“Todas as empresas querem adotar IA, mas nem todas estão a ver o risco de utilização”

A Microsoft celebra este ano os seus 50 anos. Há 50 anos, o tema da cibersegurança não era tido em conta nos processos de decisão das organizações. No entanto, como é que o tema tem evoluído?

Há 50 anos não tínhamos Internet. A maneira como olhávamos para a segurança era um bocadinho distinta, era a segurança mais física. A Microsoft nasceu para criar produtos para, de alguma maneira, termos um time to market e competirmos com os gigantes da altura que depois também se tornaram parceiros, como a IBM.

O que tem mudado ao longo dos anos na Microsoft é, além de nos focarmos no time to market, de sermos rápidos em entregar software, percebemos que tínhamos de mudar a maneira como olhávamos para a cibersegurança, principalmente porque o cibercrime está na ordem do dia; é a terceira maior economia, segundo a Forbes, com 10,5 biliões de dólares, e estamos a falar de biliões e não milhares de milhões. Este valor é interessante porque o gasto mundial é de 212 mil milhões, de acordo com a Gartner.

Tínhamos de fazer alguma coisa porque o cibercrime procura aceder a dados e, em alguns casos, destruir para ganhar vantagem. Assim, em 2023 lançámos o Secure Future Initiative, o SFI, com o objetivo de colocarmos a segurança em primeiro lugar. Não é que não estivesse no top of mind no desenvolvimento de produto, mas continuávamos a estar mais focados no time to market, em querer competir com os nossos concorrentes e como é que vamos ser rápidos a competir, mas ao mesmo tempo não descurar a segurança. O SFI veio mudar isto.

A partir de 2021, a Microsoft começou a investir em cibersegurança cerca de mil milhões de dólares em segurança por ano, e fizemos esse investimento quatro vezes. A inteligência artificial também veio colocar a cibersegurança na ordem do dia, porque não temos de proteger apenas a IA, como também temos de utilizar a IA para nos proteger. Esta mudança na forma de usarmos a IA tem a ver com cada vez haver mais atores mal-intencionados a atacar. A Microsoft, por causa do 365 e do Azure, recolhe 78 biliões de padrões por dia e toma 72 mil milhões de ações por dia. Para tomarmos essas ações por dia, se não tivermos inteligência artificial também a trabalhar connosco, torna-se complicado.

O SFI é o maior projeto de engenharia de cibersegurança da história com 34 mil engenheiros dedicados à cibersegurança, alguns no processo de defesa, outros a desenvolver produtos, ou seja, é uma equipa multidisciplinar. Desde 2023 até agora, conseguimos acabar com 730 mil aplicações; eram aplicações que não tinham utilização, havia equipas que as estavam a manter, tinham claramente falhas de segurança porque eram antiquíssimas e conseguimos esse primeiro ponto.

Depois, também eliminámos 5,75 milhões de tenants em Azure. Este número é interessante porque se alguém quiser experimentar um produto vai, provavelmente, criar um tenant e durante o processo de experimentação não vai ter os cuidados que devia ter num ambiente produtivo, mas está a abrir brechas do ponto de vista de cibersegurança. A Microsoft começou a olhar para esses ambientes de uma forma mais cuidada porque, mesmo para uma empresa grande, este número é bastante grande.

Com este crescendo do cibercrime e dos agentes de ameaça estarem a aumentar – em 2023 tínhamos cerca de 300 e em 2024 cerca de 1.500 [agentes de ameaça] monitorizados pela Microsoft. Quando dizemos 1.500 – e há aqui várias tipologias – estamos a falar de equipas inteiras dedicadas a atacar, a recolher dados e até a recolher dados que não consigo ver, mas já a pensar na computação quântica para desencriptar daqui a alguns anos.

O SFI é uma iniciativa que tem como compromisso publicarmos o relatório do que é que estamos a alterar, mas também teve alterações a nível organizativo dentro da empresa. Cada área de negócio passou a ter uma responsabilidade do ponto de vista de segurança que antes não tinha. Há um CISO, mas depois, por exemplo, a unidade de Azure também tem um deputy CISO; ou seja, envolveu alterações organizativas em que têm de responder por esses factos.

Como avalia a maturidade das organizações portuguesas em termos de resposta a incidentes?

Houve muito esforço, nomeadamente de montar infraestruturas para existir a capacidade de recolher sinais e criar uma capacidade de resposta a incidentes e monitorização. Apesar de haver muitas organizações que adotaram o CSIRT, a evolução não foi tão rápida como se esperava, ou seja, ainda há pouca maturidade do ponto de vista de segurança nas organizações portuguesas.

Isto não acontece apenas num cenário da Administração Pública, é maioritariamente as PME, que acabam por ser 90% do nosso tecido empresarial e que não estão minimamente preparadas. Primeiro do ponto de vista de investimentos, nem sequer acautelam investimento para a área da cibersegurança, e depois não têm pessoas com capacidades para lidar com esses problemas.

Nós acreditamos que trazer a IA para as PME vai ajudá-las a conseguirem proteger-se. Acreditamos que se calhar pode existir uma iniciativa onde todas as pequenas e médias empresas podem ter, por exemplo, um SOC – é quase um sonho utópico nesta altura, mas acredito que é possível fazê-lo.

Quando pensamos no mercado enterprise, existe uma maior preocupação das empresas em cumprir com a regulamentação. Com a NIS2, muito mais empresas vão estar atentas porque vão ter de olhar para coisas que antes não olhavam.

Diria que para as PME são uma preocupação, para nós até como cidadão, porque dependemos das PME. Para as grandes empresas acredito que já existe maturidade, a maior parte delas já montaram SOC, portanto estão a olhar para aqueles sinais de que falávamos e estão a preocupar-se com os seus próprios clientes e a protegê-los.

Há um cuidado geral, mas há aqui um outro ponto. A Microsoft tem 50 anos de história, mas a administração pública tem mais, ou seja, também há história em sistemas pré-Internet que ainda não estavam preparados. Há áreas que precisam ainda de melhorar, mas acredito que há zelo, preocupação e investimento para seguir no sentido certo.

A inteligência artificial tem impacto em vários setores e a cibersegurança não é exceção. Como é que vê o impacto da IA na cibersegurança, seja para a defesa ou para o ataque?

Todas as empresas querem adotar IA, mas nem todas estão a ver o risco de utilização da IA. Há um estudo da Microsoft que diz que 57% das organizações relatam o aumento de incidentes de segurança devido à utilização de IA, porque as empresas pegam na informação sensível, vão a um site público e colocam essa informação lá e fazem a exfiltração de informação.

O primeiro ponto da utilização de IA que quisemos ter em consideração foi proteger a utilização desses sistemas, sejam eles sancionados pelo IT ou não. O ChatGPT teve um crescimento enorme em pouquíssimo tempo e é normal que as pessoas dentro das organizações tenham começado a utilizar o serviço e a colocar informações dentro do ChatGPT, inclusivamente código. A primeira preocupação da Microsoft foi como ajudar a prevenir a exfiltração de informação, inclusive com enforcement, ou seja, perceber que um cliente está a fazer copy paste de dados e a colocar num shadow AI e impedir que isso aconteça.

Depois, há o IA que nós próprios produzimos e damos aos nossos clientes. Acabámos por nos familiarizar com o termo Copilot – que nasceu com o Copilot Github, o primeiro Copilot que tivemos – que permitiu entregar software mais rapidamente com menos vulnerabilidades. Tínhamos de proteger este IA para quem o está a utilizar. Colocámos guardrails de caráter de segurança da pessoa e da empresa. Para proteger o sistema de jailbreaks, tivemos de, primeiro, fazer esse trabalho dentro de casa com uma red team para perceber que vulnerabilidades tínhamos nestes algoritmos, para depois os poder dar ao mercado e, ao mesmo tempo, monitorizar isso.

Isto é do ponto de vista da inteligência artificial, mas depois é preciso perceber como é que vou trazer isso para a cibersegurança. Naturalmente que os atacantes também têm acesso à inteligência artificial e estão a utilizar IA para o mal; nós temos de utilizar IA para a proteção e começámos a utilizar de forma ativa.

Inicialmente era para diminuir o mean time to detection e o mean time to response para ajudar um técnico. No entanto, começámos a colocar a IA embebida nos produtos para conseguirmos interromper o ataque, ou seja, a IA está nos nossos produtos para diminuir a deteção, para interromper um ataque e está dentro dos próprios modelos para os proteger de uma utilização irresponsável. Esta é uma corrida que não acaba.

O futuro é incerto porque não sabemos todos os riscos da tecnologia. Aqueles riscos que temos a certeza estamos a acautelar. Estamos a confiar, mas a validar constantemente e também damos essa opção aos clientes. Para uma empresa também interessa saber que prompts foram feitas e que respostas receberam para que, mais tarde, se possa verificar se algo não tiver corrido bem. Uma tecnologia de IA enterprise permite fazer isso; um ChatGPT provavelmente não permite ter acesso a esta informação.

Há uns anos havia a questão de se as organizações iam ou não para a cloud, mas isso já lá vai; hoje, muitas têm várias opções e configurações complexas. Em termos de segurança, podemos pensar que algumas situações se tornaram mais seguras, mas outras também se tornaram mais complexas. Como é que veem esta dinâmica de cloud versus cibersegurança? A que é que estão a assistir em ermos de tendências?

Hoje, ninguém coloca em causa se a cloud é mais segura do que o tradicional data center. Se falássemos deste tema há dez ou 12 anos não seria bem assim porque havia desconfiança dos processos. A Microsoft tem 34 mil pessoas a trabalhar segurança; as pequenas empresas não têm ninguém e mesmo a maior empresa em Portugal tem quantas? Oito ou dez, mais um SOC? O número de pessoas que trabalham segurança é muita reduzida nas empresas e há poucas pessoas com know-how na área de cibersegurança.

Já não há desconfiança dos hyperscalers e não há dúvidas de que mesmo as empresas que não são hyperscalers e são players de cloud europeus têm melhores processos de segurança do que as empresas têm dentro de casa. Creio que já não se coloca em causa o tema da segurança numa mudança para a cloud.

Acho que, tal e qual agora acontece na adoção de IA, é um ‘tem de ser’ e depois vê-se como se resolvem alguns temas. Vemos algumas empresas com a maturidade de classificar a informação e a impedir que determinadas pessoas dentro da própria organização tenham acesso a essa informação. Também existiram organizações que tiveram pouco cuidado na partilha da informação.

No caso da cloud, isso também aconteceu, com um mero lift and shift; pegaram nos caixotes que tinham, virtualizaram e colocaram na cloud sem mudar nada. Tem desvantagens porque não fizeram uma adoção correta da cloud, em termos de custo também e, do ponto de vista de segurança, nem se fala porque a segurança na cloud é distinta da que se fazia on-premises. O que fizemos foi criar as Cloud Adoption Frameworks para explicar como se adotava bem a cloud, criar templates para acelerar esse processo, e duvido que em 2025 não haja uma organização que não adote essas boas práticas e que não o faça de uma forma muito mais segura do que aquilo que tinha on-prem.

Faço mentoria a algumas startups e, para elas, a segurança é como a energia: carrega-se num interruptor e existe. Não importa de onde é que ela vem. Eles querem acreditar que a segurança está lá porque o foco deles é criar produto e chegar ao mercado o mais depressa possível, mas ao irem para a cloud e seguirem as boas práticas, do ponto de vista de segurança estão muito bem. Apesar de não terem uma pessoa 100% dedicada a cibersegurança, ao seguirem as boas práticas que hoje estão mais do que bem documentadas, fazem-no bem feito.

Tendo em conta a escala global da Microsoft, como se traduz na prática o princípio de secure by design? Que processos internos têm evoluído para antecipar vulnerabilidades ainda na fase de desenvolvimento?

O SFI aqui aplica-se por completo. Passou a ser a definição; não desenvolvemos nenhum produto em que a segurança não seja o princípio, mas não ficámos por aí. Acreditamos que há muita gente que gosta de segurança e está disposta a colaborar para procurar vulnerabilidades. Na defesa temos de defender todos os pontos; para atacar só precisamos de uma brecha. O que fizemos foi criar uma política de trazer estudantes e empresas que queiram procurar vulnerabilidades nas nossas aplicações e criámos um bucket de quatro milhões de dólares para bug bounty onde recompensamos as vulnerabilidades reportadas.

Além de termos colocado como predefinição do nosso desenvolvimento de produtos o facto de não sair nenhum produto sem ter passado todas as validações de segurança – e antes não era assim, se encontrássemos uma vulnerabilidade de criticidade baixa se calhar lançávamos o produto e depois fazíamos a correção – e todas as equipas de produto passaram a ter segurança também no desenvolvimento da solução.

Naturalmente que as equipas implementam boas práticas de CI/CD e, ao longo do tempo, passámos a incluir as pipelines para entrega de software, temos testing rings. Na Microsoft, a maioria dos colaboradores trabalha com as versões de teste antes de os clientes as usarem; do ponto de vista de segurança isso também é assim onde existem alguns rings em que estamos a fazer os nossos testes e só depois fazemos o lançamento do produto.

Na entrega de software, entregamos de forma controlada e temos este programa de bounty, assim como as nossas red teams que estão constantemente ataques aos nossos sistemas para procurarem, eles próprios, vulnerabilidades. Isto é válido para todos os produtos que nós temos.

No desenvolvimento dos nossos produtos de segurança que monitorizam os dispositivos e as identidades também trabalhámos em criar produtos específicos para cada uma destas áreas, com o objetivo de proteger a identidade, os dados estruturados e não estruturados, também proteger a privacidade dos dados. Também a monitorização de todos os sinais – como o SIEM – para todos os eventos em real time e inteligência artificial.

O trabalho de desenvolvimento de segurança foi além daquilo que são os produtos tradicionais da Microsoft para uma suite ou stack inteira de segurança em todos os vetores. Não houve nenhum pilar da segurança em que a Microsoft não tivesse dedicado tempo.

Que conselhos deixa para os executivos das organizações portuguesas?

Acho que a segurança devia estar na ordem do dia. A maior parte das vezes não está no top of mind; claro que numa PME nunca está, mas deveria. A segurança para tudo devia estar no top of mind. Em algumas empresas, o CISO já faz parte do board porque já perceberam que há uma importância grande para a empresa.

Todos nós somos cidadãos, temos a nossa vida, família… como é que a cibersegurança está no nosso dia a dia? Tenho um filho; como é que ele usa as plataformas? Onde é que ele está? Que informação partilha? Onde é que está a colocar os seus próprios dados? As plataformas têm muitos riscos e se começarmos a olhar para o nosso próprio dia a dia de forma mais atenta, vai-nos ajudar a começar a olhar para isso na nossa vida profissional.

Se começarmos a pensar nisto no nosso dia a dia por predefinição e no nosso pensamento como a primeira coisa, acho que quando voltarmos para trás da secretária no nosso trabalho vamos perceber que isto é muito importante e devia estar em primeiro lugar. O primeiro call to action é olhar para a sua própria vida e dia a dia, até do ponto de vista de redes sociais.

Todas as vidas profissionais – sejam em empresas ou no setor público – lida com dados e os cibercriminosos estão atrás desses dados; isto é válido no nosso dia a dia como no mundo empresarial. Nem sempre temos porque cada vez estamos mais conectados e não temos tempo para ir além do que já temos na pilha de trabalho. Normalmente tratamos da pilha e esquecemos do resto. É preciso parar, pensar e redefinir as prioridades.

Enquanto pessoas temos de parar, ver o que é que estamos a usar, que informações estamos a partilhar e, depois, trazer isso para o mundo empresarial. Se fizermos isso, vamos ter outro grau de cautela.

O CFO de uma empresa percebe que dados é que são importantes para eles e que dados pode dar ao mercado. Um CTO e um CEO também, mas nenhum deles está, se calhar, preocupado com um destes problemas que falámos. Trazer isto do dia a dia vai ajudá-los a pensar, a questionar que, se isto acontece na sua vida privada, como é que será que acontece na sua empresa. Normalmente não há essa preocupação porque há alguém na empresa que leva o tema da segurança, mas a segurança é um tema de todos. Também o tema da literacia e do skilling é essencial. A minha predefinição vai para o skilling; não é preciso muito tempo porque se a informação for bem cuidada e trabalhada conseguimos consolidar e ir apenas ao essencial para não ser demasiado, mas, claramente, temos de trabalhar a literacia, não só dos boards, mas de todos os colaboradores. Isto vai ajudar não só no nosso trabalho, mas também no nosso dia a dia.