“Cada dólar que uma empresa gasta para cumprir leis de cibersegurança é um dólar que não investe”

É importante que a regulação de cibersegurança europeia envolva o maior número de empresas, das PME aos grandes grupos, porque as cadeias de abastecimento são cada vez mais complexas, mas atenção aos custos de todo este compliance. É a principal mensagem que o CEO da Sophos, uma das maiores empresas de cibersegurança do mundo, quer deixar aos legisladores.

Em entrevista ao ECO/eRadar, Joe Levy alerta para o peso económico que o novo pacote de cibersegurança da União Europeia pode significar para as organizações, embora reconheça que as revisões na diretiva NIS2 tenham traduzido maior “inclusão” e, consequentemente, evitado mais “falhas em cascata” causadas por ciberataques.

Num contexto em que o ciberespaço continua a ser utilizado com arma de guerra, o CEO da Sophos afirma que é necessário que os países que estão a aumentar a despesa em Defesa ponderem que “parcela do orçamento é suficiente para os investimentos em cibersegurança”.

Bruxelas apresentou na semana passada um novo pacote legislativo para a cibersegurança, que mereceu críticas dos operadores de telecomunicações. Que avaliação faz às propostas da Comissão Europeia?

Naturalmente, há aqui uma tensão entre o bem que a regulação da cibersegurança tenta fazer e o fardo que impõe às organizações, sejam elas do setor público ou privado. Penso que precisamos de começar a analisar de forma holística os custos e os benefícios da regulamentação. É a mensagem mais importante que gostaria de transmitir aos legisladores mundiais. Embora todas as leis sejam bem-intencionadas e, recentemente, bastante bem elaboradas, é necessário ter em consideração o que a interseção de todas estas regulações significa para as entidades que estamos a tentar proteger. Primeiro, através de uma melhor harmonização das leis. Ou seja, para as entidades sujeitas a múltiplas estruturas regulatórias ou regimes de compliance, como é que podemos encontrar um denominador comum, para que não arquem com custos isolados de todas as leis, sobrepostas umas às outras?

Precisamos de começar a analisar de forma holística os custos e os benefícios da regulamentação. (…) Porque o desafio aqui é: por cada dólar que uma empresa gasta para cumprir as leis de cibersegurança, é provavelmente um dólar que não poderá investir noutros tipos de cibersegurança.

E como poderíamos tentar uma espécie de partilha dos benefícios da framework [estrutura] entre os múltiplos esforços? A segunda coisa que gostaria de encorajar é que procuremos formas de reduzir os custos para as organizações reguladas, porque o desafio aqui é: por cada dólar que uma empresa gasta para cumprir as leis de cibersegurança, é provavelmente um dólar que não poderá investir noutros tipos de cibersegurança, o que, paradoxalmente, pode ter um efeito prejudicial. Penso que, pelo nosso zelo em querer resolver o problema, estamos potencialmente a piorar a situação.

Pede maior harmonização legislativa e uma visão holística. Considera que estas medidas da Comissão Europeia são holísticas?

Em termos gerais, diria que sim. A recente regulação de cibersegurança tem sido muito mais bem fundamentada do que a anterior. As leis tornaram-se muito mais bem fundamentadas do que as do passado. São muito mais específicas e começam a fazer recomendações particularmente direcionadas em vez de generalizações. Tendem mais para a responsabilização da gestão dentro das organizações. Agora, a maior preocupação é com os aspetos económicos de suportar os custos de compliance perante os múltiplos quadros regulamentares. Não se trata de uma deficiência na compreensão da tecnologia ou do cenário de ameaças, mas sim de o pêndulo ter oscilado demasiado para o outro lado. Podemos resolver o problema através da regulação ou precisamos de algum alívio para as organizações? Para que tenham mais liberdade para trabalhar e fazer outros investimentos em cibersegurança, melhores tecnologias, serviços, trabalhadores e liderança?

Uma das diretivas que deverá sofrer revisões é a NIS2, que tem alargado o âmbito da dimensão das empresas sujeitas a cumprir as obrigações, nomeadamente as de média dimensão. Concorda com esta expansão?

Temos assistido a uma evolução da NIS com a expansão do número de setores sujeitos, dimensão das organizações sujeitas… O interessante é que, ao alargar o âmbito para ser mais inclusiva, ocorre uma espécie de diluição ou amortização do custo entre mais organizações. Embora a intuição possa ser “vamos colocar no topo da pirâmide as maiores empresas financeiras, industriais e de retalho alimentar, porque são as mais críticas para protegermos”, isto ignora o facto de que vivemos hoje numa cadeia de abastecimento muito complexa e que nenhuma empresa opera isoladamente das outras. Existem dependências a montante e a jusante.

Imaginemos que é uma multinacional de mil milhões de dólares e tem um fornecedor que é uma pequena empresa que processa a sua folha de pagamentos ou lhe faz algum tipo de serviço dentro da sua infraestrutura tecnológica. Se eles forem vítimas de cibercrime, vai afetar não só as suas operações, como a sua capacidade de fornecer bens e serviços aos seus clientes. Pode ter um efeito cascata em toda a economia. E temos visto alguns exemplos de grande escala recentemente na Europa.

Devido ao cenário geopolítico global, existe uma preocupação sobre se posso confiar que o governo do país onde a empresa opera e onde estão alojados os dados irá realmente zelar pelos meus interesses. Não vou referir casos específicos, mas existem vários exemplos disso, onde este tipo de tensão e incerteza existem.

Como por exemplo?

Acho que o melhor e mais recente exemplo talvez seja o da Jaguar Land Rover, onde vimos o que pode acontecer a toda uma economia e cadeia de abastecimento. Ora, ao tornar a regulação mais inclusiva, aumentamos as nossas chances de evitar que este tipo de falhas em cascata aconteça. E também reduzimos ou diluímos os custos, para que não seja apenas um pequeno grupo de organizações a suportá-los. Gosto de utilizar a frase “todos ficamos mais seguros quando cada um de nós está mais seguro”, devido ao facto de vivermos hoje neste tipo de economia hiperconectada. Penso que, ao distribuir este encargo, não só diluímos os custos económicos, como também criamos um ambiente operacional cibernético mais higiénico em geral.

Algo que as grandes consultoras estratégicas e digitais nos têm vindo a dizer é que as empresas estão a passar do offshoring para o onshoring. Essa cadeia de abastecimento dos negócios voltar-se, cada vez, mais as próprias fronteiras. Denotam o mesmo?

É realmente uma dúvida muito comum hoje em dia. Devido ao cenário geopolítico global, existe uma preocupação sobre se posso confiar que o governo do país onde a empresa opera e onde estão alojados os dados irá realmente zelar pelos meus interesses. Não vou referir casos específicos, mas existem vários exemplos disso, onde este tipo de tensão e incerteza existem.

E no caso da Sophos, como dão garantias aos clientes neste contexto geopolítico?

Sempre considerámos estar numa forte posição devido às nossas raízes no Reino Unido e à forma como temos construído a nossa operação ao longo de 40 anos de história. Temos 11 data centers a nível global, onde de forma geral podemos afirmar que temos localização de dados e somos capazes de satisfazer qualquer tipo de requisito de soberania que a maioria dos clientes tenha, principalmente nos países europeus. Recentemente, inaugurámos o nosso mais recente data center nos Emirados Árabes Unidos, porque temos lá muitos clientes que procuram localização e soberania naquela região.

Isso sempre fez parte da nossa estratégia de produtos. Quando se trata dos serviços, é algo semelhante. Gerimos o maior negócio de MDR (Managed Detection and Response ou deteção e resposta geridas) do mundo. Temos cerca de 36 mil clientes em todos os países, segmentos de mercado e verticais. Claro que eles também têm perguntas sobre onde estamos a utilizar a IA e como estamos a treinar esses dados. Perguntam-nos como é que utilizamos os seus dados para treinar IA? Potencialmente, pode haver leak de informações? Fizemos investimentos muito muito significativos para poder responder a estas questões.

Um dos vossos parceiros, a Amazon Web Services, lançou este mês uma cloud soberana na União Europeia, juntando-se aos concorrentes que têm investido neste segmento de mercado. É realmente possível falar em soberania quando há um privado, com os seus interesses, por detrás?

É um tema muito complicado. Uma das principais tensões é o interesse simultâneo numa maior soberania dos dados e numa melhor proteção dos dados num ambiente político instável. Simultaneamente, todas as organizações estão a tentar descobrir como obter o máximo benefício e da IA, sabendo que a melhor forma de a tornar mais útil é fornecer-lhe mais contexto. Como é que se pode proteger os dados e, ao mesmo tempo, torná-los mais acessíveis à IA? Acredito que existem algumas abordagens arquitetónicas [tecnologicamente] muito boas a serem desenvolvidas pelos principais hyperscalers, a AWS, a Microsoft e a Google. Todos estão a procurar melhorar as suas ofertas de cloud soberana. Há quase uma década que temos aproveitado os investimentos que estão a fazer e continuaremos a colaborar com eles nesse sentido.

Um trio de multinacionais dos Estados Unidos, uma economia que tem pressionado a Europa a investir mais em Defesa. Há décadas que o cibercrime tem funcionado como arma de arremesso, mas como é que este aumento dos gastos em Defesa, por parte de vários países, se está a refletir no ciberespaço?

Há uma tendência global entre as nações para considerarem a cibersegurança como uma componente crítica dos seus orçamentos e estratégias de defesa. Isso já acontece há algum tempo. A questão é: o que é que se considera uma parcela suficiente do orçamento da Defesa para investimentos em cibersegurança? Creio que tudo se resume à dívida técnica da infraestrutura de um país, que geralmente varia consoante a idade da infraestrutura e da diligência com que foi mantida e modernizada. Isso varia de país para país. Se observarmos as economias emergentes, costumam estar numa melhor situação do que as economias antigas e consolidadas, devido ao facto de a sua infraestrutura ter sido construída há menos tempo. Quanto mais madura e antiga for a infraestrutura de um país, maior será a probabilidade de haver uma maior acumulação de dívida técnica, que, consequentemente, necessita de ser paga a um ritmo mais acelerado. Provavelmente, isso deverá encorajar aqueles que definem os orçamentos de Defesa a alocar maiores parcelas desses orçamentos à modernização, a fim de alcançar uma maior resiliência e uma melhor cibersegurança.

Portugal está a atravessar um período eleitoral, que também gerou movimentações no ciberespaço. Inclusive através de plataformas online onde foram transacionados milhões de euros em apostas com os candidatos das presidenciais. Que desafio extra é que o panorama político traz à segurança informática?

Penso que está a falar do Polymarket. O interessante aí é que diz-nos mais sobre a natureza humana do que sobre a cibersegurança ou qualquer tecnologia específica. A primeira coisa que nos mostra é que as pessoas apostam em praticamente qualquer coisa. Segundo, existe sempre o potencial para que ocorra o uso de informação privilegiada ou fuga de dados em qualquer ambiente que deva ser compartimentado. Isto é verdade quando se trata de sondagens e de uma votação. E é também verdade quando se trata de segredos militares a nível nacional.

A definição moderna de espionagem é muito diferente da que era, digamos, há 50 anos. Agora, a questão passa realmente a ser: qual é a forma mais provável de alguém que quer fazer uma fuga de dados o fazer? Tendemos a pensar que vão utilizar sistemas como o email ou o Google Drive, algum tipo de sistema de comunicação empresarial como o Slack ou o Microsoft Teams. É verdade também, mas as pessoas que se envolvem neste tipo de atividade de exfiltração são geralmente suficientemente inteligentes para saber que têm maior probabilidade de serem monitorizadas e apanhadas se o fizerem num ambiente corporativo ou numa rede governamental do que noutra rede (out-of-band). Logo, é mais provável que utilizem a WhatsApp ou o Signal, algo fora do conjunto padronizado de sistemas de informação das próprias organizações.

Provável é que, nalgum momento, as informações regressem à rede empresarial ou à rede regulada. Diria que se trata mais da natureza humana, mas os métodos tecnológicos comuns que nos protegem das atividades cibercriminosas mais básicas são também os mais eficazes para nos protegerem contra este tipo de atividades.