“A única forma de combater tudo o que pode acontecer é trabalhar em comunidade”

Como vê o papel da colaboração entre organizações na partilha de informações sobre ameaças potenciadas por inteligência artificial?

No setor da banca, por exemplo, existe essa preocupação. O regulador tem tido essa preocupação com a maioria dos bancos que fazem parte dos grupos de trabalho. A partilha de informação é algo que vem sendo explorada e é cada vez mais importante que possamos garantir que todas – ou, pelo menos, a grande maioria – as organizações têm pares com quem podem conversar, com quem podem esclarecer dúvidas, com quem podem, inclusive, partilhar dores.

No caso da inteligência artificial, o que temos estado a ver é que tudo isto acelerou demasiado, ou seja, há demasiadas ferramentas com inteligência artificial como a sua base. Sentimos que há cada vez mais algumas frases de marketing mais do que funcionalidades dentro dessas ferramentas.

Aqui, é muito importante que as organizações tenham a capacidade de identificar onde é que as empresas que entregam este tipo de serviço e produtos baseados em inteligência artificial conseguem, também, integrar com as nossas ferramentas e garantir que dentro do que é o ecossistema mais tecnológico de prestadores de serviço e fabricantes de soluções também seja criado este ecossistema de partilha onde a maioria dos LLM que são utilizados possam, no fim do dia, beneficiar uns dos outros daquilo que é a aprendizagem que tiveram e aquilo que é a realidade das organizações.

Da mesma maneira que nós já partilhamos informações uns com os outros sobre as ameaças, quais é que são as nossas estratégias de mitigação, vamos ser obrigados a partilhar vulnerabilidades com parceiros, com reguladores, com autoridades de controlo e, se calhar, também vamos ter de exigir o mesmo destes fabricantes.

Quais são os principais desafios éticos ao utilizar IA para combater ameaças também geradas por inteligência artificial?

Temos vindo a assistir – e quando digo nós refiro-me à minha equipa como aquilo que vemos enquanto um ecossistema maior na área da cibersegurança – a este tipo de fusão de situações em que temos malware criado através da inteligência artificial. Malware altamente sofisticado, estratégias de ataque altamente sofisticadas, abordagens de engenharia social com um nível de sofisticação que, porventura, não estaríamos à espera.

Já venho a alegar isto há algum tempo e quem trabalha na área da cibersegurança já vê isto há muito tempo: isto é o jogo do gato e do rato. Andamos sempre com alguém atrás de nós. Aqui vamos ter exatamente a mesma situação.

Pessoalmente – e é uma nota mais pessoal, não necessariamente da minha organização – sou muito apologista da regulação que existe atualmente e da forma como está a ser criada. Prefiro over-regulation a no-regulation. O futuro dirá se tenho razão.

Esta regulação que existe permite-nos impedir certas coisas. Saindo da cibersegurança e indo para a inteligência artificial como um todo, ninguém quer ser avaliado de acordo com o seu tom de pelo ou de acordo com uma doença que teve o seu pai ou o seu avô ou a posição política ou social. Aqui na cibersegurança é exatamente igual, ou seja, nós temos eticamente de garantir que aquilo que o motor de inteligência artificial nos diz é validado.

Vamos alimentando esses motores de acordo com as tecnologias que vamos usar, os LLM ou usando tecnologias de bases de dados vetoriais em que vamos acrescentando esses vetores, mas temos de ter a capacidade de introduzir a componente humana. Isso é cada vez mais fundamental.

Outro grande fator que vejo também na aplicação geral da inteligência artificial e que também é fundamental – então aqui na cibersegurança ainda mais – é a explicabilidade, ou seja, saber que aquilo que me estão a dizer que tenho nesta situação, neste incidente ou potencial ataque, mas o porquê. É a mesma coisa que me responderem a uma pergunta sobre qualquer coisa e não me dizerem qual é a fonte. É preciso o sistema dizer que foi por causa deste evento, deste log e desta situação; se juntar as três coisas vejo que o problema está ali. Isso é uma garantia de que a inteligência artificial fez o seu papel de forma correta.

Referiu que prefere over-regulation a no-regulation. 2024 fica marcado por várias alterações europeias, nomeadamente a NIS2 e a DORA. Como é que olha para estas - e outras - diretivas europeias que impactam a cibersegurança?

Olho de forma muito positiva, embora não esteja de acordo com todos os artigos ou regras que estão ali estabelecidas. Nós, como banco, estamos fundamentalmente regulados pela DORA; julgo que por motivos de lex speciales a DORA se sobrepõe à NIS2 e a banca nem sequer terá de cumprir a NIS2. Não está totalmente claro, mas concordo genericamente com esta regulação. Acho que vai melhorar bastante o nosso tecido económico na capacidade de resposta a incidentes de segurança. A NIS2 é um salto quântico em relação à NIS1. Quem conhece a NIS1 e olha para a NIS2 é um outro mundo; completamente diferente.

A DORA tem uma preocupação muito grande da Autoridade Bancária Europeia, a EBA, exatamente para garantir que os bancos, não só de um ponto de vista de risco financeiro e de crédito, mas também do risco cibernético tenham capacidade de responder. Não estão a olhar apenas para o risco cibernético do ponto de vista de ataques, mas também de resiliência operacional.

A esmagadora maioria da banca internacional – não só em Portugal – usa mainframe, normalmente seguro e com grandes capacidades, mas e se? É essa a preocupação que estão a ter.

A NIS2, no meu entender, tem uma faceta muito interessante que é aquilo que estamos a falar: partilha. Partilharmos com as autoridades de controlo, a própria NIS2 força as autoridades de controlo a partilhar umas com as outras. Isto é um primeiro passo para aquilo que acho que é fundamental. Nós não temos capacidade de ir a todo o lado; a única forma de combater tudo o que pode acontecer é trabalhar em comunidade.

De que maneira é que a plataformização pode influenciar a escalabilidade das soluções de segurança em organizações em rápido crescimento?

Claramente a plataformização responde uma forma muito mais rápida às nossas necessidades. Se apostarmos numa plataforma de um fabricante devemos garantir uma capacidade de resposta maior e, se tivermos em crescimento, ainda melhor.

Devemos exigir um par de coisas. Naturalmente vamos ficar locked-in naquele fabricante durante um par de anos ou mais, mas tentar o máximo que conseguirmos garantir que aquela tecnologia integra com outras tecnologias, que temos essa capacidade. Garantir que os protocolos são utilizados – mesmo que não sejam integrados – sejam o mais abertos possível, e tentar que a informação que nos é passada também é o mais standard possível, para que quando tenho de sair daquela tecnologia – porque ou se tornou obsoleto ou o fabricante deixou de desenvolver de forma tão concreta a mesma – tentar com a menor dor possível passar para uma tecnologia similar.

Quais são os conselhos que deixa a outros CISO ou responsáveis de IT com responsabilidade de cibersegurança?

Acho que não vou acrescentar nada de novo, mas na minha função – e vejo isto todos os dias – a realidade é garantir o engagement, garantir que a alta administração – os conselhos de administração – percebe e conhece as nossas dores.

Eu, pessoalmente, não trabalho com o medo; não gosto. Acho que, no fim do dia, isto vai ter um efeito contrário àquilo que é a nossa posição. Devemos formar as pessoas. Quando falo em formar pessoas, não é só formar os nossos colaboradores, não é só responder às necessidades dos recursos humanos, de ter uma dezena de horas por ano de formação. Não é isso que interessa. Também é, mas não é isso que interessa nestas áreas. Treinar é diferente de formar, é expô-los perante situações que não estão, numa primeira fase, capacitados para responder, mas sem impacto para a organização.

Devemos garantir que partilham connosco quando falha. Isso é um tema gravíssimo que temos onde muitas vezes as pessoas cometem erros, clicam no email, acedem a algum sítio que não devem.

Também temos de garantir que a maioria dos nossos investimentos – e às vezes não é assim tão simples – são orientadas ao risco. Tenho de perceber quais são os riscos que afetam a minha organização, classificá-los e depois atuar perante os mesmos.

A última nota que deixo é que é necessário conhecer a superfície de ataque, conhecer os nossos ativos, conhecer as nossas vulnerabilidades, conhecer os sítios por onde alguém nos pode fazer mal, mesmo que não tenhamos capacidade de responder e de mitigar aqueles sítios. É preferível conhecermos e irmos com isso na cabeça ao fim do dia para a cama – e sei que às vezes pode ser complicado – do que pensarmos que estamos seguros e não querermos saber. Mais vale ter esse conhecimento; mais facilmente vamos conseguir endereçar os temas à frente.