“Qualquer empresa onde se pense que há ganhos financeiros a obter vai assistir a uma escalada contínua das ciberameaças”

A Bitsight fez de Lisboa a sede da sua operação para a EMEA (acrónimo para Europa, Médio Oriente e África) e no último ano continuou a reforçar o investimento no mercado europeu, acompanhando o crescimento do negócio de rating de risco informático. No início do mês realizou em Portugal a sua principal conferência, onde partilhou dados e uma visão do mercado, e anunciou a contratação de mais executivos para a equipa europeia.

Em entrevista ao SAPO TEK, Steve Harvey, CEO da Bitsight, explica que a região da EMEA está a crescer muito rapidamente e “provavelmente é o mercado que mais cresce na empresa”. “O nosso segundo maior escritório é aqui em Lisboa. Temos mais de 200 pessoas e este ano contratámos 40 pessoas”, adianta, sublinhando que a maior mudança foi mesmo na base de clientes, que deixaram de querer apenas medir o seu próprio risco e passaram a querer avaliar todo o ecossistema. O desenvolvimento da regulamentação NIS2 e DORA foi um dos fatores de impulso para esta transformação, e isso está a fazer com que a Europa recupere do seu atraso nesta área face aos Estados Unidos.

No mercado norte americano a SEC ( Securities and Exchange Commission), que regula os mercados financeiros. impôs novas regras que equiparam a divulgação de relatórios de cibersegurança aos de informação financeira, medida que vai ser implementada a partir de 15 de dezembro. Steve Harvey admite que isso vai trazer maior clareza ao mercado. “Até 15 de dezembro, as empresas norte-americanas terão de pôr em prática um plano sobre a forma como vão divulgar o risco cibernético […] Penso que vamos ver mais empresas obrigadas a dar um passo em frente e a divulgar, em vez de reagir aos acontecimentos do mercado”, justifica.

Um cenário cada vez mais complexo

Com a tendência de crescimento de ciberameaças, e duas guerras próximas da Europa a decorrer, o CEO da Bitsight lembra que os criminosos procuram sobretudo ganhos financeiros, e os ataques de ransomware continuam a aumentar, mas há algumas evoluções a ter em conta, nomeadamente na tecnologia operacional (OT), “Atualmente, existe um grande risco em torno das infraestruturas e, na verdade, fizemos uma pesquisa recente sobre a exposição relacionada com a tecnologia operacional e descobrimos que oito em cada 10 dos países mais expostos do mundo estão na Europa”, afirma Steve Harvey.

Uma parte desta avaliação está relacionada com a sofisticação da Europa em novas tecnologias, da energia verde e das infraestruturas, que fazem com que a superfície de ataque seja alargada.

O responsável pela Bitsight, que tem mais de 30 anos de experiência em gestão de risco e governação, diz que os novos modelos de linguagem e de IA generativa trazem também novos desafios, assumindo que vão permitir reforçar as capacidades de defesa mas inicialmente são usados para aumentar a frequência e sofisticação dos atacantes.

“Se pensarmos apenas no phishing, por exemplo, de repente um cibercriminoso tem um método acelerado de gerar e-mails de phishing, tornando-os muito mais realistas. As línguas já não fazem qualquer diferença”, afirma Steve Harvey.

No geral, tudo contribui para um mundo mais perigoso para as empresas porque “de repente, o mundo ficou muito plano e os cibercriminosos, em primeiro lugar, vão aumentar a frequência dos ataques e, em segundo lugar, vão seguir o dinheiro”.

“Por isso, qualquer empresa onde se pense que há ganhos financeiros a obter vai assistir a uma escalada contínua das ciberameaças”, avisa o CEO da Bitsight.

Para já a Inteligência Artificial é uma ferramenta de produtividade para os “maus atores” e ainda não se sabe como vão ajudar a criar ataques de zero day, e a capitalizá-los, mas estas estruturas de criminosos mudam rapidamente e adaptam-se facilmente para aproveitar novas oportunidades. “Cabe às empresas serem igualmente ágeis ao olharem para este panorama tecnológico em mudança”, sublinha.

O especialista deixa algumas recomendações às empresas, sublinhando que as que atuam rapidamente estão numa posição mais forte mas admitindo que a atual conjuntura económica não é favorável a reforço de investimentos na cibersegurança. O papel do CISO, mais próximo da administração, é estabelecer prioridades, desenvolvendo uma visão sobre a superfície de ataque e identificação dos ativos. E saber qual é o risco gerado pela cadeia de fornecimento, e como a gestão de fornecedores, e dos fornecedores dos seus fornecedores, pode ter impacto.

“Penso que o papel do CISO está a evoluir à velocidade da luz neste momento […]. O tópico número um na sala de reuniões neste momento é a cibersegurança, qual é o risco, o que vamos fazer em relação a ele? O maior desafio para o CISO, para além da expansão da superfície de ataque, é o facto de o CISO ter agora vários intervenientes diferentes”, avisa.

A “materialidade da cibersegurança para o valor e potencial de perdas de uma empresa” foi também sublinhada, dando o exemplo da Clorox nos EUA, que foi atingida por um ataque de grande dimensão.

Independentemente da dimensão das empresas, para além da verificação do risco do ecossistema de fornecedores, é importante “poder certificar-se de que tem os controlos básicos implementados e monitorizar continuamente para se certificar de que está a acompanhar a evolução do mercado em termos dos controlos implementados”.

A Bitsight anunciou nesta conferência a contratação de Tim Grieveson, que traz a experiência de um CISO para a empresa e vai trabalhar com as equipas de produto e os clientes para acompanhar melhor as suas necessidades.

“Vai poder entrar no mercado connosco e ajudar-nos realmente a pensar na conceção do produto, no mapeamento do percurso do produto, em potenciais fusões e aquisições. Por isso, é maravilhoso ter esse nível de experiência a entrar na equipa”, explica Steve Harvey, lembrando que a empresa já tinha “transferido” um dos seus fundadores para Portugal, Stephen Boyer, que lidera a operação na EMEA, o que mostra a aposta que a companhia tem no mercado europeu.