“O ADN da Multicert são projetos com um nível de segurança elevado”

IT Insight – Quais as principais linhas de atividade da Multicert, atualmente?

Jorge Alcobia – A Multicert nasceu na área de Research & Development da SIBS, por volta do ano 2000. Com a evolução da internet, houve um período onde se começou a falar da necessidade de autenticar máquinas online. Tivemos a oportunidade de atuar nessa área, através da criação de certificados digitais, para máquinas e humanos. Em 2006, com o Cartão de Cidadão e Passaporte Eletrónico, celebrámos uma parceria com a Casa da Moeda para garantir a segurança dos dados que estão nos chips destes documentos. O nosso ADN são projetos com um nível de segurança elevado. A nossa primeira área é o negócio mais tradicional, de Public Key Infrastructure (PKI). A segunda é cibersegurança e a terceira área está relacionada com a desmaterialização e com a transformação digital.

A Multicert assume-se como uma terceira parte de confiança. O Estado, através do Gabinete Nacional de Segurança, confia em nós para emitir um certificado para pessoas que tem o mesmo valor legal que uma assinatura física. Ou seja, desenvolvemos soluções que permitem desmaterializar a assinatura com valor legal. É aqui que nos diferenciamos dos demais: acrescentamos valor legal à desmaterialização.

Que projetos têm estado a desenvolver?

Desde 2013 que procurámos explorar outras frentes de negócio, de que é exemplo uma solução de cofre digital para um player de jogos online, que necessitava de um nível de segurança à prova de tudo. Também temos a decorrer projetos com o maior operador de portagens em Portugal, que necessita de segurança elevada pelo facto de os identificadores dos automóveis estarem associados a cartões de débito. Trabalhamos também com o IGCP – Agência de Gestão da Tesouraria e da Dívida Pública, que tem informação sobre todos os pagamentos de funcionários do Estado (polícia, hospitais, escolas), que são realizados através do site do IGCP. Desde a minha chegada à Multicert que temos a preocupação de começar a produzir produtos que aproveitassem as nossas maiores valências.

Ao nível da desmaterialização, o primeiro grande projeto que fizemos no ano passado foi com o Montepio. Nos balcões, os processos passaram a ser realizados num tablet. Todos os dados são extraídos do Cartão de Cidadão. O cliente pode assinar biometricamente no tablet, receber um SMS com um PIN, ou assinar com o PIN do Cartão de Cidadão. Este foi o primeiro grande projeto que realizámos na área da banca e agora estamos a avançar para a componente da mobilidade, fora do balcão. Também temos outros projetos ligados à abertura de contas bancárias de forma remota, por videochamada, como é o caso do banco Best, e já trabalhámos com a McDonalds para desmaterializar a assinatura de contratos com os franchisados. Do ponto de vista logístico e operacional, isto é verdadeiramente transformação digital. A banca e o retalho, os setores onde existem pontos de venda, são os que estão mais avançados ao nível da assinatura digital.

O que diferencia a Multicert na área da cibersegurança?

Há bastante tempo que atuamos em cibersegurança, que antes não tinha esta designação. Em engenharia de segurança, seremos provavelmente os melhores em Portugal. Desde sempre que somos os responsáveis pela segurança dos dados do Cartão de Cidadão e do Passaporte Eletrónico português. A diferença é que começámos a transformar isto numa oferta. Começámos pelo mais tradicional: os testes de intrusão, que fazemos para diferentes entidades e, no final de 2016, decidimos criar um Security Operations Center (SOC), que está aqui instalado. Só existe outro SOC com as caraterísticas do nosso, que é o do Centro Nacional de Cibersegurança, porque está pensado para defender o que está dentro do perímetro, que é onde se verificam a maioria dos ataques, que não atacam o perímetro em si. Esta é uma aposta mais recente, tem um ano, mas que se tem revelado bastante positiva. Temos vindo a ganhar os concursos que têm existido. Um dos concursos públicos onde entrámos estava relacionado com os Serviços Partilhados do Ministério da Saúde. No panorama geral, conseguimos conquistar o primeiro lugar. Nos últimos tempos a maioria dos concursos têm sido privados. Também temos vindo a trabalhar com clientes que foram atacados e que depois nos pedem ajuda para solucionar os problemas. Neste tipo de clientes, fazemos um acompanhamento 24/7 dos seus sistemas para garantir que os ataques não se repetirão.

Como é que as mudanças regulamentares que estão a acontecer estão a influenciar a atividade da Multicert?

Estamos a sentir o impacto destas alterações de duas formas distintas. Temos algumas ofertas e projetos de RGPD em diversos clientes. A maioria das empresas ainda está na fase de elaboração de um plano, e não na de resolução de problemas. Por exemplo, na área da saúde, que tem dados críticos, não são apenas os prestadores de cuidados de saúde que se têm de preocupar, as seguradoras também são parte envolvida. Não há ninguém a pensar a sério sobre onde e como irão armazenar os dados. Quando realizamos testes de intrusão, com autorização das empresas, em organizações desta área, em praticamente todas conseguimos, ao final de uma semana, chegar aos dados. Quando vamos às empresas e as alertamos para a necessidade de proteção dos seus dados, por exemplo, num cofre digital, elas acham que isso ainda não faz sentido. O maior problema nem será a multa, mas sim as consequências reputacionais.

Como pode a Multicert ajudar uma PME a lidar com a quantidade de dados críticos que armazena?

De várias formas. Há pouco tempo, por exemplo, houve um hospital privado que foi atacado e que ficou com todas as máquinas – desde os servidores às máquinas das salas de operações – encriptadas. Nessa altura a empresa estava numa situação extrema e solicitou a nossa ajuda. A Multicert, tipicamente, atua sobre dois vetores: na realização de um plano estratégico de segurança, junto das empresas, durante cerca de três semanas, ajudando a compreender, do ponto de vista daa infraestrutura e aplicações, o roadmap que deverão cumprir de acordo com os seus objetivos. Numa PME este é um trabalho de duas a três semanas e aquilo que propomos é colocar a empresa no nosso SOC, que trabalha 24/7. Deste modo passamos a monitorizar de forma contínua e ininterrupta os seus sistemas, aplicações e infraestrutura.

"Em Engenharia de Segurança, seremos provavelmente os melhores em Portugal"
 

Como é realizada essa monitorização?

Colocamos um conjunto de sondas, ou agentes, nas aplicações e infraestruturas do cliente. Todo o tráfego gerado pode ser monitorizado por nós. A Multicert dispõe também de algumas ferramentas desenvolvidas internamente, de open source, que decorrem dos trabalhos que já realizámos. Licenciámos uma ferramenta da RSA, que entendemos que é das melhores que existem a nível mundial, para toda a parte de Security Information and Event Management (SIEM) e correlação de eventos. Temos listas de IPs comprometidos e realizamos um conjunto de ações com o objetivo de compreender quais os principais vetores de ataque dos hackers e de preparar ferramentas de resposta. Esses dados, que são recolhidos por estas sondas junto dos clientes, em tempo real, estão sempre a ser processados e quando é detetado qualquer movimento fora do normal, é gerado um alerta. Quando este alerta é gerado, ou informamos o cliente para que solucione a situação ou endereçamos o problema. Depende do cliente. Também assumimos a responsabilidade de avisar os nossos clientes sobre novos patches de vulnerabilidades.

A Multicert conhece toda a infraestrutura dos seus clientes e todas as sugestões que realizamos estão adaptadas às suas necessidades. A nossa preocupação não é só com a monitorização do tráfego, passa também por dar a conhecer aos clientes alertas para que eles possam agir. Temos uma grande vantagem: conseguimos observar vários setores em simultâneo, o que nos permite cruzar informação e sermos mais eficazes. A partir do momento em que somos contactados, olhamos em primeiro lugar para o que a organização já tem, desenhamos um plano e depois sugerimos a monitorização 24/7. Uma monitorização que não seja continuada pode até funcionar em situações esporádicas, mas seis meses depois já existem outro tipo de ataques e é necessário que as empresas se adaptem.

Há um conjunto de disrupções a acontecer, através de tecnologias como a IA, machine learning, cloud, mobilidade. Como é que a Multicert está a endereçar todas estas áreas?

Estamos preocupados com a mobilidade. Desenvolvemos, por exemplo, em conjunto com a Samsung a possibilidade de existir um certificado no smartphone, dando a possibilidade de realizar assinaturas seguras com valor legal, em qualquer documento, utilizando o smartphone. Aqui recorre- se à biometria para tornar o processo possível (impressão digital, reconhecimento facial). Entendemos que esta é uma solução que vem facilitar a vida das pessoas. No que diz respeito ao as-a-service, estamos a colocar os nossos serviços na cloud para que possam ser acessíveis, mesmo do ponto de vista dos certificados. A segurança é, para nós, a base de tudo isto. Estamos a desenvolver neste momento uma solução que aprende com o que se passa ao seu redor. Isto significa que com esta solução será possível saber se determinada pessoa acede a determinado sistema numa hora certa e, no caso de a pessoa aceder a algo fora do normal, o sistema lança um alerta.

Assim, com o machine learning, a nossa missão é aprender e criar cenários futuros para depois comparar com a realidade e compreender a diferença entre a realidade e os cenários. Estamos a olhar também para temas relacionados como o blockchain. De alguma forma, a Multicert é a terceira entidade da parte de confiança que, no mundo atual, dá a garantia a terceiros da integridade da operação, bem como da confidencialidade. No futuro, acreditamos que, ao utilizar tecnologias de blockchain, haverá espaço para a Multicert continuar a prosperar.