Por Alberto Lopez (*)

“São precisos 20 anos para construir uma reputação e cinco minutos para a arruinar.” A citação é de Warren Buffet e enfatiza a importância da confiança na relação com os clientes. E embora Buffet não tenha feito esta referência a pensar na cibersegurança, a verdade é que o princípio pode certamente ser aplicado a este domínio. Aliás, um ataque cibernético significativo pode causar grandes problemas, razão pela qual é essencial que os conselhos de administração de todas as empresas, independentemente do sector, ponham a cibersegurança na agenda das suas prioridades.

Aliás, os ataques de ransomware e malware estão entre os maiores desafios que as empresas enfrentam atualmente, representando cerca de 65% dos incidentes reportados em Portugal, em linha com a tendência europeia (63%), de acordo com um relatório que divulgámos recentemente na Mastercard. E alguns dos principais ataques a que temos assistido nas notícias aconteceram através de um fornecedor ou prestador de serviços.

É, precisamente, para responder a estes desafios que a NIS2 (Diretiva Europeia de redes e sistemas de informação) tem como grande novidade a atenção dada à cadeia de abastecimentos e à relação entre parceiros e fornecedores, um aspeto que anteriormente era negligenciado em termos de cibersegurança.

Outro grande desafio da NIS2 está no papel que atribui à administração de topo das organizações, ao nível do conhecimento e informação que têm de ter sobre questões de cibersegurança. De favor, é essencial reconhecer que, sem uma cibersegurança robusta, a continuidade dos negócios pode estar em risco. Não se trata apenas de proteger transações financeiras, mas também de assegurar que, ao fazer login num banco digital, numa página de comércio eletrônico ou ao realizar transações com entidades governamentais, os dados e processos estão seguros.

Aliás, a inteligência artificial desempenha um papel crucial neste cenário. No sector dos pagamentos, por exemplo, há mais de uma década que estamos a investir em IA para proteger as nossas redes, utilizando os vastos volumes de dados que por elas transitam para treinar sistemas capazes de identificar transações legítimas e detetar fraudes, monitorizar milhões de comerciantes em dezenas de sectores e países, para assegurar que a interação entre fornecedores e terceiros e o ecossistema em que se relacionam é seguro.

É esta experiência adquirida que está a transformar a oferta de serviços de cibersegurança, com suites de serviços que começam, precisamente, por apoiar os clientes a navegarem no complexo mundo das mais recentes normativas como a NIS2 ou a DORA (Digital Operational Resilience Act). Esses serviços permitem avaliar se os sistemas estão preparados e informam sobre as tendências em ciberameaças e novas vulnerabilidades. Por outro lado, são ferramentas bastante avançadas, que permitem saber quais os aspetos mais relevantes a ter em consideração em relação a fornecedores e apoiam na definição de modelos de relacionamento e protocolos de segurança, em função da avaliação dos riscos associados.

Trata-se de medidas base que são fundamentais face à inegável evolução das ciberameaças e aos desafios da inteligência artificial que, por um lado, potenciam as ciberameaças através de usos maliciosos e, por outro, é permitem criar maior proteção contra essas mesmas ameaças. Na verdade, a IA permite que sejam feitas análises profundas e correções automáticas em tempo real, através, por exemplo, da monitorização e reconhecimento de quem entra e sai da rede, na implementação autenticações de múltiplos fatores e, principalmente, na análise dos fornecedores com os quais as empresas se relacionam.

Ou seja, apesar do aumento da complexidade das ameaças, a indústria tem sabido responder com a criação de soluções cada vez mais sofisticadas e é natural que as normas tenham, também, de acompanhar esse ritmo. E na Europa, há um posicionamento favorável do ponto de vista regulatório. A par da NIS2, estão em vigor diretivas como a DORA, a PSD2 (diretiva relativa aos pagamentos) e a MiCA (regulamento europeu relativo ao mercado de criptoativos), e é muito provável que este quadro legislativo continue a evoluir para acompanhar o progresso tecnológico e reforçar a segurança do ecossistema.

Em resumo, com a chegada da NIS 2 a mensagem para as empresas é clara: colocar a segurança na agenda dos quadros de topo. É fundamental que o CEO e o responsável pelas finanças estejam informados e formados sobre o que é essa normativa, como afeta o negócio e quanto será necessário investir para cumprir com as exigências regulatórias. Até porque a NIS 2 vem acompanhada de um quadro de penalidades muito significativo para as empresas e os gestores que não estiverem em conformidade.

(*) Vice-Presidente de Soluções de Cibersegurança e Inteligência Artificial da Mastercard Europa