Cibersegurança. A melhor defesa? Atacar!

Escrevi, há uns meses, sobre a chamada imunidade de grupo aplicada à cibersegurança em ecossistemas empresariais, mas também públicos, nomeadamente, na necessidade de corrigir o problema que resulta do chamado “digital divide”, ou seja, da diferença de capacidade entre as grandes e as pequenas organizações se defenderem.

Confesso que na altura não pensei que este tema também tivesse de ser aplicado à segurança dos Estados e dos blocos políticos. É que a guerra está a mudar radicalmente, com os drones e a cibersegurança a tomarem conta das novas doutrinas militares, pela sua eficácia, sobretudo do ponto de vista da relação custo/impacto.

E agora ainda há a inteligência artificial, que acelera o bom e o mau, que ajuda a encontrar padrões, priorizar alertas e escrever código mais depressa, mas também abre novas portas ao risco, seja por via dos agentes serem “enganados” e fazerem ações que não deviam, a modelos que aprendem com dados “propositadamente” errados e passam a dar respostas indevidas.

Perante este quadro, a Europa tem de repensar a sua estratégia e decidir se quer continuar a “jogar à defesa”, sendo que essa parece ser, cada vez mais, uma forma polida de ficar para trás. Tal como no futebol, em que muitos defendem que a melhor estratégia é o ataque, a resposta mais sensata, e mais barata no médio prazo, é a Europa assumir a ofensiva. Ou seja, testar hoje, de forma controlada e ética, aquilo que o mundo real testará amanhã sem pedir licença. Como, aliás, a Europa tem vindo a testemunhar ao longo dos últimos meses e semanas.

Na prática, é preciso escalar para o nível militar a receita que está a resultar na economia real, a chamada segurança ofensiva. Isto é, ensaios direcionados e regulares que procuram e corrigem fragilidades antes de alguém as explorar. “Ofensiva” significa também automatização, em que motores de IA testam continuamente processos, atualizações e políticas para reduzir o risco e não apenas para verificar se determinada medida “foi implementada”. Trata-se de fazer gestão de risco aplicada ao dia a dia, expor dependências invisíveis, fechar portas esquecidas, treinar respostas das equipas e, acima de tudo, minimizar falsos alarmes, reduzir tempos de deteção e de contenção e aumentar a percentagem de técnicas críticas efetivamente bloqueadas. Aliás, são aspetos em que os regulamentos “civis” mais recentes (NIS2, CRA e o AI Act) convergem e que podem ser um bom benchmark para “outras guerras”.

Portugal tem aqui uma oportunidade concreta para evoluir das auditorias esporádicas para uma cadência de ensaios realistas em áreas vitais do Estado. Depois, com a partilha anonimizada dos resultados obtidos pode elevar o patamar de segurança de todo o ecossistema digital nacional.

Hoje, a ameaça é paciente, vive dentro das integrações que nos simplificam a vida, explora identidades e acessos e vem cada vez mais de atores estatais que atuam de forma disciplinada e cirúrgica. É por isso que a decisão racional para contrariar estas ameaças à nossa soberania passa, primeiro, pela segurança ofensiva. Se soubermos primeiro onde estão os pontos fracos, ficamos a saber exatamente onde e como nos podemos defender de forma mais eficaz.

A defesa no século XXI mede-se menos por muros e mais por quanto tempo demoramos a identificar uma vulnerabilidade e a corrigi-la, pelo que a segurança ofensiva, bem governada, é a forma mais honesta de encurtar esses tempos e de garantir que o país continue de pé.

Fonte: TVI Notícias.