Cibersegurança ofensiva é um meio para garantir mais resiliência

A cibersegurança já não passa apenas por colocar barreiras à entrada, mas também por encontrar as vulnerabilidades dessas mesmas barreiras. Esta tese é defendida pelo CEO e cofundador da startup Ethiack, Jorge Monteiro, e o ‘national security officer’ da Microsoft, Pedro Soares, que participaram no primeiro painel da conferência Cibersegurança no Setor Financeiro, organizada pelo Jornal PT50.

Para Jorge Monteiro, este é um tópico do seu quotidiano, visto que a empresa que lidera se dedica precisamente a fazer ataques informáticos aos seus clientes, de forma a encontrar as falhas que precisam de ser colmatadas. O “hacker ético” recorda um estudo recente que indica que o tempo de exploração de uma vulnerabilidade desde que esta é conhecida até começar a sofrer ataques é de -1. Isto significa que os ataques começam antes sequer de haver uma mitigação.

Assim, reitera, “a única forma de combater isto é ser mais rápidos que os atacantes e atacarmo-nos a nós próprios”. Pedro Soares vai ao encontro desta visão e garante que, na Microsoft, a inovação vem sempre acompanhada de testes às aplicações. Segundo revela, “assim que sai um ‘software’ novo”, as equipas internas da Microsoft fazem agora o mesmo que a Ethiack faz.

É preciso trazer a IA para o lado da defesa

Sobre a utilização de Inteligência Artificial (IA) na área da cibersegurança, os dois intervenientes voltam a estar de acordo. Pedro Soares acredita que é preciso mais agilidade e usar a IA para a defesa, da mesma maneira que esta é usada para o ataque. “Temos de trazer a IA para o lado da defesa”, argumenta. Jorge Monteiro refere que a rapidez dos avanços é cada vez maior e, no futuro, o que vai haver é “IA contra IA”.

Ainda com o objetivo de exemplificar o poder desta tecnologia, Pedro Soares adianta que, em 2022, quando entrou para a Microsoft, esta não tinha a informação classificada, apesar dos seus mais de 50 anos de existência. Hoje, garante, essa informação já não se encontra nesse ponto e “não foram humanos” a tratar disso. “É impossível processar dados sem esta tecnologia”, afirma, dando o exemplo dos milhões de milhões de dados que a Microsoft processa.

Além da classificação, é necessário proteger a informação, defende Pedro Soares. Neste sentido, alerta para o uso de ferramentas de IA direcionadas ao consumidor – como o ChatGPT – no ambiente empresarial, o que pode colocar informação da empresa em perigo.

Olhando para a cibersegurança em geral, Pedro Soares acredita que é necessária colaboração para travar a guerra contra o cibercrime. O ‘national security officer’ da Microsoft reconhece que a competitividade é natural, mas, “na cibersegurança, temos de colaborar obrigatoriamente, caso contrário, é uma guerra perdida”.