente as coisas podem correr mal e daí a célebre frase de que o utilizador é o elo mais fraco; ele é o elo mais fraco porque não o robustecemos –, a atualização de alguns equipamentos, já que algumas vezes temos os equipamentos, mas não os atualizamos.

Há aqui alguns fatores que acho que vão ajudar a que tudo isto avance obrigatoriamente. Há uma série de legislação mais recente que se adaptou e começou a especificar muito claramente às obrigações que cada empresa nos seus âmbitos e nos seus setores tem sobre os temas digitais e, nomeadamente, na segurança. Há uma lei recente – a 65 de 2021 – que justamente vem estipular de uma forma muito clara o que é que as empresas têm de cumprir e de como é que têm de reportar aquilo que passou a ser um regulador do ponto de vista de segurança, que é o CNCS. Mas já existiam legislações anteriores; existiam portarias de Conselhos de Ministros, etc., a definir claramente uma série de situações que muitas empresas ainda não fizeram ou ainda não tinham feito, como ter a sua página web com um certificado de encriptação e torná-lo HTTPS – e quem diz isto, diz tantos outros fatores. A legislação, junto com a forma como damos a análise de risco à gestão de topo, junto às ações que podemos fazer sem investimento na organização, são sem dúvida uma forma de endereçar o tema da segurança em empresas que possam ter menor capacidade de investimento.

Há algum ciberataque que a EPAL tenha sofrido que possa partilhar?

Em detalhe não o vou partilhar, por razões óbvias, mas realmente sofremos ataques numa base regular. Quando falo de ataques não falo apenas de receber uns emails de phishing ou umas coisas desse género; efetivamente, existe, de vez em quando, umas levas que nos chegam e que temos de conseguir enfrentar da melhor forma.

Posso dar um exemplo muito recente em que, de repente, começámos a receber os famosos ataques de Vishing, que é por voice e phishing ao mesmo tempo. Começámos a receber chamadas, acompanhadas algumas delas por emails de phishing com engenharia social associada. No fundo, eram chamadas diretas para os colaboradores, com diferentes tipos de assuntos e alguns deles relativamente relacionados com a atividade e acompanhados de emails fraudulentos a tentar desenvolver uma série de ações.

O pilar principal para resistir a este ataque – e nós assumimos que foi um ataque específico porque efetivamente não foram uma nem duas situações, foram muitas num curto espaço de tempo, um dia e pouco – foi, sem dúvida, o pilar robusto dos nossos utilizadores. Os ‘n’ utilizadores que foram impactados com isto, na sua esmagadora maioria denunciaram imediatamente a situação. A melhor forma de conseguir responder a isto passa por tentar filtrar estes emails, tentar filtrar este tipo de acessos, perceber nos emails o que é que estão a tentar abrir e como e abrir rapidamente uma proteção contra isso, mas a verdade é que as empresas não se podem fechar ao mundo; ou já têm um determinado nível de preparação, ou é muito difícil.

Só o facto de os colaboradores terem começado a reportar, de nós do nosso lado já termos o hábito de reportar isso para toda a organização sobre o que estava a acontecer e de como poderiam obter mais informações de como reagir. No fundo, temos, do ponto de vista de sistemas de informação e das áreas de segurança, de estar dispostos a atuar muito rápido e fornecer ajuda e informação para que toda a gente proceda da devida forma apoiada pela tecnologia que existe.

Foi a maneira como reagimos e, felizmente, correu bem. É algo muito recente, mas que correu bem desta vez e esperamos com isso aprender para que da próxima também corra bem. Sem dúvida que os utilizadores quando percebem que estes casos tocam também na nossa porta e que não tocam apenas a um ou dois, mas acontece com várias pessoas da organização, com histórias bem contadas e que a resistência deles faz o nosso escudo, isso dá ainda mais ânimo para que, da próxima vez, sejam mais fortes e coesos.

Em termos gerais, quais é que acredita que serão as tendências de cibersegurança que vamos assistir durante este ano de 2022?

A tendência vai ser, e já está a ser, responder às novas legislações que foram saindo. Já vimos numa tendência exponencial de crescimento do mundo digital. A pandemia impulsionou o mundo e principalmente as empresas que ainda não estavam lá e que de repente tiveram de saltar, e isso torna a cibersegurança num tema de obrigação total, quer para a sobrevivência, quer do ponto de vista legal.

Uma tendência clara – que já se está a ver – no curto prazo, entre este ano e o que vem, é as empresas a reconhecer que isto é importante, a perceber – até pelas notícias que têm vindo à tona – os impactos graves que isto pode ter quando não se lhe dá a importância suficiente e estão a começar a investir nesta matéria. Para isso, vai ser necessário ter recursos especializados que não existem no mercado, que não estão a ser treinados com a cadência suficiente e outra das tendências é que vamos ter muita gente a querer estudar este tipo de matérias porque percebem que está aqui um longo caminho que podem trilhar profissionalmente.

Aquilo que acontece é que as entidades têm de começar a trabalhar mais em parceria. As empresas partilham muito pouco daquilo que acontece, nem sempre partilham a verdade do que acontece, mas não o fazem abertamente. Uma coisa é partilhar nos media gerais, ir para a televisão dizer o tipo de ataque, por onde foi, como foi, e é como ensinarmos a fazer uma bomba com produtos de cozinha; outra coisa é partilhá-los nas sedes próprias e existem sedes e entidades próprias onde a partilha de informação que se faz alimenta toda uma máquina de proteção para todo o nosso tecido empresarial e isso é vital e está a tornar-se numa tendência. Tenho assistido como nunca à criação de grupos de trabalho de várias empresas diferentes – normalmente do mesmo setor, mas não só – para que essa partilha exista e seja feita o mais prontamente possível.

Acho que uma tendência que vai haver é que a tecnologia de proteção nestas matérias vai continuar a fluir na cadência que tem fluído, mas, ao mesmo tempo, ser concentrada e simplificada na sua gestão porque não vai haver recursos para gerir dez consolas de matérias diferentes e com uma assiduidade praticamente online.

Tendencialmente, está-se a simplificar e está a concentrar-se no seu modelo de gestão para que as empresas consigam investir em algo que também consigam explorar. Estes ciclos tecnológicos vão adaptar-se cada vez mais àquilo que são as necessidades de cada empresa, mas também à necessidade de o manter e atualizar no dia a dia.