Entrevista/ “A cibersegurança é como a democracia. Temos de batalhar muito, todos os dias, para a preservar”

“Vamos lançar, em breve, a próxima geração de tecnologia de Pentesting Contínuo Automático, através de hackbots altamente eficazes a detetar e a reportar vulnerabilidades críticas, 24 horas por dia, 7 dias por semana. Esta tecnologia será capaz de entender as superfícies de ataque e a forma como os ativos estão relacionados entre si, bem como explorar vetores de ataque complexos”, revelou Jorge Monteiro, CEO da Ethiack.

A cibersegurança é, hoje, um dos maiores desafios para o setor financeiro. Com a entrada em vigor do regulamento europeu DORA (Digital Operational Resilience Act), o reforço da resiliência operacional digital deixou de ser uma opção para passar a ser uma exigência legal, colocando pressão acrescida sobre instituições financeiras e entidades que integram a sua cadeia de valor.

Este novo enquadramento legal exige que as organizações estejam preparadas para identificar, mitigar e reportar vulnerabilidades de forma contínua, sob pena de enfrentarem sérias implicações legais, financeiras e reputacionais.

Neste novo contexto regulatório, a Ethiack posiciona-se como um aliado estratégico para as empresas do setor financeiro que procuram cumprir os requisitos da DORA sem comprometer a eficiência operacional. Atualmente, a start-up de Coimbra especializada em cibersegurança e hacking ético conta com mais de mais de 70 clientes de nove países. A Ifthenpay, a Lusitânia e a Coverflex foram os mais recentes a juntarem-se ao portefólio da empresa.

Em entrevista ao Link to Leaders, Jorge Monteiro, CEO da Ethiack, fala sobre os impactos da nova legislação, do papel que a inovação e a inteligência artificial desempenham na construção de uma ciberdefesa mais robusta e eficaz, e dos projetos para o futuro.

Com a entrada em vigor do regulamento europeu DORA, de que forma mudaram as exigências de cibersegurança para o setor financeiro, e que desafios específicos impõe esta nova realidade às empresas?

A entrada em vigor do regulamento europeu DORA (Digital Operational Resilience Act) marcou um ponto de viragem na forma como as empresas que operam no ecossistema financeiro têm de encarar a cibersegurança. Numa indústria que lida diariamente com volumes massivos de dados sensíveis, a resiliência contra ciberameaças deixou de ser apenas uma preocupação para se tornar num requisito regulatório.

“A solução da Ethiack apoia as empresas do setor financeiro na obtenção da conformidade com a DORA, nomeadamente na identificação e gestão contínua de vulnerabilidades (…)”.

Como é que a vossa solução responde às exigências da nova diretiva europeia DORA?

A solução da Ethiack apoia as empresas do setor financeiro na obtenção da conformidade com a DORA, nomeadamente na identificação e gestão contínua de vulnerabilidades no seu perímetro digital, incluindo a sua cadeia de abastecimento, ou seja, os seus fornecedores, um elemento que é muito importante na nova legislação DORA.

Ao mesmo tempo, permite-lhes reforçar as suas defesas, sem comprometer a eficiência operacional. Esta abordagem consiste em hacking ético autónomo que é alimentado pela combinação de agentes de pentesting de IA e inteligência humana para garantir testes contínuos e completos para vulnerabilidades exploráveis em toda a superfície de ataque. As funcionalidades de teste, validação e elaboração de relatórios 24 horas por dia, 7 dias por semana, servem objetivos de conformidade, reduzindo simultaneamente os riscos associados aos danos financeiros e de reputação que podem resultar de ataques bem sucedidos.

A entrada em vigor da DORA tem também gerado receios nas empresas. Sente que as instituições financeiras estão preparadas?

Sim, as instituições estão preparadas porque os requisitos de conformidade do setor são muito elevados. Talvez seja necessária uma mudança de mentalidade, para passar dos testes anuais – exigidos pela DORA – para testes contínuos. Acredito, no entanto, que esta evolução será rápida, graças às soluções de hacking autónomo. É uma forma eficaz de as empresas financeiras aumentarem o seu nível de segurança digital e ganharem a confiança dos seus stakeholders.

Que impacto teve esta expansão no vosso volume de negócios e como estão a preparar-se para alcançar a meta dos 3 milhões de euros?

Parte importante da estratégia da Ethiack passa por crescer na Europa e posicionar-se como uma solução e uma inovação “Made in Europe”. Vamos lançar, em breve, a próxima geração de tecnologia de Pentesting Contínuo Automático, através de hackbots altamente eficazes a detetar e a reportar vulnerabilidades críticas, 24 horas por dia, 7 dias por semana. Esta tecnologia será capaz de entender as superfícies de ataque e a forma como os ativos estão relacionados entre si, bem como explorar vetores de ataque complexos.

Na prática, trata-se de uma tecnologia que simula a abordagem de um Hacker Ético que testará os ativos digitais, capazes de proteger a Internet em escala. Estes hackbots são o resultado de um trabalho intenso de I&D que temos vindo a desenvolver.

“(…) a nossa plataforma oferece aos utilizadores uma visão abrangente e em tempo real de toda a sua infraestrutura digital, incluindo os fornecedores (cadeia de abastecimento) e os riscos associados”.

A Ethiack aposta numa abordagem que combina hacking ético com IA. O que distingue tecnicamente a vossa plataforma de outras soluções existentes no mercado?

A Ethiack tem um conjunto de fatores distintivos, entre os quais destaco três. O primeiro fator distintivo é a continuidade, uma vez que a nossa plataforma oferece aos utilizadores uma visão abrangente e em tempo real de toda a sua infraestrutura digital, incluindo os fornecedores (cadeia de abastecimento) e os riscos associados. Além disso, a plataforma da Ethiack aprende continuamente graças às contribuições dos hackers éticos da Ethiack e às descobertas dos hackbots de IA, o que torna a plataforma cada vez mais poderosa e capaz de oferecer uma segurança mais robusta.

Em segundo lugar, a plataforma da Ethiack distingue-se pela sua rapidez e escala em termos de capacidade de prevenção. Podemos testar milhares de activos digitais em segundos e, ao mesmo tempo, podemos reduzir o tempo de deteção de uma nova vulnerabilidade para valores mínimos. Temos de estar sempre um passo à frente do atacante.

Em terceiro lugar, somos altamente precisos e impactantes na identificação do risco e fornecemos guias de mitigação que permitem aos clientes otimizar os recursos, dar prioridade ao risco e, claro, reduzir os custos porque são capazes de agir rapidamente na correção do risco.

Como funciona, na prática, o processo contínuo de deteção de vulnerabilidades? É possível dar-nos um exemplo?

Naturalmente, a tecnologia da Ethiack funciona de ponta a ponta e comporta-se como um atacante sem acesso privilegiado. Para testar uma organização, tudo o que precisamos é de ter autorização e conhecer o seu domínio Web. O primeiro passo é o conhecimento da superfície de ataque, ou seja, uma análise profunda para descobrir toda a infraestrutura digital exposta da organização, incluindo subdomínios, portas, tecnologias, produtos, etc. De seguida, executamos uma série de testes de penetração para identificar as vulnerabilidades. Este processo é repetido de forma cíclica. Além disso, é possível observar alterações na infraestrutura da organização e executar testes específicos em profundidade, bem como executar novos testes com base em novas aprendizagens.

A vossa taxa de precisão é de 99,5%. Como conseguiram atingir este nível e que papel têm os vossos hackers éticos neste processo?

Os 99,5% de precisão são apenas da componente automática, não envolvem os hackers éticos de forma direta. Este é um dos segredos mais importantes da Ethiack. Desenvolvemos uma tecnologia de raiz que permite explorar vulnerabilidades em ambientes de produção, sem prejudicar o respetivo desenvolvimento. Chamamos-lhe o “Proof-of-Exploit”. A maioria dos scanners do mercado apenas consegue identificar um risco com certo grau de probabilidade de ele existir, mas não o consegue validar.

Têm sido reconhecidos em várias iniciativas internacionais, incluindo o Google for Startups e os World Summit Awards. Que impacto têm tido estas distinções na vossa visibilidade e crescimento?

Estas distinções nacionais e internacionais são muito importantes porque funcionam como uma demonstração da robutez da nossa solução e da nossa empresa. São, por isso, um instrumento importante de aceleração do crescimento da Ethiack e uma oportunidade para aumentarmos o impacto da nossa solução de cibersegurança. Por outro lado, é um motivo de orgulho por sermos reconhecidos pela qualidade do nosso trabalho e pelo pioneirismo no uso da IA para ajudar empresas, organizações e pessoas a manterem-se seguras num ambiente digital cada vez mais complexo.

“Se olharmos para o ecossistema de Coimbra, vemos que já houve outras empresas que tiveram um tremendo sucesso à escala global e isso serviu como inspiração e motivação”.

Como é que uma start-up nascida em Coimbra consegue competir à escala global num setor tão competitivo?

Se olharmos para o ecossistema de Coimbra, vemos que já houve outras empresas que tiveram um tremendo sucesso à escala global e isso serviu como inspiração e motivação. Contudo, o segredo está na qualidade da solução que desenvolvemos. Por outro lado, temos uma equipa fantástica, liderada pelo André Baptista, CTO e cofundador da Ethiack, que já conquistou duas vezes o título de Hacker Mais Valioso e faz agora parte do grupo restrito de cinco hackers no mundo que se orgulham de ter conquistado este título duas vezes. A primeira foi em 2018 e, na altura, valeu-lhe o título de “Cristiano Ronaldo da cibersegurança”.

Quais são os próximos mercados que estão a explorar? Estão a considerar novos setores além do financeiro?

A Ethiack está a acelerar a sua expansão para novos mercados, começando pelo Reino Unido e Europa, mas sempre com olhos nos EUA e no Médio Oriente e, sim, trabalhamos já com vários outros setores, porque as ameaças são transversais à economia e à sociedade e o trabalho de robustecimento da cibersegurança é permanente. A cibersegurança é como a democracia. Temos de batalhar muito, todos os dias, para a preservar.

Que papel ambiciona que a Ethiack venha a desempenhar no ecossistema europeu de cibersegurança nos próximos anos?

A cibersegurança é, em primeiro lugar, um problema de soberania política, que a Europa tem de enfrentar de forma pragmática, sobretudo no atual contexto geopolítico, porque as ameaças já não são apenas “económicas”. Elas são, cada vez mais, ameaças à integridade político-institucional e a cibersegurança é um pilar para garantir a independência tecnológica e a integridade regional da Europa em relação aos restantes blocos regionais.

A Europa precisa de dar um passo em frente. Não podemos deixar as soluções inovadoras apenas ao sabor dos caprichos do mercado. Em vez disso, precisamos de um novo ecossistema público-privado, que inclua também as universidades. Este ecossistema permitirá criar uma forte capacidade europeia de inovação, ajudando-nos a desenvolver respostas em tempo real às ameaças crescentes. Assegurará também que estas soluções cruciais cheguem a todos na sociedade de forma eficiente e económica.

Na prática, da mesma forma que a Europa foi capaz de criar um consórcio para a aviação, como a Airbus, modelo que a indústria automóvel europeia também sugeriu recentemente para si, devia, também, criar um cluster industrial para a cibersegurança. Este modelo é particularmente relevante perante o desenvolvimento exponencial da Inteligência Artificial, que está a funcionar mais depressa do lado das ameaças do que lado da segurança.

E é nesse ecossistema europeu que vemos a Ethiack a progredir.

“A realidade é gritante: 4 em cada 5 violações de dados têm origem em novas vulnerabilidades, mais de 80 novas vulnerabilidades públicas surgem diariamente (…)”.

Num cenário de crescentes ameaças digitais, o que é mais urgente mudar nas organizações para se protegerem melhor?

A cibersegurança depende de uma coisa: agilidade, porque as ameaças, os ataques e a exploração de vulnerabilidades estão a acelerar muito mais rapidamente do que as nossas defesas. A realidade é gritante: 4 em cada 5 violações de dados têm origem em novas vulnerabilidades, mais de 80 novas vulnerabilidades públicas surgem diariamente e 80% são exploráveis mesmo antes da divulgação pública. Pior ainda, os criminosos podem começar a explorar estas novas falhas nos 15 minutos seguintes à descoberta. Com a automatização e a IA, a velocidade e a escala destes ataques estão a aumentar exponencialmente.

Neste ambiente exigente, temos de garantir que a grande maioria das empresas pode aplicar medidas de segurança sólidas. Mais de 90% das empresas da UE são PME e, pura e simplesmente, não dispõem dos recursos necessários para investimentos avultados em cibersegurança. Isto cria uma “fratura digital” significativa, deixando as empresas mais pequenas com as maiores vulnerabilidades. Trata-se de um problema de alto risco, uma vez que muitas destas PME estão ligadas digitalmente ao governo e a grandes empresas, algumas das quais gerem infra-estruturas críticas.

E finalmente, que conselho daria a outras start-ups que estão agora a tentar entrar em setores altamente regulados como o financeiro?

O meu melhor conselho para as empresas em fase de arranque que entram em setores regulamentados como o financeiro é abandonar qualquer noção de sucesso da noite para o dia. Trata-se de uma maratona, não de uma corrida de velocidade. Cultivar relações significativas é fundamental. Compreender profundamente os pontos fracos do mercado e posicionar-se estrategicamente dentro de uma necessidade específica. Parece simples, mas a execução consistente e a aceitação do fracasso como uma ferramenta de aprendizagem são o que realmente impulsiona o progresso.

Respostas rápidas:
Maior risco: sofrer um ciberataque ou data breach de grande escala.
Maior erro: tentar agradar a todos.
Maior lição: é importante saber dizer não, saber priorizar e, depois, focar nessas prioridades
Maior conquista: atingir 1 milhão de receita recorrente com uma equipa de 10 pessoas