“Muita da nossa economia não terá o conhecimento e a capacidade económica de fazer o bom investimento que deveria fazer”

Durante a primeira edição do IT Insight Talks, Sérgio Trindade, do Grupo Águas de Portugal, abordou, em entrevista, a importância de proteger as infraestruturas de um bem necessário para todos: a água

“Muita da nossa economia não terá o conhecimento e a capacidade económica de fazer o bom investimento que deveria fazer”

Tendo em conta que a água é um bem essencial para todos, quais é que são as especificidades de proteger este tipo de infraestrutura ou este tipo de ambientes?

A evolução não para. Da mesma forma que a Nvidia era conhecida por um autocolante no canto do PC e pouco mais, também a água é conhecida por sair da torneira; supostamente basta captá-la, tratá-la e fazê-la sair. A verdade é que tudo isso mudou porque existe escassez de água, existe uma série de tecnologia por trás para tratar a água.

Agora falamos e trabalhamos cada vez mais uma coisa que é a ‘água mais’, que é água reciclada, que se consiga que a água possa ser utilizada vez após vez, por exemplo, para regras ou para agricultura, de forma mais eficiente. Tudo isso exige tecnologia diferente e expandiu e multiplicou muito aquilo que havia implementado. Em vez de falarmos de condutas que tiram água de uma barragem e a transportam até ao sítio – com os tratamentos que há no meio –, obviamente que há muito mais tecnologia implícita para fazer este papel.

Isto significa ter de proteger mais ainda mais pontos. É algo muito disperso por todo o país; até chegar à casa de cada um, a água passa por muitos pontos diferentes onde a segurança é vital, tanto a segurança física como a segurança do ponto de vista de sistemas para assegurar que ninguém deturpe, por exemplo, um tratamento ou que corte ou aumente a pressão e que isso cause acidentes ou tantas outras coisas que poderiam acontecer.

O que é que é específico aqui: muita consciência e muita mudança naquilo que é implementado. É necessário que todo o material que utilizamos esteja cada vez mais certificado e, felizmente, é algo que tem vindo a acontecer, mas também é necessário que dentro das empresas que, por vezes, tinham modus operandi mais estáveis no mercado tenham noção dos perigos que estão associados e o que é que têm de mudar nas suas condutas, desde o desenho até à implementação e utilização.

Como é que a adoção de tecnologias emergentes, seja IoT ou inteligência artificial, está a influenciar as estratégias de cibersegurança?

Influenciam de forma direta, primeiro, porque a inteligência artificial não é algo que aí vem, é algo que já cá está; já se falava dela há muito tempo, mas agora parece que entrou na voga e realmente tem força e não há formas a contornar. Não existe nenhuma alternativa para conseguir vigiar a cibersegurança de uma empresa hoje a não ser automatizar essa forma de vigia. O que existem depois são boas práticas e tudo mais.

Por outro lado, o IoT praticamente banalizou-se. Ou seja, deixámos de ter os típicos quadros de controlo industriais que utilizávamos até agora para passar a ter efetivamente dispositivos – quer de sensorização, quer de controlo, quer de atuação – que estão quase banalizados.

É importantíssimo que, ao adquirir estes dispositivos, sejam eles para água ou para outras matérias, tenhamos a certeza que os fabricantes tiveram em conta o que tinham de ter, ou seja, não é a mesma coisa comprar num ‘supermercado rápido de tecnologia’ uma simples câmara de CCTV ou assegurar que essa câmara cumpra com tudo o que tem de cumprir, do ponto de vista de cibersegurança, sob o risco de facilmente alguém conseguir ver as imagens.

Do ponto de vista de inteligência artificial, isto é mais agravado ainda face à velocidade, porque obviamente a inteligência artificial tem, como tudo na vida, duas caras: tem a parte boa – e essa parte boa traz-nos muitas coisas, em termos de vantagens de proteção – e depois tem a utilização menos boa. Como ouvimos antes, não é só para fazer fake news ou o que quer que seja, é para fazer o que quer que um cibercriminoso faz com este tipo de tecnologia. Já não é o típico phishing escrito assim num português do Brasil macarrónico e começamos a receber comunicações muito focadas, que falam de nós, à volta do nosso gosto, provavelmente com matérias da nossa vida, do dia a dia, bem escritos, sem erros, e tudo isto é graças àquilo que é a inteligência artificial.

Como é que vê as alterações de regulamentações que têm sido implementadas nos últimos tempos?

Tem uma parte boa e uma esperança, como gosto de lhe chamar. A esperança é que ela acelere, porque efetivamente demoramos tanto tempo a regulamentar que, quando finalmente as coisas estão regulamentadas, já o dark side percebeu o que é que as pessoas iam trabalhar e aquela regulamentação já não chega, é preciso fazer a versão seguinte. E essa é a esperança de que efetivamente isto acelere mais.

A parte boa é, finalmente, deixarmos de olhar para tudo o que tinha a ver com cibersegurança. Não faz assim tantos anos que provavelmente a lei mais próxima aplicável era a mesma do plágio de um livro. É interessante que começou a sair a legislação e a regulamentação que mudou isso. É com muito agrado que isto acontece.

Qual é a dificuldade que eu vejo aqui: há empresas em Portugal que estão seriamente preocupadas com isso e sabem que o desafio, apenas na NIS2, já é um desafio tremendo e uma mudança tremenda e muito positiva. Mas efetivamente o nosso tecido empresarial é pequeno e com poucos recursos. O que vejo é com alguma preocupação, porque muita da nossa economia, provavelmente, não terá o conhecimento, a capacidade económica de fazer o bom investimento que deveria fazer nesta matéria e isso pode levar a sérias dificuldades.

Se uma empresa de média, pequena dimensão, por vezes, já padece de muitas dificuldades em vários níveis, se levar um sério abanão do ponto de vista da cibersegurança, pode ter ainda mais dificuldades.

Como é que vê o ambiente de cibersegurança a evoluir nos últimos anos? Quais são as principais tendências que têm impactado as abordagens na área?

Vejo de uma forma muito positiva, se calhar porque também gosto de ser positivo na vida, mas vejo realmente uma grande mudança nos últimos anos fruto de investimentos de várias organizações à volta disto. O próprio CNCS teve abordagens diferentes e há muitas empresas a ter abordagens muito mais fortes, talvez também fruto de alguns sustos. No início do ano passado e do anterior, os media não falavam de outra coisa a não ser de empresas grandes a serem seriamente afetadas e isso, para mal destas empresas, ajudou.

A verdade é que o caminho tem sido feito. Alguma legislação, como, por exemplo, a famosa Lei 65, veio ajudar, porque pelo menos obrigou a haver coisas, embora sejam mínimos, muito mínimos. A NIS [2] fará mais desse trabalho e tantas outras.

Em termos de tendência, daqui para a frente, vamos ver cada vez mais esta aposta do ponto de vista da inteligência artificial a trazer-nos dificuldades acrescidas e muito mais estruturadas. Já para não falar se unirmos a isto temas que estão cada vez mais a sair e a ser trabalhados, como a computação quântica que vai mudar completamente o capítulo, porque de repente estas capacidades que vimos em inteligência artificial podem ser multiplicadas ou até torná-las com números consequentes. Este caminho vai ter de ser feito porque já está a gerar – e vai gerar de uma forma muito mais fiel – tudo o que tem a ver com fake news, comunicações erradas, adaptação do ataque.

Quais são as ameaças emergentes que mais o preocupam e com que mais está a lidar atualmente?

Por um lado, diria que é mesmo a personalização dos ataques. Por outro, voltando ao tema económico que dizíamos antes, independentemente da capacidade económica que as empresas têm, há sempre legacy, a não ser que alguém tenha acabado de criar uma empresa.

Há sempre legacy e é muito difícil de alterar. É muito difícil convencer, seja em que negócio for, e dizer que se está a produzir ‘x’ desta forma, mas agora vamos deitar isto fora, porque temos de implementar de novo com tudo o que é maquinaria nova, software novo, etc. Diria que essa é a maior dificuldade que sinto dentro do grupo, mas, sinceramente, olhando para fora, acho que a maior parte das empresas a sentem.

Há uma certa tendência, às vezes, de varrer para debaixo do tapete; é a versão mais fácil. Esse legacy é uma delas, e depois associá-lo a tudo o que disse antes, portanto, a toda a parte da inteligência artificial, capacidade cada vez maior de computação e dificuldade de recursos.

Na dificuldade dos recursos é raro não aproveitar oportunidades públicas para falar sobre ela porque tem duas vertentes: uma, não há realmente bons recursos em Portugal e temo que se comece a sentir o que se sentiu ali à volta do ano 2000, que quem sabia instalar o Windows e o Office era informático e agora, mais ou menos, torna-se especialista em cibersegurança quem sabe dizer as quatro palavras que estão à volta. Isso é uma dificuldade muito grande no mercado, que vai exigir formação, capacitação, e que neste momento só se consegue, praticamente, ter muito boa estratégia de captação e pagando a preço de ouro. O conhecimento tem o seu valor.

Por outro lado, o pagando a preço de ouro deixa de fora uma boa fatia daquilo que deveríamos proteger com muito afinco, que é a parte pública, por exemplo. É quase do domínio público que, para contratar alguém novo para numa empresa pública, há ali um limiar de mil e qualquer coisa euros. Com este valor não consigo arranjar, às vezes, alguém para o help desk. Isto leva a que, efetivamente, vai ter de existir um trabalho de sociedade de uma forma geral, para que quer as empresas privadas, quer as empresas públicas, consigam ter maiores níveis de proteção com a capacidade económica que existe.

Quais são os conselhos que deixa para outros líderes que estão neste caminho?

Mais do que conselhos, deixo o que tem regido de alguma forma o meu caminho. Há uma peça para mim que não é grátis, mas é quase grátis e que não prescindo: formação e consciencialização. Não me adianta fazer grandes investimentos em nenhum sítio se a seguir entregar essa tecnologia e do lado de lá o único foco for 100% de negócio. Ao nível de todos os utilizadores – independentemente do seu nível, começando da gestão de topo até qualquer outro nível –, as pessoas têm de ter consciência do que é que está a acontecer.

Essa consciencialização é a melhor arma que podemos ter. Associada a ela, obviamente, é preciso olhar para aquilo que é tecnologia que existe e que podíamos investir milhões e milhões e tentar perceber aquela que verdadeiramente me vai ajudar em cada momento.

O que existe mais no mercado também é a tecnologia que instalo, é fantástica, mas que não sou capaz de a gerir a seguir; gera-me tanta informação que não interpreto ou pede-me tantas ações que não vou ter mãos para as fazer. Esse seria o segundo caminho.

O terceiro e por último é ser positivo e não desanimar porque isto é um mundo que não vai acabar, só vai piorar, e vai piorar no sentido em que cada vez vai ser mais difícil, cada vez vou ter de estar mais treinado, mais especializado, vou ter de ter o espírito mais aberto para conseguir efetivamente fazer frente àquilo que não é um tipo gordo a comer hambúrgueres na cave da mãe; isso não existe. É uma indústria de milhões de dólares, são autênticas empresas estruturadas cujo único objetivo que têm é conseguir obter dinheiro, e conseguem muito, a partir dos ataques.

Tags

REVISTA DIGITAL

IT INSIGHT Nº 48 Março 2024

IT INSIGHT Nº 48 Março 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.