Sandra Maximiano, presidente da Anacom, afirma que as empresas têm de investir na segurança, mas capacitar as pessoas "é muito difícil". Ouça o podcast "À Prova de Futuro".
“Para o bem e para o mal”. A frase com que inicia uma das respostas espelha o tom da entrevista de Sandra Maximiano, presidente da Anacom, para a estreia do podcast “À Prova de Futuro”, dedicado à tecnologia e às empresas. Se, por um lado, novas tecnologias como a Inteligência Artificial (IA) trazem oportunidades para as empresas portuguesas, por outro trazem novos riscos cibernéticos. Para o bem, essas tecnologias pode ser usadas no combate aos ataques, aumentando as defesas, para o mal, também já estão a ser aplicadas pelos hackers. “Qualquer aplicação de IA que vai ser utilizada para aumentar a segurança, ela própria vai ser também atacada”, refere.
As empresas portuguesas já reconhecem que a cibersegurança “é uma necessidade e não uma escolha”, explica a presidente da Anacom neste podcast quinzenal, mas reconhece que a capacitação dos recursos humanos é o maior entrave.
O papel do regulador das comunicações, que lidera desde dezembro do ano passado, passa muito pela transposição de diretivas europeias. Maximiano salienta, contudo, também a criação de uma equipa de peritos que trabalha na prevenção e mitigação de ataques e o esforço feito para alertar os reguladores de outros países sobre a importância da segurança na rede de cabos submarinos, na qual “Portugal é um ponto nevrálgico” ao amarrar 10 cabos.
Qual é o papel da Anacom na cibersegurança? Que prioridade é que tem dado a este assunto desde que chegou à autoridade e como é que essa estratégia pode beneficiar as empresas do país?
Hoje se falarmos de conectividade, conectividade é muito mais do que termos comunicações sem interferências. É termos uma internet rápida, tem que ser muito fiável e tem que ser muito segura. Portanto, logo a partir daí, quando falamos de conectividade de qualidade, a segurança é um componente que não pode ficar para trás. Temos que ver a segurança como um atributo e ela faz parte dos nossos objetivos estratégicos. Temos ações dedicadas especificamente às questões de cibersegurança e de segurança, em termos gerais, no nosso plano de atividades. Para nós é uma prioridade e posso dar aqui alguns exemplos. Foi nomeadamente constituída uma equipa que dá resposta a incidentes de segurança.
Portanto, ataques?
Ataques. Uma equipa setorial da Anacom, que pretende dar resposta a ataques, mas não só dar resposta. Cada vez mais tentar atuar de uma forma preventiva e tentar minimizar, mitigar os efeitos desses ataques. Essa equipa, que é constituída por peritos de informática, é uma equipa que trabalha em cooperação com o Centro Nacional de Cibersegurança, mas que também trabalha muito em cooperação com os operadores. Estamos a falar de uma área que tradicionalmente requer muito mais cooperação do que outras áreas, nomeadamente a regulação pura e dura. A própria filosofia do trabalho da Anacom para a área da cibersegurança é diferente. É uma equipa que pretende dar essa resposta a incidentes e que trabalha muito de perto com várias entidades.
Depois também há que referir a questão da NIS 2, que é uma diretiva europeia do Parlamento Europeu e do Conselho Europeu que pretende harmonizar no espaço europeu todas as questões relacionadas. todas as diretivas relacionadas com a cibersegurança. E para nós na Anacom é muito importante ter aqui um trabalho na harmonização da legislação nacional, da aplicação e da harmonização com a legislação nacional existente.
Em que pé é que isso está?
Está a ocorrer, estamos a trabalhar nessa transposição da NIS 2. É muito importante para os operadores, para facilitar essa transposição de forma transparente e completa.
Estamos numa altura de transições e novas tecnologias. Falamos todos os dias de Inteligência Artificial (IA), de machine learning, redes mais rápidas, e o 5G já é uma realidade. Que desafios é que estas novas tecnologias podem trazer para as empresas portuguesas no aspeto da segurança?
Muitos desafios trazem coisas boas e coisas más, como qualquer tecnologia. Portanto, há sempre o reverso da medalha. Antes de mais, eu acho que as empresas portuguesas não podem ficar para trás e têm que abraçar estas novas tecnologias, nomeadamente a Inteligência Artificial, porque os ganhos são substanciais. Existem provas concretas disso, ganhos de produtividade e de eficiência. Só que trazem, como disse e muito bem, muitos desafios ao nível da segurança. Logo porque, para dar um exemplo mais prático, as pessoas têm que ter a noção de que qualquer informação que seja dada a um ChatGPT é uma informação que vai ficar na OpenAI e, portanto, temos de ter cada vez mais cuidado com a confidencialidade desses dados. Claro que se as empresas desenvolverem aplicações ao nível interno aí têm maior proteção. Porquê? Porque está nos servidores das próprias organizações.
Mas muitas vezes esses próprias servidores estão noutros locais
Sim, muitos deles estão fora, são geridos fora, portanto, estamos muito mais expostos. É óbvio que quem ataca, os chamados adversários ou hackers, vai fazer uso e já está a fazer uso destas novas tecnologias e aplicações.
Através de automatização por exemplo que torna os ataques mais frequentes?
Os ataques são muito mais frequentes, conseguem fazer ataques em massa.
E sem muita gente
Sem muita gente a baixo custo, mais frequentes, mais invasivos no sentido em que conseguem imobilizar empresas inteiras e conseguem ser menos detetáveis.
O dano já está feito quando a empresa se apercebe
Quando a empresa se apercebe e é muito difícil de perceber de onde é que ele vem, cada vez mais fica mais difícil de perceber a origem desse ataque. E depois há aqui um outro perigo. Nós podemos utilizar a Inteligência Artificial também para aumentar a segurança. Um exemplo, há aplicações de Inteligência Artificial que, porque analisam muitos dados, permitem ter um conhecimento do comportamento humano e com o conhecimento dos padrões comportamento e detetar, por exemplo, quando vamos fazer um login no computador ou quando vamos inserir a nossa password e perceber que existe uma diferença do padrão usual.
Uma anomalia
Uma anomalia. Isto é um exemplo dessa aplicação de IA que pode também ajudar a tornar a organização mais segura. Mas o que é que acontece? Acontece é que se esses hackers tiverem acesso aos algoritmos e enviesar a informação desses próprios algoritmos, o que nós achamos que estamos a analisar, um padrão de comportamento, é um padrão de comportamento que já está desvirtuado. Portanto, temos que estar sempre em cima. Qualquer aplicação de IA que vai ser utilizada para aumentar a segurança, ela vai ser também atacada ela própria.
"Começa a haver alguma oferta [de cursos de cibersegurança]ao nível das escolas de executivos, alguma ao nível técnico profissional. Ainda é muito incipiente haver uma licenciatura, isso não existe totalmente na cibersegurança, mas a procura é tanta que não tenho dúvidas que existe um mercado e oportunidades de negócio também para esta formação.”
Tendo em conta esse grau de dificuldade maior, embora com alguns benefícios, as empresas portuguesas estão bem equipadas, seja em termos de tecnologia, ou seja, mais importante até, em termos de pessoas para lidar com estes desafios e de ganhar vantagens também?
Diria que o maior desafio é realmente a capacitação das pessoas, dos recursos humanos. Em termos financeiros, nós sabemos que temos um tecido empresarial maioritariamente constituído por pequenas e médias empresas. No setor das telecomunicações, um setor maior comparativamente a um outro tecido industrial, e em muitas outras áreas com maior capacidade financeira, o que acontece é que as próprias empresas sabem que isto é uma prioridade. Portanto orçamentar para isto começa a ser já não uma escolha, é uma necessidade. Por isso no plano estratégico as questões da cibersegurança são cada vez tidas mais em conta.
Agora, é muito difícil capacitar as pessoas e é muito importante capacitar as pessoas internamente. A literacia digital para a cibersegurança tem que ser feita a todos os níveis, mas por outro lado, é preciso recrutar pessoas nestas áreas. Tem havido um aumento de cursos no país, a oferta de cursos ao nível técnico profissional, alguns também ao nível das escolas de executivos a aparecerem.
Ter os gestores a perceberem e a terem noções
Sim, sim. Acontece que são profissões e competências que são muito procuradas em todo o lado, são globais.
A retenção de talento é difícil
É muito difícil. São áreas que são muito bem pagas hoje em dia. E depois temos aqui um outro problema, são as empresas mais de cariz público e que seguem regras de contratação pública têm a dificuldade acrescida porque muitas das pessoas que têm estas especialidades e grandes conhecimentos em cibersegurança não têm necessariamente uma formação superior. E nós temos aquele hábito de pagar mais a quem tenha uma formação superior. Há muita gente com muito conhecimento nesta área que não tem se calhar uma formação tão formal e que o mercado tem que começar a estar preparado para captar.
O ano passado começou uma série de ciberataques a empresas como a Impresa, a Lusa ou a Vodafone e houve seguimento mediático desses problemas. Mas depois desse pico de interesse, o assunto saiu de cena mediática. O que é que é preciso fazer para manter isto sempre no topo da agenda?
Para o bem e para o mal [risos]. Porque pode querer dizer que não está a acontecer tanto ou que o problema foi resolvido ou mitigado. Por outro lado, acho que é preciso informar constantemente, mas também não podemos criar um medo constante. Como disse, é preciso a literacia digital e as questões da cibersegurança serem levadas muito a sério. É preciso que os colaboradores tenham mais formação, porque, aliás, os ataques são muitas vezes perpetuados pelo colaborador.
Ao abrir um anexo de um email sem cuidado, por exemplo
Abrir um anexo, um link que não devia, ou ter uma password muito simples. É preciso consciencializar as pessoas que as portas de entrada hoje são cada vez maiores especialmente com as IoT (Internet of Things). Oualquer câmara, em qualquer lado, é uma porta de entrada. Temos câmaras em frigoríficos, temos câmaras em todo o lado. As pessoas têm que ter essa consciência.
Um exemplo – no sistema de segurança de uma casa nós temos um sistema de segurança para nos proteger anti-roubo, mas depois estamos expostos a ataques de outra natureza e é preciso educar para isso e é preciso haver mais informação contínua. Por outro lado, temos de ter cuidado, porque se vivermos todos com esse medo, também não deixamos a transformação digital ocorrer. Todos temos que usar aplicações de IA, sistemas avançados e se as pessoas tiverem com receio vão rejeitar essa transformação tecnológica e digital e isso é péssimo.
Temos aqui uma grande preocupação que tem vindo a ser posta e revelada até aos nossos parceiros europeus, que está relacionada com os cabos submarinos. Em Portugal atracam, amarram 10 cabos submarinos diferentes e portanto temos ligações com todos os continentes, exceto a Antártida.
Representa a Anacom a nível internacional. Usando essa experiência, como é que vê Portugal em comparação com outros países em termos de segurança. Sente que estamos um setor de certa forma atrasados ou estamos mais ou menos no mesmo patamar do que outros países europeus?
Há coisas em que Portugal tem preocupações mais específicas, outras em que temos as mesmas preocupações. Temos que acelerar, e é algo que estamos a trabalhar, nomeadamente no que respeita às comunicações que têm a ver com a classificação das infraestruturas críticas. É muito importante no setor das comunicações. É um trabalho que está a ser feito e aí podemos estar ainda um pouco atrás nas comunicações. Mas estamos a acelerar, estamos a acompanhar.
Temos aqui uma grande preocupação que tem vindo a ser posta e revelada até aos nossos parceiros europeus, que está relacionada com os cabos submarinos. Em Portugal atracam, amarram 10 cabos submarinos diferentes e portanto temos ligações com todos os continentes, exceto a Antártida. Somos o único país do mundo com ligação para todos os continentes. Temos aqui uma preocupação muito grande com esta segurança que, ao fim e ao cabo, é a segurança das comunicações mundiais. Portanto, temos uma responsabilidade.
É um ponto nevrálgico da rede global
É um ponto nevrálgico e também estratégico, geoestratégico, é muito importante. Temos aí grandes preocupações e se estamos a responder, a responder bem, sobretudo pondo estes temas na agenda internacional e fazer com que organizações como o Berec, organismo de reguladores europeus das comunicações eletrónicas, prestem mais atenção à importância da segurança, sobretudo nos cabos submarinos. Temos feito um bom trabalho nesse sentido.
Assine o ECO Premium
No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.
De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.
Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.
Comentários ({{ total }})
“Temos de ter mais cuidado com os dados que damos ao ChatGPT”
{{ noCommentsLabel }}