A cibersegurança parece estar a transformar-se numa grande dor de cabeça para governos, empresas e cidadãos, porque não querem olhar para o óbvio. É que as ameaças não estão apenas lá fora. Elas estão, muitas vezes, dentro das organizações, incluindo nas que nos deviam proteger. Trata-se, sem dúvida, de um paradoxo inquietante, verificar que até as entidades encarregadas de garantir a nossa segurança digital podem, afinal, estar vulneráveis.
Basta, aliás, ver o que aconteceu recentemente com algumas renomadas empresas do sector.
O tema é sério e levanta, naturalmente, questões sérias sobre a confiança que é depositada em toda a cadeia de valor da cibersegurança.
E a notícia mais recente que dá conta de mais uma brecha nas muralhas de defesa, não tem a ver apenas com a eventualidade de poderem ter sido comprometidos dados confidenciais. Trata-se, isso sim, de um aviso sério à navegação.
Sabendo de antemão que nenhuma solução é infalível, aquilo que se mostra mais óbvio fazer é pormos a deteção de vulnerabilidades no cerne de qualquer estratégia de cibersegurança. Em vez de confiarmos cegamente em soluções prontas, é necessário adotar abordagens proativas que permitam identificar e corrigir falhas antes que sejam exploradas. A segurança não pode ser tratada como um produto finalizado, mas como um processo contínuo de melhoria e adaptação, através, precisamente, da procura insana e permanente de vulnerabilidades, seja em que sistema for.
Ou seja, estas ferramentas de deteção contínua de vulnerabilidades devem ser integradas em todas as práticas de segurança e estar a montante destas. Aliás, grande parte dos regulamentos europeus mais recentes já reconhecem a necessidade e importância desta camada de segurança. Contudo, ainda não com a determinação que a realidade exige.
Isto, porque estas soluções permitem a todas as empresas e organizações, públicas ou privadas, testar os seus próprios sistemas de forma sistemática, identificando pontos fracos e mitigando riscos antes que ocorram incidentes. Esta abordagem preventiva é crucial num cenário onde as ameaças evoluem diariamente e onde os atacantes estão sempre à procura da próxima falha para explorar. E ainda mais exigente, com a entrada em cena dos mais recentes modelos de “Generative AI”, que vem colocar desafios crescentes às equipas de segurança.
É essencial, por isso, que as medidas de deteção de vulnerabilidades estejam no centro da cadeia de valor da segurança desde as infraestruturas críticas às PME, incluindo, claro, às fornecedoras de soluções de cibersegurança.
Ignorar o óbvio — que os problemas de cibersegurança começam nas vulnerabilidades — é um erro em que não podemos continuar a cair. E só quando formos capazes de identificar antecipadamente as vulnerabilidades, sem falsos positivos, e trabalharmos ativamente para as superar, é que vamos ser capazes de construir um ecossistema digital mais seguro para todos.
É hora de olhar para dentro e assumir que a segurança começa nas vulnerabilidades dos sistemas. Só assim poderemos enfrentar os desafios da cibersegurança com a seriedade e eficácia que eles exigem. O futuro da segurança digital depende das ações que tomamos hoje, e é nossa responsabilidade coletiva garantir que estamos preparados para o que está por vir.
Jorge Monteiro é CEO da Ethiack