Em Portugal ainda falamos de cibersegurança como se fosse um tema de tecnologia, quando, na realidade, é um tema de economia e de sociedade. Cada ataque bem-sucedido traduz-se em linhas de produção paradas, cadeias de valor interrompidas, plataformas sem funcionar, dados pessoais à venda na “dark web” e danos reputacionais difíceis de recuperar. De facto, o cibercrime deixou de ser uma ameaça abstrata e é hoje um instrumento de gestão geopolítica e um modelo de negócio global que procura todos os dias a próxima vulnerabilidade por explorar.

A boa notícia é que Portugal já provou que tem talento e capacidade para estar do lado certo desta história. Temos pessoas e empresas que desenvolvem soluções de ponta em cibersegurança, reconhecida e financiada internacionalmente. O desafio é transformar casos de sucesso isolados num ecossistema capaz de proteger o espaço digital português, que tem de ser encarado como um esforço coletivo e contínuo.

Gosto de usar a imagem da “imunidade de grupo” porque, como pudemos constatar na pandemia, não é suficiente termos apenas algumas organizações bem protegidas se a maioria continuar vulnerável. Por outro lado, sendo o digital um sistema altamente dinâmico, faz com que o país, como um todo, esteja permanentemente exposto e um atacante só precisa de encontrar o elo mais fraco da cadeia, que pode ser um fornecedor com menos recursos ou uma PME com sistemas desatualizados, para provocar uma disrupção impactante. É por isso que a cibersegurança tem de deixar de ser um luxo reservado a grandes empresas e passar a ser uma prática acessível e escalável para toda a economia.

Ou seja, não basta termos uma “checklist” ou um “pentest” por ano para constar no relatório e seguir em frente. Os atacantes, todos sabemos, não trabalham com o calendário do auditor e se uma organização demora semanas a descobrir e corrigir vulnerabilidades, um atacante precisa de poucos minutos para as explorar.

É preciso mudar o paradigma e evoluir definitivamente para a segurança contínua. Isso significa testar permanentemente sistemas e aplicações recorrendo a automação, inteligência artificial e equipas de “hackers” éticos, de forma controlada e responsável. Significa também integrar esta lógica ao longo das cadeias de valor e integrar desde os operadores de serviços essenciais, aos fornecedores críticos, às PME tecnológicas, aos prestadores de serviços na “cloud”.

Há, contudo, outro ponto que não podemos ignorar. Alcançar-se esta imunidade de grupo ao longo das cadeias de valor, exige incentivos para que a opção não seja “fazer o mínimo para estar conforme”. Isto implica que reguladores, decisores públicos, seguradoras e grandes contratantes valorizem quem demonstra segurança efetiva contínua e não relatórios estáticos. Mas não só. Uma das formas de alcançar a desejada imunidade de grupo, passa por estas entidades, que estão no topo das cadeias de valor, terem a iniciativa de testar massivamente todos os parceiros com que interagem e terem uma visão global e relacional de toda a sua superfície de ataque. Na verdade, só identificando e compreendendo as relações entre todos os seus ativos expostos, desde a infraestrutura externa e interna, incluindo fornecedores, é que estas entidades vão conseguir debelar vulnerabilidades e mitigar o risco nas suas cadeias de valor. 

Portugal tem aqui uma oportunidade. A nossa dimensão favorece a possibilidade de alinharmos reguladores, academia, setor público, startups e grandes empresas em torno de uma visão comum e fazer escalar para o resto do mundo as soluções criadas em Portugal no contexto deste ecossistema. 

A pergunta já não é se podemos ser um hub europeu de cibersegurança. A pergunta é se queremos assumir essa ambição e agir em conformidade.

Tratar a cibersegurança como infraestrutura crítica da economia, investir em velocidade e colaboração e construir, em conjunto, uma imunidade digital de grupo que nos permita olhar para o futuro com mais confiança.