Cibersegurança e ciber-resiliência

Entrevista da INFORMA Espanha a Luís Gonçalves, CISO do Grupo INFORMA

Engenheiro com mestrado e doutoramento em Ciência e Tecnologias da Informação, professor universitário especializado em cibersegurança e inteligência artificial, Luis Gonçalves é também coordenador de vários programas de formação para quadros superiores sobre estratégias de governança e segurança.

Pós-graduado em direito, geopolítica e defesa internacional, com 20 anos de experiência no setor da cibersegurança, é o novo CISO (Chief Information Security Officer) na Direção Executiva de Sistemas de Qualidade e Segurança da Informação do Grupo INFORMA desde Janeiro deste ano.

Conversámos com ele sobre segurança cibernética, guerra cibernética e geoestratégia, e como todas elas afetam um ambiente globalizado.

O conflito bélico entre a Rússia e a Ucrânia, permite-nos dizer que o ciberespaço é o cenário bélico de última geração?

Sem dúvida. Numa guerra convencional, a guerra cibernética era um conceito que não se colocava. Muitas pessoas não tinham presente a possibilidade de existência de guerra do ciberespaço e pensavam que era uma preocupação e conceito que apenas existia junto dos profissionais da Cibersegurança.

De facto, a NATO definiu o ciberespaço como um domínio “bélico” e reconheceu inclusivamente que um impacto significativo de um ataque cibernético malicioso pode, em situações particulares, ser considerado um ataque armado, abrindo a possibilidade de activação do Artigo 5º – que define que um ataque a um estado-membro é um ataque contra todos os estados-membros da Aliança.  Com o conflito entre a Rússia e a Ucrânia vimos que existe uma noção clara de que  grupos apoiados pelas partes envolvidas no conflito se ativaram e através das suas armas cibernéticas, tornaram-se uma parte ativa da guerra, num conceito muito mais vasto do que conhecíamos até agora.

Todo este conflito trouxe à superfície e junto do público geral e dos media o conceito de guerra cibernética, tornando-a presente nas notícias a nível mundial. Já faz parte da nova ordem geopolítica e social e, tanto os decisores políticos como o público em geral começam a considerar a guerra cibernética como uma realidade, algo que para muitos até há pouco tempo não passava de ficção.

Neste sentido, e do ponto de vista empresarial, verifica-se que muitas empresas e instituições dos diversos setores de atividade, a nível mundial, perante um cenário de guerra cibernética e apesar do seu elevado nível de maturidade em cibersegurança, interrogam-se sobre se os seus níveis e protocolos de segurança são suficientes para combater a sofisticação dos ataques a que estamos a assistir neste momento. Esta situação exige uma muito melhor preparação e sensibilização, pelo que há também um movimento de re-avaliação da capacidade de resiliência e dos processos internos adstritos.

De tudo o que foi dito, é evidente que existe uma guerra virtual e uma guerra física. Acha que estamos perante uma nova doutrina militar, novas táticas de guerra?

Sem dúvida. As táticas de guerra cibernética funcionam tipicamente como apoio à guerra convencional. Hoje em dia temos de alterar os conceitos e falar de guerra híbrida: composta por uma primeira fase de ciberataques ou guerra cibernética com vista a preparar o “terreno” ou lançar as bases da segunda fase, a guerra convencional. A utilização do ciberespaço e de técnicas não cinéticas tem a capacidade de potenciar e apoiar a intervenção bélica ou cinética convencional, tais como as invasões físicas.

Como tal, atualmente e cada vez mais futuramente, quando se fala de guerra (e usando o seu termo lato) não se pode falar apenas de guerra cinética. Temos de considerar a guerra no ciberespaço e a sua utilização para facilitar a intervenção militar não convencional. Em termos de doutrina militar, estamos claramente num momento de viragem, com a maioria dos países a considerar e a desenvolver novas doutrinas militares considerando a componente cinética clássica e a nova componente não cinética.

Alguns dados analíticos de cibersegurança afirmam que metade dos grupos de cibercrime recebem apoios governamentais. Tecnologicamente, como comunidade internacional, estamos preparados para enfrentar esta situação?

É uma pergunta difícil de responder, mas muito interessante e atual. É difícil determinar com exatidão qual é o número de grupos de cibercrime com apoio governamental, porém, de facto tem-se observado há já muitos anos e recentemente de uma forma mais percetível que existem grupos de cibercrime apoiados não oficialmente por alguns estados. Sabemos que eles existem, por vezes conseguimos identificá-los e relacioná-los com certos países. Podemos até dizer pela forma como funcionam se pertencem à doutrina de um ou outro país… Mas o grande problema é que um número significativo destes grupos intervém de forma ativa e contribui para a economia local ou interna dos respetivos países.

Exemplificando, existem grupos envolvidos no “negócio” de ransomware. Estes grupos dedicam-se parcialmente à extorsão durante as suas campanhas de ataque. Há muitas empresas que são atacadas e pagam o resgate pedido. Quando os grupos de cibercrime recebem o dinheiro, utilizam-no para melhorar ainda mais as suas próprias ferramentas de ransomware e, por outro lado, investem no país, fazem compras, movimentam o dinheiro e, no fundo, movem a economia do país a partir do qual atuam. É uma luta muito difícil porque não existe um enquadramento legal que possa ser aplicado de um modo global, em todo o mundo e em todo o ciberespaço, e quando o cibercrime representa uma parte significativa da economia de um país, é natural que acabar com esses grupos não seja uma prioridade ou opção para os governos.

A atribução dos ataques é a parte mais complicada, bem como a identificação dos indivíduos ou grupos de ciberatacantes. E não existe uma ligação direta entre estes indivíduos e os grupos de ciberatacantes e os próprios estados. Não existe um enquadramento legal ou, quando este existe, não é possível reunir informação probatória suficiente.

É evidente que, para combater esta situação, é necessário juntar esforços globais com a colaboração internacional entre países, mesmo que haja Estados que não se associem a este esforço. Até que isso se torne realidade, a minha opinião é que, enquanto comunidade internacional, não estamos totalmente preparados para uma ação global, coordenada e eficaz.

Existem iniciativas internacionais que trabalham na construção do enquadramento legal global?

Qualquer enquadramento legal tem de ser internacional porque o ciberespaço não tem fronteiras, pelo que a ação legislativa contra grupos de ciberatacantes em diferentes regiões do mundo requer um enquadramento regulamentar à escala mundial.

Existem iniciativas na América, Europa e mesmo transatlânticas. Mas a maioria são iniciativas locais, no sentido de que os enquadramentos globais estão a começar a ser criados, embora numa fase inicial.

Apesar de tudo, estão a ser dados passos muito importantes e relevantes nesta direção.

Se juntarmos os conceitos de guerra e sanções, nos últimos dias estamos a assistir a decisões tomadas por grandes empresas e holdings relativamente às operações e às relações que mantêm com o estado e o mercado russos. E é evidente que a cibersegurança é uma das grandes preocupações destas organizações. O que podem elas fazer quanto a isso?

Penso que as empresas podem ter em conta algo que muitos programas de segurança cibernética secundarizam ou nem sequer consideram: a questão da geopolítica e da geoestratégia. Fazendo-o, as grandes empresas podem criar um contexto de ameaças, sejam elas técnicas, sociais, políticas ou económicas, que podem escalar acabando por materializar-se em riscos cibernéticos. Isto é algo muito relevante e as empresas devem considerar seriamente estes diferentes tipos de informação.

É também importante tipificar as ameaças empresariais em cada região onde a organização se encontra estabelecida ou em funcionamento.

Neste sentido, a partilha desta informação e a cooperação com as autoridades competentes é fundamental, criando e colaborando com grupos de informação internacionais.

Tendo em conta que cada região tem as suas particularidades, qualquer informação em três domínios, nomeadamente geoestratégica, geopolítica e informação estratégica, deve ser incluída em estratégias avançadas de cibersegurança e de ciber-resiliência.

O conceito de ciber-resiliência implica resistir a um cenário de ataque cibernético ou de guerra cibernética mantendo a operacionalidade da organização. É a capacidade de uma organização se “elastificar” para suster, conter e mitigar ataques enquanto eles ocorrem, sem interrupção  operacional, e retornar à normalidade de operação normais quando as campanhas de ataque terminam. Para tal, é essencial dispor de informações especiais estratégicas – ou intelligence no seu termo Inglês – que possibilite uma atitude proativa e identificação a priori ou o mais antecipada possível dos riscos que possam vir a materializar-se.

Hoje em dia, as empresas não podem impedir os ciberataques, pelo que têm de ser proativas, resilientes, sem perder a capacidade operacional, e acima de tudo, têm de preparar-se para tais cenários, treinando e testando. Também muito importante, e muitas vezes não observado, é que os planos de continuidade do negócio ou de recuperação em caso de desastre tenham em conta as ameaças cibernéticas.

Temos de considerar que os ataques acontecem a cada segundo, que as empresas se encontram expostas aos mesmos e é necessário saber como resistir-lhes e sobreviver-lhes, protegendo-se o mais possível e estando preparados. Para isso, é muito importante simular, treinar e passar de uma atitude reativa a uma atitude proativa.

Face a estas ameaças crescentes, como é que o Grupo INFORMA se está a preparar para este conflito bélico entre a Rússia e a Ucrânia?

Como fornecedor global de serviços digitais, temos de estar cientes de tudo o que possa representar um risco acrescido para o Grupo em todas as regiões de operação.Temos vindo a acompanhar a situação na Ucrânia muito de perto e desde o seu início, juntamente com as autoridades nacionais e internacionais competentes, medindo e avaliando o risco que o conflito possa representar para o nosso Grupo e para os nossos clientes.

Temos também reajustado o nosso modelo de governo de cibersegurança, que inclui processos e procedimentos de resposta e recuperação face a ataques informáticos, que é atualizado com base nas lições aprendidas dos ensaios e simulações realizados periodicamente.

Os nossos processos internos e as atividades de cibersegurança foram intensificados e o foco dos controlos internos de segurança cibernética foi colocado nas ameaças e ataques decorrentes do contexto de conflito bélico e de guerra cibernética.

O Grupo INFORMA envolveu as suas equipas de segurança em todas as regiões onde está presente a nível global com o intuito de reforçar constantemente a nossa própria resiliência cibernética e assegurar a continuidade do serviço aos nossos clientes à medida que os acontecimentos se desenrolam.

A fim de mantê-los sempre informados e de responder às questões que nos são colocadas, criámos um conjunto de perguntas frequentes sobre a nossa carteira de produtos e serviços e a sua possível relação com o conflito Rússia-Ucrânia.

O Grupo INFORMA tem operações nas áreas onde o conflito se desenrola?

Não, não operamos diretamente na Rússia ou na Ucrânia, pelo que as nossas operações e serviços não são diretamente afetados pelas questões de cibersegurança associadas ao conflito.

Poderia explicar-nos as medidas específicas que foram desenvolvidas para mitigar a materialização de riscos e potenciais efeitos negativos do conflito?

As nossas equipas, além de monitorizar efetivamente o conflito, como já referi, tomaram medidas como, por exemplo:

• Precauções acrescidas para salvaguardar a nossa infraestrutura tecnológica contra a crescente probabilidade de ataques cibernéticos.
• Adoção de protocolos de alta segurança para monitorizar actividades anormais da rede.
• Solicitar aos colaboradores que aumentem a sua atenção face a possíveis ataques de segurança que procuram explorar a oportunidade, distribuindo, entre outras coisas, fake news.

• Exercício das boas práticas, assegurando o máximo nível das medidas de segurança.
• Partilhar com os nossos fornecedores a nossa posição sobre a situação e solicitar-lhes que concentrem o ambiente de controlo neste risco acrescido e que nos informem atempadamente de quaisquer ameaças potenciais.
• Aumentar o nível de risco global, recordando aos empregados os meios de intervenção em caso de deteção de qualquer situação anómala ou dúvida.

Além disso, foram implementadas as medidas específicas recomendadas pelas autoridades competentes de cada país onde o Grupo INFORMA está presente.

Há algum ataque específico que deva ser considerado nesta situação de conflito?

Sim, além de monitorizar os ataques cibernéticos e a utilização de malware durante este período, as equipas de cibersegurança do Grupo estão a monitorizar ativamente o phishing, as técnicas de engenharia social associadas a estes eventos, para melhorar ainda mais a deteção e resposta cibernética.

A tecnologia empresarial e de rede do Grupo INFORMA foi afetada pelo conflito?

Até agora, embora tenhamos assistido a um aumento da atividade de ataques cibernéticos a nível mundial, não temos indícios nem evidências de ataques ou ameaças visando diretamente a infraestrutura, os serviços e os produtos do Grupo INFORMA, nem os seus ativos de informação.

O Grupo INFORMA tem um plano de continuidade do negócio? E inclui o planeamento de ameaças cibernéticas?

O Grupo INFORMA tem um plano abrangente de recuperação de desastres tecnológicos (DRP) e de continuidade do negócio (BCP). Estamos a tomar precauções para proteger a nossa infraestrutura tecnológica contra a crescente probabilidade de ataques cibernéticos que se vive atualmente. Estamos, igualmente, a adotar protocolos de segurança mais rigorosos para monitorizar a atividade anormal nas nossas redes de comunicação.

os dois planos estão preparados e incluem medidas específicas para responder a situações de desastre/interrupção devido a atividade maliciosa no ciberespaço.

Veja a entrevista original em https://www.empresaactual.com/ciberseguridad-y-ciberresiliencia-luis-goncalves-ciso-del-grupo-informa/