“Todas as empresas podem ser mais resilientes investindo nos controlos de segurança adequados, garantindo que a sua tecnologia seja regularmente atualizada”

Conversámos com Ade Clewlow, Senior Consultant na NCC Group, um líder com vasta experiência em defesa, segurança e geopolítica no setor privado, no exército britânico, e em comunicação estratégicas.
Início

Ade Clewlow é autor e especialista de temas ligados ao Kosovo, regularmente solicitado a dar a sua opinião sobre os Balcãs. Tem vivido e trabalhado na Ásia, África Oriental e Médio Oriente, tendo um profundo conhecimento das pessoas e das suas motivações.

A conversa com Ade Clewlow, tocou num dos mais importantes pontos de governança em cibersegurança e o papel vital que esta desempenha em qualquer organização, enfatizando o facto de mesmo com as necessidades de segurança atuais ainda existirem muitas empresas que não estão a dar a devida importância ao papel do responsável de cibersegurança (CISO). Em setores regulamentados, como Serviços Financeiros, o CISO pode integrar a equipe de liderança com acesso ao conselho de administração. No entanto, na economia em geral, o CISO muitas vezes reporta ao CIO, CTO ou CSO, enfrentando desafios de responsabilidade sem autoridade suficiente. Isto cria dificuldades reais, especialmente considerando o impacto financeiro e na reputação que tem um ataque informático.

A cibersegurança é vital para qualquer organização. As empresas estão a dar a devida importância ao papel do responsável de cibersegurança?

Em geral, não. Em alguns setores regulamentados, como Serviços Financeiros e Bancários, o Chief Information Security Officer (CISO) integra a equipa de liderança sénior com acesso regular e sem restrições ao conselho de administração. No entanto, na economia em geral, isso não acontece, e o CISO é frequentemente apenas uma parte da estrutura de informação, tecnologia ou segurança da organização, reportando ao CIO, CTO ou CSO. Isto pode trazer dificuldades reais ao CISO. Basicamente, a responsabilidade pela cibersegurança e pela criação de uma organização resiliente recai sobre uma pessoa que tem toda a responsabilidade, mas pouca ou nenhuma autoridade. O impacto de um ataque cibernético catastrófico pode ser muito dispendioso, prejudicial para a reputação da empresa e, em alguns casos, resultar em multas regulatórias adicionais, bem como ações judiciais. Na maioria dos casos, os conselhos de administração consideram um ataque cibernético como o principal risco empresarial. No entanto, a pessoa encarregada de fornecer a resiliência cibernética raramente tem uma voz direta ao nível mais alto da organização devido a esta estrutura de reporte.

Que movimentos têm as empresas tomado no sentido de reforçar a sua cibersegurança? Que evidências temos desses movimentos?

Depende muito do setor. Setores regulamentados na economia são obrigados a garantir um nível mínimo de resiliência como parte da sua licença de operação. A introdução do RGPD, NIS e o próximo NIS2 também têm impacto nos investimentos em cibersegurança. No entanto, em setores com pouca ou nenhuma regulamentação, o grau de investimento varia consideravelmente. Isto resulta muitas vezes do facto de os conselhos de administração e as equipas de liderança sénior não compreenderem completamente o que constitui um ataque cibernético como risco empresarial. Portanto, em muitos casos, as organizações aprendem da maneira mais difícil, fortalecendo a sua cibersegurança após sofrerem um ataque. O investimento global em cibersegurança continua a crescer e os clientes que compreendem a importância de investir em medidas de cibersegurança para aumentar a sua resiliência continuam a alocar níveis adequados de orçamento para apoiar as suas jornadas de cibersegurança.

O risco para as empresas é hoje maior do que antes da guerra na Ucrânia? Porquê?

O número e o tipo de ataques de cibersegurança continuam a aumentar, com táticas em constante mudança. Os ataques de ransomware e o roubo de dados mantêm-se como as principais causas de perdas financeiras, mas os incidentes de negação de serviço também estão a aumentar, especialmente nos países que têm apoiado abertamente a Ucrânia desde a invasão da Rússia em fevereiro de 2022. Embora a frequência dos ataques à Ucrânia por parte da Rússia e grupos criminosos organizados afiliados seja exorbitante, o impacto da guerra nos países da UE e no Reino Unido não tem sido tão dramático. No entanto, se a NATO ou nações individuais se envolverem numa guerra direta com a Rússia, todas as democracias ocidentais podem esperar um aumento acentuado nos ataques, projetados para afetar todos os aspetos da economia, incluindo a infraestrutura nacional crítica.

Quais os alvos preferidos dos cibercriminosos no último ano, quer em termos de segmentos de mercado, quer em termos de países de origem das empresas? Há alguma justificação para essa escolha?

O padrão que estamos a observar é que os principais mercados sob crescente ataque continuam a ser a indústria (incluindo infraestruturas nacionais críticas), consumo e tecnologia. Os ataques aumentaram cerca de 150% até julho de 2023, com quase um terço de todos os ataques registados na UE. Estes continuam a ser populares entre grupos cibernéticos afiliados à Rússia, que estão a realizar ataques pacientes e de longo prazo contra os seus alvos. Estes ataques envolvem ransomware e roubo de dados, sendo que este último é preferido por alguns grupos como um meio mais eficaz de induzir um pagamento de resgate por parte da vítima. No Reino Unido, ocorreram alguns ataques de alto perfil no setor do ensino superior nos últimos 3 meses. Noutros lugares da UE, e em particular em Portugal, continuam os ataques cibernéticos de alto perfil. No entanto, a capacidade das organizações de resistir a um ataque cibernético, a sua resiliência face a uma violação básica, varia enormemente. A justificação para estes tipos de ataque é quase exclusivamente um ganho financeiro. As vítimas são escolhidas ao acaso, dependendo da vulnerabilidade técnica e da facilidade de entrada para os intermediários de acesso inicial. Embora o ransomware não seja o único tipo de ataque, deveria ser renomeado para “randomware”, para melhor refletir o jogo de sorte por parte das organizações que não investem nas suas defesas cibernéticas.

De que forma as empresas, sobretudo as de IT, podem precaver o aumento da cibercriminalidade?

Todas as empresas podem ser mais resilientes investindo nos controlos de segurança adequados, garantindo que a sua tecnologia seja regularmente atualizada, que o seu pessoal esteja empenhado com a consciencialização da segurança e que os seus controlos de segurança sejam implementados em profundidade, tornando mais difícil para qualquer potencial atacante ganhar uma posição. No entanto, o primeiro passo para qualquer CISO é entender qual é a ameaça. Sem entender o tipo de ameaça e as táticas usadas pelo atacante, um plano de cibersegurança provavelmente será ineficiente e mal implementado. Com orçamentos muito apertados, o retorno do investimento deve ser o principal impulsionador para um CISO. Garantir que os conselhos de administração entendam o nível de risco para a organização também é vital para assegurar que o CISO possa receber o apoio financeiro e de liderança necessários para maximizar a resiliência cibernética de uma organização. A prevenção e a dissuasão são passos importantes na implementação de um plano de resiliência cibernética, tal como a preparação para a inevitável violação. Garantir que a “equipa de ouro” da organização seja regularmente treinada, que os planos de comunicação de crise e de continuidade do negócio estejam atualizados irá, assim que um incidente for detetado, ajudar significativamente o processo de regresso ao normal no mínimo de tempo possível.