Entrevista/ “Vários exercícios de gestão de crise no ciberespaço são organizados por instituições de referência em Portugal”

“A segurança é uma das áreas onde é mais difícil acertar; um hacker só precisa de ganhar uma vez, mas as empresas têm de acertar sempre”. A afirmação é de Alexandre Miguel Aniceto, CEO da Emvenci, que, em entrevista ao Link To Leaders, fala do que é preciso para garantir a proteção daquilo que é mais importante nas empresas: a sua informação e os seus colaboradores.

Durante o mês de outubro as temáticas relacionadas com phishing e com os ataques por ransomware vão “invadir” a Europa naquele que é o Mês Europeu da Cibersegurança e Portugal não é exceção.

O Link To Leaders falou com Alexandre Miguel Aniceto, fundador e CEO da tecnológica portuguesa Emvenci, que desenvolveu uma ferramenta com soluções integradas de combate ao phishing, proteção de dados e de elearning em cibersegurança e privacidade, e que conta no seu portefólio com clientes e parceiros nos setores público, energia, banca e indústria.

O especialista em segurança de informação considera que “é muito expectável que possamos assistir novamente, tal como aconteceu no início do ano, a noticias de várias empresas sem funcionar dias ou até semanas, com um grande impacto financeiro para as empresas, e para os trabalhadores”.

Porque é que a segurança ainda é uma das áreas onde é mais difícil acertar?
A necessidade de disponibilizar informação, capacidades e meios de comunicação, seja para clientes seja para colaboradores, obriga a que as empresas tenham vários pontos de acesso para o exterior. O que quer dizer que podem sofrer diferentes tipos de ataque (phishing, ransomware, hacking, DDoS, etc), não só externos, como internos (seja intencional ou não). Proteger todos estes vetores de ataque com sucesso, tendo uma equipa de três ou quatro colaboradores no IT, possivelmente apenas um dedicado à segurança, e um budget limitado, é obviamente difícil. Acertar neste contexto é encontrar os pontos de maior risco e identificar que controlos de segurança devemos implementar dentro das capacidades financeiras que temos.

O cibercrime está a aumentar? Porquê?
Está, e substancialmente. Em 2017, o custo do cibercrime era estimado em 600 mil milhões de dólares; em 2021, quatro anos depois, o custo estimado é de 6 triliões de dólares (10 vezes mais). Ano após ano, os ataques de ransomware aumentam –  em 2021 existem relatórios que identificam um aumento no número de ataques de 94%, em relação ao ano anterior.

O custo de execução de um ciberataque, mesmo que avançado, é bastante inferior aos custos para reduzir, a um nível aceitável, o risco de sofrer um ciberataque. Vivemos numa sociedade em que a informação rápida, sem filtragem, ponderação e análise, é uma realidade. As pessoas, muitas vezes, não se apercebem, mas quando colocam informação no Facebook, que consideram pessoal, como por exemplo “Estou de férias no Zoomarine”, não estão apenas a aumentar a probabilidade de serem assaltadas na sua casa, como estão também a contribuir para ataques de engenharia social à empresa onde trabalham.

Como avalia o panorama nacional?
Existem duas realidades. Empresas com uma grande capacidade financeira, o que se traduz em equipas, tecnologias e processos maduros, e empresas com menor capacidade financeira e capacidades técnicas e humanas mais limitadas, mas que atualmente já têm todos os processos assentes em sistemas informáticos e no “mundo digital” – e nesse caso a probabilidade de sofrerem um ciberataque é bastante elevada – e devemos lembrar-nos que estas empresas são o grande motor da economia nacional.

“Só durante o passado mês de julho, a Emvenci detetou e mitigou 37 mil ataques à sua infraestrutura”.

Os ataques tornaram-se mais sofisticados. O que mudou? A natureza dos vírus?
Não mudou, evoluiu. Os ataques são mais evoluídos e sofisticados, porque existe a capacidade tecnológica para o fazer. Qualquer pessoa tem hoje acesso a informação e ferramentas que permitem este nível de ataques, e as empresas precisam, obrigatoriamente, de acompanhar esta evolução com sistemas de monitorização, deteção, prevenção e formação dos colaboradores, de forma igualmente sofisticada. Só durante o passado mês de julho, a Emvenci detetou e mitigou 37 mil ataques à sua infraestrutura.

As nossas empresas estão mal protegidas? Devemos estar preocupados?
Genericamente sim, as nossas empresas estão mal protegidas, e obviamente devemos estar preocupados. Mas não deve ser apenas um problema das empresas, mas sim do Estado como um todo. Quando uma empresa de calçado sofre um ataque informático e deixa de funcionar durante uma semana, está em causa não só a empresa e os acionistas, como todos os seus funcionários e os seus parceiros de negócio que podem perder um excelente cliente. É fácil fazer apreciações rápidas sobre como a empresa não investiu, como a empresa falhou e não se protegeu, mas vivemos num mercado aberto, com forte concorrência da Índia, China e outros países com preços mais baixos, e não é fácil libertar margem para todo o tipo de investimento. E a cibersegurança é apenas mais um. E, digo isto, enquanto profissional de cibersegurança, porque como empresário muito mais poderia dizer sobre este tema.

É muito expectável que possamos assistir novamente, tal como aconteceu no início do ano, a noticias de várias empresas sem funcionar dias ou até semanas, com um grande impacto financeiro para as empresas, e para os trabalhadores.

É possível que um ataque simultâneo de larga escala ponha em risco o funcionamento do país?
A questão não é se um ataque de cibersegurança em larga escala poderá vir a colocar em risco serviços críticos do País, mas sim quando irá acontecer. Dito isto, acredito nas instituições e nas estruturas nacionais e sei, de fonte segura, que vários exercícios de gestão de crise no ciberespaço são organizados por instituições de referência em Portugal. Acredito que quando acontecer iremos dar uma resposta adequada. Nunca será a perfeita para a opinião pública, mas será a possível e adequada à realidade nacional.

Qual a importância da cibersegurança nos recursos humanos? As empresas portuguesas estão conscientes desta importância?
Os recursos humanos são a última linha de defesa contra ataques. Em 2021, segundo diferentes fontes, 82% dos incidentes de segurança envolveram o elemento humano. No último ano, assistimos a uma mudança e penso que atualmente já é claro para muitas empresas que a formação dos recursos humanos é de extrema importância. Aproveito para realçar que a formação não deve ser apenas dos recursos humanos da empresa, os seus colaboradores, mas todos aqueles com acesso à informação da empresa, incluindo parceiros e fornecedores.

Este ano, um dos nossos clientes decidiu não renovar um dos nossos produtos, pois nos 12 meses anteriores, com a nossa ajuda, reduziu a probabilidade de os colaboradores ‘caírem’ em ataques de phishing de cerca de 40% para 4%, o que considerava ser um valor aceitável. Mas a formação para ser eficaz tem de ser constante, recorrente. Se o cibercrime evolui constantemente, acredito, e já o vi acontecer, que uma nova ação de avaliação dos colaboradores, após seis meses sem formação e campanhas de sensibilização volte a ter valores bastante elevados.

“É errado pensar que “sou pequeno, ninguém me conhece, ninguém me irá atacar”, porque a grande maioria dos ataques ainda são oportunistas e todos são um possível alvo”.

Quais os setores que suscitam mais preocupações?
Ao nível nacional, os serviços mais críticos são: água, energia, banca e telecomunicações. Mas as PME são o maior problema, independentemente do setor. Todas as empresas estão expostas na rede global a que chamamos Internet, independentemente do serviço que prestam, setor em que trabalham e capacidade financeira. É errado pensar que “sou pequeno, ninguém me conhece, ninguém me irá atacar”, porque a grande maioria dos ataques ainda são oportunistas e todos são um possível alvo.

O investimento público nesta área tem sido suficiente?
Não tenho informação suficiente para responder a essa questão. Mas penso que tem aumentado. O que noto, e penso que é algo partilhado por outras empresas no mesmo setor que a Emvenci, é que a decisão de investimento é sempre financeira. Não é a melhor proposta que ganha, mas sim, a que cumprindo com os requisitos do caderno de encargos, é mais barata. E barato e bom, já sabemos…

O que é que as empresas podem fazer para prevenir estes ataques? E o que posso fazer individualmente?
Os ataques irão acontecer, mas, com sistemas evoluídas de monitorização, deteção e prevenção suportados pela formação dos colaboradores, podem reduzir substancialmente a probabilidade de sucesso dos ataques. É importante que as empresas criem uma cultura de cibersegurança, para que exista cada vez mais, da parte do colaborador, a perceção de que as nossas atitudes no dia a dia influenciam, e muito, a capacidade das organizações se protegerem contra ataques aos sistemas de informação.

A nossa solução de formação tem uma banda desenhada, focada em problemas de cibersegurança com que uma família normal pode ser confrontada, porque acreditamos que um colaborador consciente dos riscos de cibersegurança na sua vida pessoal, também o será dentro do contexto da empresa onde trabalha.

Que balanço faz destes cerca de 9 anos de atuação da Emvenci?
Bastante positivo. Hoje podemos dizer que trabalhamos com grandes empresas nacionais na área da cibersegurança, em particular por via da nossa plataforma Cybersecurity Cloud, em áreas que vão da formação em cibersegurança e privacidade, incluindo simulacros de ataques de phishing para melhor formar e preparar os colaboradores, à gestão de políticas de segurança e conformidade, entre outros. A nossa vasta e abrangente oferta em cibersegurança, permitiu-nos, em 2022, iniciar a internacionalização em Africa, América do Sul e Médio Oriente, com muito sucesso.

“Não é apenas de obras públicas e autoestradas que o país vive e penso que as empresas de desenvolvimento de software, que exportam para todo o mundo, deveriam ter um maior apoio do Estado”.

Quais têm sido os grandes desafios?
Não é apenas de obras públicas e autoestradas que o país vive e penso que as empresas de desenvolvimento de software, que exportam para todo o mundo, deveriam ter um maior apoio do Estado. O grande desafio é conciliar a vontade de dizer ao mundo “somos portugueses” e resistir à tentação de obter investimento estrangeiro, o que obrigatoriamente irá coincidir com saída de impostos do país. Por alguma razão, o que se apelidava na comunicação social como “unicórnios portugueses” passou a ser designado por “unicórnios com ADN português”.

Quem mais procura a Emvenci?
Todo o tipo de empresas, mas especialmente empresas que identificam internamente uma grande dependência dos sistemas IT, e que já perceberam que o colaborador é a última linha de defesa. A forma como chegaram a esta conclusão pode ser diferente, infelizmente em alguns casos já foram atacadas – e em ‘casa roubada trancas à porta’. A nível de interlocutor nas empresas, depende muito da estrutura interna de cada um, mas normalmente existem três contactos-chave: Cibersegurança; Recursos Humanos e IT.

Quantas empresas contam atualmente no vosso portefólio e quais os setores mais representativos?
Contamos com várias dezenas de empresas no nosso portefólio, de diferentes dimensões, em setores como a banca, seguros, energia, indústria e função pública.

O que podemos esperar da Emvenci no futuro?
Crescer cada vez mais: nas diferentes equipas que constituem a empresa, na internacionalização. O mercado nacional é, obviamente, muito importante para a Emvenci, somos uma empresa portuguesa, e queremos ser o principal parceiro das empresas nacionais naquilo que é a nossa área de especialização, mas ambicionamos mais. Queremos ser uma referência global nas áreas que trabalhamos.

O que mais o preocupa neste momento?
As situações excecionais preocupam-me, seja o Covid-19, seja a guerra na Ucrânia. Situações de exceção são muitas vezes usadas para limitar direitos adquiridos, aumentar injustiças e justificar o injustificado. Acrescentaria a este tema que a procura por informação cada vez mais rápida, em contraponto com informação de qualidade, com rigor e profissionalismo, também me preocupa bastante.

Respostas rápidas:
O maior risco: A instabilidade dos mercados que foram causada pelo Covid e agora pela guerra na Ucrânia.
O maior erro: A expansão da rede de parceiros deveria ter sido iniciada há mais tempo.
A maior lição: Ser proativo a pedir feedback aos clientes é extremamente importante para a evolução da solução.
A maior conquista: Existem várias, mas ganhar, recorrentemente, contra empresas de referência internacional é motivo de orgulho pessoal, para mim e para todos os colaboradores da empresa.