CTO do Risco Humano

O futuro da cibersegurança será definido pelas pessoas e não apenas pela tecnologia. À medida que as ameaças evoluem, o risco humano – as escolhas, os hábitos e a cultura dentro das organizações – moldará a resiliência mais do que nunca.

Nesta sessão de perguntas e respostas, Andy Fielder analisa a forma como os líderes podem antecipar os desafios de amanhã e criar uma mentalidade de segurança duradoura.

Quais são, na tua opinião, as ameaças cibernéticas mais importantes com que as organizações estão a lidar atualmente?

As ameaças mais significativas não mudaram necessariamente, mas evoluíram para se tornarem mais sofisticadas e mais difíceis de defender. O ransomware continua a ser uma grande preocupação atualmente, mas o que chama a atenção é a forma como se profissionalizou. Estes grupos operam agora como empresas SaaS legítimas, com equipas técnicas, gabinetes de apoio e operações estruturadas. Este nível de organização facilitou o envolvimento de mais pessoas, e o incentivo financeiro é enorme. Algumas estimativas sugerem que as receitas do cibercrime, em todos os tipos, rivalizam com o tamanho da economia da Rússia. Com este tipo de retorno, não é de admirar que o crime organizado continue a investir fortemente neste espaço.

O roubo de credenciais é outra grande ameaça. A maioria das organizações dispõe de controlos técnicos razoáveis para se proteger contra ataques comuns, pelo que os atacantes visam cada vez mais as credenciais dos utilizadores. Ao comprometerem plataformas não empresariais onde as pessoas reutilizam palavras-passe, podem recolher dados de início de sessão e utilizar bots para validar as que funcionam. Estas credenciais são frequentemente armazenadas e utilizadas mais tarde em ataques direcionados. Trata-se de uma abordagem metódica que contorna as defesas tradicionais e é altamente eficaz.

A terceira área de preocupação é o compromisso com os fornecedores. As empresas já não podem pensar em si próprias como entidades isoladas. Os atacantes compreendem que os fornecedores têm frequentemente posturas de segurança mais fracas e exploram essa lacuna de confiança. Vimos casos de grande visibilidade no sector retalhista e automóvel em que as violações ocorreram através de um fornecedor e não da empresa. Uma vez dentro da empresa, os atacantes passam para o alvo principal. É um claro lembrete de que a cibersegurança deve ir além da organização e abranger todo o seu ecossistema.

Como é que estas ameaças evoluíram nos últimos anos e o que é que está a impulsionar essa mudança?

A maior mudança foi a profissionalização do cibercrime. Costumava ser algo que as pessoas faziam por diversão – um adolescente no seu quarto a tentar provar que conseguia entrar. Isso ainda acontece, mas o que realmente mudou foi o surgimento de operações estruturadas e organizadas. Estes grupos funcionam agora como verdadeiras empresas, com equipas, infra-estruturas e objectivos. Este nível de organização tornou os ataques mais escaláveis, mais direcionados e muito mais perigosos.

A atividade dos Estados também aumentou significativamente. A guerra cibernética tornou-se um instrumento reconhecido de perturbação económica e geopolítica – uma forma de as nações influenciarem ou causarem danos sem conflito físico. Atualmente, a ameaça que representa é muito diferente. É estratégica, bem financiada e muitas vezes destinada a minar as infra-estruturas nacionais ou as grandes empresas.

Ao mesmo tempo, melhores controlos técnicos forçaram os atacantes a mudar as suas tácticas. É mais difícil ultrapassar as firewalls e as protecções dos terminais, pelo que o foco passou a ser o comportamento humano. A engenharia social tornou-se uma das formas mais fáceis e eficazes de entrar. Se um atacante conseguir enganar alguém para que entregue as suas credenciais ou reunir informações pessoais suficientes para se fazer passar por ele, pode contornar as protecções técnicas. Depois de entrar, parece um utilizador legítimo e a deteção só ocorre quando começa a haver atividade suspeita. Esta mudança dos sistemas para as pessoas é uma das evoluções mais significativas a que assistimos.

Tendo em conta estas alterações, como é que as organizações tiveram de repensar a sua abordagem à ciberdefesa?

Atualmente, é dada uma verdadeira ênfase à cadeia de fornecimento. As empresas estão a reconhecer que só são tão seguras como os fornecedores e parceiros em que confiam. Isso significa compreender quem são esses fornecedores, como gerem a sua própria segurança e responsabilizá-los. Atualmente, o comprometimento dos fornecedores é um dos pontos de entrada mais prováveis para um ataque, e essa mudança obrigou as empresas a alargarem a sua lente defensiva para além das suas próprias paredes.

Ao mesmo tempo, tem havido uma mudança de mentalidade em relação aos controlos técnicos. Antigamente, se tivesses firewalls sólidas, um bom Centro de Operações de Segurança (SOC) e as ferramentas certas, sentias-te razoavelmente confiante. Mas os atacantes adaptaram-se. Eles vão atrás de credenciais, o que significa que podem contornar todas essas camadas de proteção. Atualmente, a maioria das violações resulta de erro humano – alguém que clica no link errado, partilha o detalhe errado ou reutiliza uma palavra-passe.

Ao contrário dos controlos técnicos, que se comportam de forma consistente, as pessoas são imprevisíveis. Todos nós temos diferentes apetites e hábitos de risco, e essa variabilidade é difícil de gerir. Isto levou a um reconhecimento mais alargado de que a cibersegurança já não é apenas uma questão técnica – é uma questão humana. A segurança já não é uma responsabilidade exclusiva das TI; é uma tarefa de todos. Esta mudança de “a tecnologia em primeiro lugar” para “as pessoas em primeiro lugar” é uma das mudanças mais importantes a que assistimos.

Olhando para os próximos 3 a 5 anos, quais as ameaças emergentes que, na tua opinião, constituirão o maior desafio?

A IA já está a mudar o jogo em ambos os lados. Defensivamente, podemos utilizar a IA para identificar padrões, detetar comportamentos anómalos e eliminar o ruído para destacar ameaças reais. Mas os criminosos estão a utilizar a mesma tecnologia para tornar os seus ataques mais convincentes e eficazes.

Pensa no phishing. Costumava ser fácil de detetar devido à má ortografia e gramática. Agora, a IA pode criar mensagens que parecem completamente legítimas, tornando-as muito mais difíceis de identificar. Isto só vai tornar-se mais sofisticado. É cada vez mais importante que as pessoas compreendam como estas ameaças aparecem para não serem apanhadas.

Olhando para o futuro (5 a 15 anos), a computação quântica será um divisor de águas. Quebrará os métodos de encriptação que atualmente protegem os bancos, as criptomoedas e muito mais. É uma perspetiva assustadora porque muito daquilo em que confiamos para a confiança digital pode ficar comprometido. Embora ainda esteja longe, é uma ameaça que acabaremos por ter de enfrentar.

Estão a surgir normas PQC (Post-Quantum Cryptography) que ajudarão a proteger num mundo quântico. As empresas precisam de começar a compreender a sua pegada criptográfica e a planear a sua transição para a PQC para estarem preparadas.

Que medidas práticas podem as organizações tomar para se prepararem para o futuro contra a evolução dos riscos?

A chave é a resiliência – assumir que um incidente irá acontecer e preparar-se em conformidade. Isso significa ter ferramentas de deteção robustas, como plataformas SIEM que agregam registos em todos os sistemas e utilizam IA e análise humana para detetar ameaças precocemente.

Trata-se também de testar os planos de recuperação de desastres e de resposta a incidentes para que todos saibam o seu papel. Como vais isolar os sistemas afectados? Quem comunica com as partes interessadas? Tens especialistas forenses à disposição?

Uma organização bem preparada pode detetar, conter e recuperar rapidamente – e comunicar de forma transparente. Isto gera confiança, porque os clientes compreendem que ninguém está imune a ciberataques.

Outro princípio fundamental é “deslocar para a esquerda”, o que significa incorporar a segurança desde o início da conceção do produto ou do desenvolvimento do sistema, em vez de a colocar mais tarde. Construir com segurança desde a conceção é muito mais eficaz.

Existe alguma regulamentação recente ou futura que possa reformular a forma como as organizações gerem o risco de cibersegurança?

Sim, sobretudo da UE. A Lei da Resiliência Operacional Digital (DORA) está a ter um impacto significativo. Coloca uma forte ênfase na gestão do risco dos fornecedores – responsabilizando terceiros e garantindo que as organizações compreendem toda a postura de segurança da sua cadeia de abastecimento.

A Lei da Ciber-resiliência da UE (CRA) centra-se no software e nos dispositivos IoT, garantindo que os produtos digitais são seguros desde a conceção ao longo do seu ciclo de vida. Prevê sanções importantes em caso de incumprimento – 15 milhões de euros ou 2,5% do volume de negócios global. É provável que seja aplicável a partir de 2027, pelo que os fornecedores de SaaS devem começar a preparar-se desde já.

De que forma é que a inteligência artificial está a transformar o panorama da gestão de riscos?

A IA está a transformar a gestão do risco, tanto a nível defensivo como ofensivo.

No lado defensivo, analisa a vasta quantidade de dados que os nossos sistemas geram – detectando anomalias, destacando riscos e automatizando a triagem para que os analistas humanos se possam concentrar na contenção.

No lado ofensivo, os criminosos utilizam a IA para testar sistemas, gerar deepfakes e realizar campanhas sofisticadas de phishing, smishing e engenharia social. É por isso que a educação é essencial. As pessoas têm de aprender como estas ameaças podem ser realistas, experimentar simulações e verificar as fontes em vez de confiar no que vêem online. A consciencialização e a validação são cruciais.

Poderá a automatização substituir totalmente o julgamento humano na resposta a incidentes cibernéticos?

Não. A automatização acelera a deteção e faz emergir a informação correta, mas o julgamento humano é essencial.

Cada organização tem diferentes apetites e contextos de risco. O que é crítico para um banco pode não o ser para um retalhista. A automatização apoia a tomada de decisões, mas não pode replicar a compreensão diferenciada que os humanos têm.

A melhor abordagem combina a automatização e o conhecimento humano – um não pode substituir o outro.

Como é que as organizações podem capacitar melhor a sua força de trabalho para ser a primeira linha de defesa?

Começa com a cultura. A segurança deve ser uma responsabilidade de todos, e não apenas de uma equipa específica. Quando os funcionários se sentem empenhados em proteger a organização e a si próprios, toda a postura melhora.

A educação e as ferramentas corretas são vitais, mas a cultura é o motor do comportamento. Afastar-se das abordagens punitivas e, em vez disso, recompensar os bons hábitos de segurança é muito mais eficaz. Não queres uma cultura de medo – queres responsabilidade e consciência partilhadas.

Em última análise, capacitar as pessoas para protegerem a organização também as capacita para se protegerem na sua vida pessoal.

Os riscos cibernéticos não param. E tu também não devias. Explora mais no blogue MetaCompliance.