Organizações podem “fazer tudo corretamente e, ainda assim, ser vítima” de um ciberataque

À margem do evento que a Bitsight realizou em Lisboa durante o mês de novembro, Alex Laats, Chief Product Officer e General Manager da Bitsight, abordou, em entrevista, os desafios que as organizações estão a enfrentar para se protegerem.

A Bitsight procura ajudar os líderes das organizações a gerir o seu ciber-risco e a transformar a gestão da sua exposição, performance e risco. Os clientes da Bitsight procuram acelerar a transformação, enquanto expandem os seus ecossistemas distribuídos sem se preocuparem (ou reduzirem a sua preocupação) com a superfície de ataque cada vez maior.

Alex Laats explica que já não há fronteiras e, “na verdade, não há maneira de [as organizações] se protegerem por completo contra as perdas” porque uma empresa “pode fazer tudo corretamente e, ainda assim, ser vítima de um determinado evento” de cibersegurança.

Assim, a palavra cada vez mais utilizada é “resiliência” porque, se não existem fronteiras nem uma maneira de prevenir por completo a perda, então “é necessário minimizar a perda e manter-se resiliente ao enfrentar” essa mesma perda.

É preciso visibilidade

Com esta necessidade de as organizações se protegerem e de terem uma maior resiliência, ferramentas como a Bitsight – que fornece uma visão externa – complementam-se a outras ferramentas e soluções de gestão de exposição internas e de vulnerabilidades para dar a visibilidade necessária aos líderes das organizações para “identificar onde é que estão os ativos em risco”.

Ao mesmo tempo, é preciso ter esta visibilidade com uma equipa de IT relativamente pequena, mas, quando algo acontece, é preciso ter a capacidade de voltar a funcionar o mais rapidamente possível.

Laats dá o exemplo da Ucrânia que, nos últimos dez anos, tem sofrido ciberataques continuamente, com os sistemas a ir abaixo, mas conseguem sempre voltar. “Felizmente, o mundo empresarial não está nesta situação, mas as pessoas precisam de perceber que é um problema”, diz.

Para além da resiliência, outro grande desafio é a comunicação com os executivos não-técnicos, que entra na categoria de governance. Os CISO, explica Laats, encontram a comunicação e o governance como um dos pontos mais desafiantes porque o governance é definir standards e reportar os resultados, mas há a dificuldade de falar com um conselho de administração que, na sua maioria, não é composto por pessoas técnicas, e passar quais são os riscos cibernéticos para a organização.

Assim, as organizações devem definir os seus standards. Sabendo que não é possível ter como standard ‘perda zero’, então as organizações devem definir qual é o padrão de perda, assim como o tempo médio de recuperação de um evento cibernético e perceber qual é o standard que pode ser gerido. Depois, é preciso ter um plano de continuidade de negócio e recuperação de desastres para que a organização tenha um hot replacement para a infraestrutura, assim como um cold replacement.

Alguns membros do conselho de administração, refere Laats, percebem o risco e estes pormenores. “É preciso falar disto desta forma. Se for ao conselho de administração e disser que é impossível de fazer, o board vai pensar ‘precisamos de alguém que saiba o que faz’”, explica.

Impacto da inteligência artificial

A Inteligência Artificial (IA) ganhou um novo fôlego em 2023, sendo que as ferramentas de IA Generativa, como o ChatGPT, tiveram um impacto muito grande para as organizações e para os cidadãos. A tecnologia também vai ter impacto na cibersegurança.

Sobre o tema, Alex Laats começa por dizer que as ferramentas de IA Generativa tornam a vida dos cibercriminosos mais fácil para descobrir vulnerabilidades em software existente e encontrar novas vulnerabilidades zero-day que podem ser exploradas. Mas o mesmo pode ser dito sobre quem defende: as empresas que se dedicam à proteção de software podem utilizar a IA Generativa para descobrir falhas e, mais rapidamente, corrigir a solução.

Também na gestão de risco a IA Generativa pode ser uma ajuda. No caso específico de fazer o assessment de novos fornecedores, e numa altura em que as equipas são cada vez mais pequenas, a IA Generativa pode ajudar com grandes quantidades de informação. Com a tecnologia, “uma equipa de dois” pode “basicamente fazer o assessment do risco dos fornecedores de forma mais eficiente, mais rápida e com um volume maior”.

Threat intelligence também pode beneficiar bastante da IA generativa para entender o quão expostas estão as organizações através da análise de grandes quantidades de dados que existem espalhadas por várias fontes.

A necessidade de visibilidade externa

Para Alex Laats, os líderes de cibersegurança das organizações precisam de três grandes ferramentas: ferramentas de gestão de exposição, pentesting e visão externa, onde entra a Bitsight.

A Bitsight permite dar a visão externa da organização, principalmente “num ambiente complexo e dinâmico”. A empresa “ajuda as organizações a ver aquilo que, por vezes, não veem”, em conjunto com empresas e subsidiárias que foram sendo adquiridas pela empresa que permitem fazer scan de OT e scan de CVE que outras organizações não têm e que permitem dar sinais às empresas. Por fim, também é preciso ter boas práticas para fazer o onboarding de novos fabricantes.