Sempre acreditei que a cibersegurança era uma maratona contínua, mas as regras do jogo transformaram-se. Assistimos recentemente a uma vaga silenciosa de ciberataques cirúrgicos que paralisaram infraestruturas críticas, bloqueando serviços essenciais à economia. Quem nunca passou por algo parecido, seja enquanto consumidor frustrado perante uma operação paralisada, ou como gestor, de mãos atadas, com os sistemas em baixo? A perceção de risco do nosso tecido institucional, do setor público ao privado, tem de evoluir definitivamente.
Para mim, o mais preocupante é o que alimenta e acelera esta nova realidade. Já não lidamos apenas com grupos organizados a operar de forma artesanal. Com a chegada de modelos avançados de Inteligência Artificial, como é o caso do Mythos da Anthropic, estamos a assistir a sistemas cognitivos a descobrir e a explorar vulnerabilidades graves a uma velocidade sem precedentes. E seria uma falácia pensar que este poder computacional ficará apenas do lado da defesa, boa parte do cibercrime organizado é hoje patrocinada por Estados, com recursos para aceder a este tipo de ferramentas, ou a versões ainda mais agressivas. O que antes demorava meses a ser mapeado é agora exposto em segundos. Lembro-me de quando um ataque de larga escala exigia um planeamento laborioso e estritamente manual, por vezes demorando anos. Hoje, a velocidade e o alcance são ditados pela automação extrema.
Mas será que estamos mesmo preparados para isso? Creio que a resposta, na esmagadora maioria das nossas empresas, é um assustador "não". As organizações têm de dar um salto quântico na sua agilidade para garantirem a proteção e a sobrevivência. O tempo de reação deixou de ser medido em semanas para passar a ser medido em minutos.
Tenho dúvidas sobre a eficácia de continuarmos a insistir nas velhas cartilhas de gestão de risco. A ação exige-se imediata e focada numa janela crítica de curto prazo, através da criação de uma verdadeira Task Force dedicada. Em primeiro lugar, é urgente uma mobilização ao nível do Conselho de Administração. A gestão de topo não pode delegar o tema, tem de ser inteirada sobre este novo panorama de ameaças e estabelecer um ritmo rigoroso de governação e reporte a curto prazo.
Em segundo lugar, é vital definir já o âmbito de atuação: identificar exaustivamente todos os repositórios de código, categorizá-los com base na sua criticidade para o negócio e envolver ativamente os principais fornecedores de software. Por fim, temos de combater o fogo com o fogo. A resposta corporativa passa por implementar processos de descoberta e remediação de vulnerabilidades impulsionados também por IA. Precisamos de programas de testes que consigam analisar sistemas e implementar correções à velocidade da automação.
Na minha experiência a apoiar conselhos de administração em estratégias complexas de ciber-resiliência e transformação tecnológica com equipas à escala global para mitigar riscos, inspirar confiança e capacitar a mudança nos negócios, constato que a melhor tecnologia do mundo é inútil se a cultura de governação for lenta e o aconselhamento inadequado.
A assimetria entre quem ataca e quem defende nunca foi tão letal para o negócio. Não sei se há uma solução definitiva para este paradigma de ameaças, mas ficar refém da inércia corporativa é o caminho mais rápido para o colapso operacional. Talvez seja hora de repensarmos isso. Fica a reflexão.
