A Bitsight fez de Lisboa a sede da sua operação para a EMEA (acrónimo para Europa, Médio Oriente e África) e no último ano continuou a reforçar o investimento no mercado europeu, acompanhando o crescimento do negócio de rating de risco informático. No início do mês realizou em Portugal a sua principal conferência, onde partilhou dados e uma visão do mercado, e anunciou a contratação de mais executivos para a equipa europeia.

Em entrevista ao SAPO TEK, Steve Harvey, CEO da Bitsight, explica que a região da EMEA está a crescer muito rapidamente e “provavelmente é o mercado que mais cresce na empresa”. “O nosso segundo maior escritório é aqui em Lisboa. Temos mais de 200 pessoas e este ano contratámos 40 pessoas”, adianta, sublinhando que a maior mudança foi mesmo na base de clientes, que deixaram de querer apenas medir o seu próprio risco e passaram a querer avaliar todo o ecossistema. O desenvolvimento da regulamentação NIS2 e DORA foi um dos fatores de impulso para esta transformação, e isso está a fazer com que a Europa recupere do seu atraso nesta área face aos Estados Unidos.

No mercado norte americano a SEC ( Securities and Exchange Commission), que regula os mercados financeiros. impôs novas regras que equiparam a divulgação de relatórios de cibersegurança aos de informação financeira, medida que vai ser implementada a partir de 15 de dezembro. Steve Harvey admite que isso vai trazer maior clareza ao mercado. “Até 15 de dezembro, as empresas norte-americanas terão de pôr em prática um plano sobre a forma como vão divulgar o risco cibernético […] Penso que vamos ver mais empresas obrigadas a dar um passo em frente e a divulgar, em vez de reagir aos acontecimentos do mercado”, justifica.

Um cenário cada vez mais complexo

Com a tendência de crescimento de ciberameaças, e duas guerras próximas da Europa a decorrer, o CEO da Bitsight lembra que os criminosos procuram sobretudo ganhos financeiros, e os ataques de ransomware continuam a aumentar, mas há algumas evoluções a ter em conta, nomeadamente na tecnologia operacional (OT), “Atualmente, existe um grande risco em torno das infraestruturas e, na verdade, fizemos uma pesquisa recente sobre a exposição relacionada com a tecnologia operacional e descobrimos que oito em cada 10 dos países mais expostos do mundo estão na Europa”, afirma Steve Harvey.

Steve Harvey, CEO da BitSight
Steve Harvey, CEO da BitSight

Uma parte desta avaliação está relacionada com a sofisticação da Europa em novas tecnologias, da energia verde e das infraestruturas, que fazem com que a superfície de ataque seja alargada.

O responsável pela Bitsight, que tem mais de 30 anos de experiência em gestão de risco e governação, diz que os novos modelos de linguagem e de IA generativa trazem também novos desafios, assumindo que vão permitir reforçar as capacidades de defesa mas inicialmente são usados para aumentar a frequência e sofisticação dos atacantes.

“Se pensarmos apenas no phishing, por exemplo, de repente um cibercriminoso tem um método acelerado de gerar e-mails de phishing, tornando-os muito mais realistas. As línguas já não fazem qualquer diferença”, afirma Steve Harvey.

No geral, tudo contribui para um mundo mais perigoso para as empresas porque “de repente, o mundo ficou muito plano e os cibercriminosos, em primeiro lugar, vão aumentar a frequência dos ataques e, em segundo lugar, vão seguir o dinheiro”.

“Por isso, qualquer empresa onde se pense que há ganhos financeiros a obter vai assistir a uma escalada contínua das ciberameaças”, avisa o CEO da Bitsight.

Para já a Inteligência Artificial é uma ferramenta de produtividade para os “maus atores” e ainda não se sabe como vão ajudar a criar ataques de zero day, e a capitalizá-los, mas estas estruturas de criminosos mudam rapidamente e adaptam-se facilmente para aproveitar novas oportunidades. “Cabe às empresas serem igualmente ágeis ao olharem para este panorama tecnológico em mudança”, sublinha.

O especialista deixa algumas recomendações às empresas, sublinhando que as que atuam rapidamente estão numa posição mais forte mas admitindo que a atual conjuntura económica não é favorável a reforço de investimentos na cibersegurança. O papel do CISO, mais próximo da administração, é estabelecer prioridades, desenvolvendo uma visão sobre a superfície de ataque e identificação dos ativos. E saber qual é o risco gerado pela cadeia de fornecimento, e como a gestão de fornecedores, e dos fornecedores dos seus fornecedores, pode ter impacto.

Penso que o papel do CISO está a evoluir à velocidade da luz neste momento […]. O tópico número um na sala de reuniões neste momento é a cibersegurança, qual é o risco, o que vamos fazer em relação a ele? O maior desafio para o CISO, para além da expansão da superfície de ataque, é o facto de o CISO ter agora vários intervenientes diferentes”, avisa.

A “materialidade da cibersegurança para o valor e potencial de perdas de uma empresa” foi também sublinhada, dando o exemplo da Clorox nos EUA, que foi atingida por um ataque de grande dimensão.

Independentemente da dimensão das empresas, para além da verificação do risco do ecossistema de fornecedores, é importante “poder certificar-se de que tem os controlos básicos implementados e monitorizar continuamente para se certificar de que está a acompanhar a evolução do mercado em termos dos controlos implementados”.

A Bitsight anunciou nesta conferência a contratação de Tim Grieveson, que traz a experiência de um CISO para a empresa e vai trabalhar com as equipas de produto e os clientes para acompanhar melhor as suas necessidades.

“Vai poder entrar no mercado connosco e ajudar-nos realmente a pensar na conceção do produto, no mapeamento do percurso do produto, em potenciais fusões e aquisições. Por isso, é maravilhoso ter esse nível de experiência a entrar na equipa”, explica Steve Harvey, lembrando que a empresa já tinha “transferido” um dos seus fundadores para Portugal, Stephen Boyer, que lidera a operação na EMEA, o que mostra a aposta que a companhia tem no mercado europeu.