“Para uma empresa focada naquilo que é competitividade e eficiência operacional, ter atenção à cibersegurança é um grande desafio”

Fale-nos um pouco daquilo que é a Aspöck Portugal para quem possa não conhecer.

A Aspöck é uma empresa industrial de base que atua como tier 2 no setor automóvel. Fabrica essencialmente sistemas de iluminação para automóveis, principalmente farolins traseiros, terceiras luzez de stop e sinalização de nevoeiro. Assim como é líder de mercado a nível europeu e internacional na iluminação para reboques e caravanas. Costumo fazer um bocado este paralelo, diria que dois em cada três caminões que veem nas estradas europeias têm o reboque ou trailer equipado com produtos Aspöck de forma integral. A Aspöck é uma empresa muito focada na inovação, no desenvolvimento de produto e também na competitividade e no serviço ao cliente.

A Indústria 4.0 trouxe ganhos em eficiência e conectividade, mas também expôs novos vetores de ataque. Como se equilibra a inovação com a necessidade de cibersegurança nos processos industriais?

Para uma empresa muito focada naquilo que é competitividade e eficiência operacional, ter atenção à componente da cibersegurança e fazer aqui este triunvirato é um grande desafio. Desde logo porque toda e qualquer solução de produtividade com base em digitalização tem de ter logo desde o início uma clara definição da abrangência da mesma, dos stakeholders que vai servir, das áreas às quais vai estar adstrita e também de todas as políticas e medidas que têm de ser tidas em consideração por forma a evitar alguma disrupção naquilo que é o fluxo normal de dados que são usados para sustentar todo este ecossistema de eficiência operacional e fomento da competitividade.

Com o aumento da conectividade entre as redes IT, o OT e o IIoT, como avalia os desafios e prioridades na segregação destas redes? Que estratégias têm sido mais eficazes para garantir segurança?

O security by design. Não quero desgastar o termo, porque num âmbito industrial o security by design é perceber quem vamos servir com cada solução, que tecnologia é que está por trás, quem é o parceiro no caso de existirem parceiros, que requisitos é que temos de ter em consideração, quais os protocolos de comunicação que vão ser usados na transmissão da informação entre sistemas, entre OT e IT, e como vamos, de alguma forma, impermeabilizar cada segmento.

Neste caso, a vantagem da Aspöck em específico é que temos todas estas soluções centralizadas no departamento de IT, sendo que o departamento de IT funciona como um departamento de business partner. Nunca vamos ter a problemática em que a pessoa da manutenção adquire um sensor ou um novo sistema e a equipa de IT tem de integrá-lo e começa a perceber os desafios, a perceber efetivamente que a manutenção não teve a mesma preocupação de security by design que uma equipa de IT tem. No nosso caso, temos IT, OT e cibersegurança tudo integrado no mesmo escritório; para nós é completamente fácil gerir estes processos de transformação digital de forma segura.

Como é feita a articulação entre a área de IT e as equipas de cibersegurança? Os objetivos do IT e da cibersegurança estão alinhados?

No nosso caso, por decisão estratégica, foi definido que as áreas estariam integradas. Numa fase inicial, a cibersegurança estava centralizada a nível de grupo. Recentemente, foi tomada a decisão de descentralizar e criar quase uma liderança bicéfala da cibersegurança em termos de grupo, com Portugal a adquirir uma série de competências fulcrais e estratégicas nessa componente., que permite tornar mais impermeáveis os nossos sistemas.

Em paralelo – e é curioso porque não acontece em todas as empresas industriais – temos também o braço financeiro a atuar no mesmo campo de IT e cibersegurança, o que nos dá muita agilidade para definir rapidamente os use cases, rapidamente definir o CapEx, o ROI e preparar a informação para influenciar a tomada de decisão a nível superior. Ou seja, a decisão da empresa de encurtar todas estas camadas, e, no meu caso em concreto, concentrar todas essas funções, foi também com o objetivo de tornar mais ágeis todos estes projetos de digitalização e em paralelo ter sempre o foco e a preocupação em cibersegurança patente, assim como também os business cases e os use cases e também o return of investment.

Como é que se definem as prioridades entre a inovação tecnológica, a eficiência operacional e a cibersegurança?

Esta é uma questão muito interessante para empresas industriais que também têm um desenvolvimento e engenharia muito forte, como é o nosso caso. Temos um centro de desenvolvimento e engenharia cá em Portugal centralizado, também desenvolvemos projetos de raiz, inovamos, desenvolvemos conceitos e soluções. Refere aqui um triunvirato de opções e de enquadramento estratégico da organização que no nosso caso é muito patente.

Como falei, inovação, porque faz parte do nosso ADN; eficiência operacional, porque estamos num setor altamente competitivo, cada vez mais interconectado, cada vez mais aberto globalmente, em que nós em Portugal competimos com o Norte de África, o Leste Europeu e a Ásia, por aquilo que são as soluções e também aquilo que é o pricing; a eficiência operacional também faz parte e está arraigada no nosso ADN, mas isso acaba por ser o nosso músculo, a nossa estrutura. Contudo, se não tivermos esta espinha dorsal, o backbone que é a cibersegurança bem patente naquilo que são as nossas decisões estratégicas e ADN, nunca vamos conseguir levar a cabo estes que são os nossos principais desígnios enquanto grupo, enquanto organização em Portugal, que é a eficiência operacional e a inovação.

O Sérgio já falou do security by design. Quais são as estratégias para assegurar que os projetos de transformação digital e inovação são concebidos com segurança desde o início?

No desenvolvimento de um novo projeto de inovação que visa desenvolver um novo produto ou num novo projeto que vise fomentar a eficiência operacional, como é o caso das iniciativas de digitalização, temos sempre em atenção aquilo que é a sustentabilidade da solução e a solidez da mesma. Isso assenta na sua impermeabilidade, ou seja, tentamos desde logo tornar a solução blindada o suficiente para ser perene.

No nosso caso, produzimos sistemas de iluminação que têm chips e placas integradas controladoras por trás. Portanto, temos firmware, temos software para controlar, que pode no caso de haver essas skills, de alguma forma, pirateado.

Um dos nossos desígnios e até como um principal requisito dos fabricantes de setor automóvel é nós garantirmos esse desígnio de security by design até no desenvolvimento de software para controlo destes PCBA, que são as placas com circuitos integrados que visam controlar o sistema de iluminação do carro e que são ligadas às centralinas. Atualmente, os veículos estão ligados à rede; facilmente também temos uma grande responsabilidade em tudo aquilo que é o compromisso de segurança de qualquer fabricante automóvel.

Que conselho deixa para outros líderes?

O meu conselho – e é válido na medida em que possa ser seguido – é não foca na parte negativa do investimento em cibersegurança. Ou seja, não pensar quanto é que vai custar uma solução de cibersegurança, mas pensar antes quanto é que vão deixar de ganhar se não implementarem uma solução sólida e consistente. Seguindo aqui um bocado a máxima de John F. Kennedy, não perguntem o que é que as soluções de cibersegurança podem fazer por vocês, mas perguntem antes o que é que vocês podem fazer para viabilizar uma boa solução a cibersegurança que garanta a continuidade de negócio das organizações.

Comentava aqui durante a IT Security Summit que a cibersegurança não é uma guerra. As guerras têm um início, têm um fim, podem ser submetidas a acordos políticos ou acabam por ter um vencedor e um perdedor, ou seja, é quase um zero-sum game. Mas a cibersegurança é antes uma cruzada, é uma never ending story.

Falo por mim, tenho uma formação muito transversal e acabo por agregar aqui várias áreas, e procura incutir todos os dias nas equipas e também nas nossas pessoas, é que não é uma questão de se vamos ser vítimas de um evento se houver segurança. É uma questão de quando, e é nisso que nós nos focamos, é quando acontecer, como é que estamos preparados, como é que podemos reagir e como é que podemos rapidamente restabelecer as operações e garantir a continuidade do negócio e também salvaguardar aquilo que é o nome da nossa organização, Aspöck Systems, como grupo, Aspöck Portugal, como uma empresa cá em Portugal, neste nosso grande país, nesta zona norte que está cada vez mais culta em cibersegurança.