Vivemos hoje numa corrida entre os cibercriminosos e os profissionais de cibersegurança, que obriga os organismos de regulação internacional a definirem diretivas mais rigorosas para reforçar a cibersegurança. O início do ano leva-nos a refletir sobre as principais tendências e desafios a que assistimos no panorama da cibersegurança em 2023 e que, provavelmente, continuaremos a enfrentar em 2024.
Aumento do número de ciberataques e a sua sofisticação com a ajuda de copilots de IA generativa
O Fórum Económico Mundial (FEM) destaca no seu relatório sobre cibersegurança global para 2024 que “a rápida disseminação da IA generativa e de outras tecnologias, que podem ser facilmente utilizadas pelos ciberataques, representam uma séria ameaça para as empresas e para a sociedade”.
Se por um lado as empresas querem tirar partido dos avanços tecnológicos, como a IA generativa, por outro não podem perder de vista os riscos desta evolução e a necessidade de o fazerem de forma segura.
As empresas e os especialistas em cibersegurança têm vindo a utilizar técnicas de Machine Learning e IA para fornecer soluções avançadas contra os ataques informáticos, mas com o aumento e a rápida disseminação da aprendizagem tecnológica e das ferramentas de IA generativa em 2023, é fácil ver que estamos perante um aumento não só no volume de ciberataques, mas também na sua sofisticação, devido ao aparecimento de aplicações do estilo copilot que podem ser utilizados por cibercriminosos com intenções maliciosas.
Um exemplo claro é a utilização que os cibercriminosos podem fazer destas ferramentas para desenvolver ataques de engenharia social mais personalizados e, consequentemente, mais eficazes e difíceis de detetar, tanto para os indivíduos – o seu alvo final – como para os sistemas de segurança tradicionais que os protegem.
Ciberataques e campanhas de desinformação como armas de instabilidade
Neste sentido, mantém-se a tendência de aumento de ciberataques relacionados com conflitos internacionais e ciberguerra, em que diferentes grupos de agentes de ameaças (APTs, Advanced Persistent Threats), que contam com o apoio de entidades governamentais de diferentes Estados-nação, como a Rússia, a China, a Coreia do Norte, o Irão, etc., que têm como objetivo atacar serviços públicos e empresas privadas de qualquer tipo, principalmente de países europeus e norte-americanos, procurando gerar um impacto na economia e na sociedade ocidental.
Outro desafio que enfrentaremos durante este ano é a desinformação como instrumento de instabilidade política e social. 2024 é um ano de eleições em varios países do mundo, que provavelmente marcará o rumo político, social e económico nos próximos anos. Desta forma, o FEM define uma série de riscos por parte de agentes denominados de APT’s, e que podem influenciar a instabilidade política através da Internet. Neste sentido, os especialistas alertam para o risco de campanhas de desinformação através das redes sociais, por exemplo, através da difusão de áudios, imagens e vídeos falsos gerados com IA (“deepfake”). Estas técnicas de manipulação podem ser utilizadas para enganar até as pessoas mais conscientes, impactando a confiança da sociedade na tecnologia e influenciando as decisões dos cidadãos, chegando mesmo a alterar o resultado de algumas eleições.
O reforço da regulamentação de cibersegurança e a responsabilidade corporativa
Neste contexto, os organismos reguladores têm trabalhado no desenvolvimento de diretivas que obrigam as empresas e as administrações públicas a reforçar a sua cibersegurança. Durante 2023, uma série de directivas de cibersegurança foram publicadas a nível mundial, nomeadamente nos Estados Unidos (com o regulamento definido pela Comissão de Segurança e Proteção, “SEC”) e nos Estados europeus, com a diretiva NIS-2, que será obrigatória a partir de 2024.
Estas directivas destinam-se às PME e às grandes empresas de setores considerados ‘críticos’ para a economia e para a sociedade, como energia, transportes, banca, finanças, saúde, infra-estruturas digitais, gestão de serviços TIC e administração pública, entre outros. O objetivo é sobretudo definir e estabelecer obrigações para estas empresas, tais como a adoção de medidas para gerir os riscos de cibersegurança, bem como para prevenir e minimizar o impacto de eventuais incidentes cibernéticos e notificá-los em tempo útil aos organismos competentes.
Movimento para a resiliência digital global
Estas diretivas pretendem reforçar a resiliência operacional das empresas, já que qualquer uma pode ser vítima de um ciberataque, e espera-se que estejam preparadas para responder a incidentes de cibersegurança, sendo capazes de continuar as suas operações durante a contingência e de recuperar os seus sistemas e informações o mais cedo possível.
Reforço da segurança em ambientes industriais
Durante 2023 também se registou um número crescente de ciberataques contra sistemas industriais (ICS). A convergência entre os mundos IT e OT (Operational Technology) traz a necessidade de integrar soluções de ambos os mundos para otimizar a capacidade produtiva das empresas.
As repercussões dos ataques contra este tipo de infra-estruturas costumam ser significativas devido ao impacto que podem ter não só na empresa, mas também a nível social, o que costuma tornar estes ambientes alvos de ataques com APTs (Advanced Persistent Threat). Por este motivo, a estratégia de cibersegurança das empresas industriais deve incluir ferramentas que proporcionem visibilidade sobre os seus dispositivos OT/IoT e que lhes permitam monitorizar o seu funcionamento para detetar instantaneamente ameaças e desvios operacionais.
Escassez de talento e de especialistas em cibersegurança
Por último, a crescente dependência da tecnologia e da digitalização nos processos de negócio, bem como a constante ameaça de ataques informáticos, conduziram a um aumento constante da procura de profissionais de cibersegurança a nível mundial.
Tiago Lopes Duarte, Partner e Diretor da Stratesys em Portugal, considera que “não só as grandes empresas necessitam de equipas cada vez mais numerosas de especialistas para se protegerem e cumprirem os requisitos regulamentares, como também as administrações públicas e as PME necessitam de incorporar estes especialistas. Concorrem com estas necessidades as empresas que prestam serviços profissionais (empresas de consultoria e auditoria), que podem ser veiculos para procurar sinergias na prestação de serviços a empresas com menos recursos ou capacidade de retenção deste talento”.
“Neste contexto de escassez de recursos humanos especializados em cibersegurança, a formação de especialistas dentro das organizações torna-se um ponto fundamental para colmatar esta lacuna. Por outro lado, contar com estes especialistas não será nunca proteção suficiente, sendo necessário promover a sensibilização para a segurança a todos os níveis da organização como ponto essencial para prevenir ciberataques”, sublinha Tiago Lopes Duarte.