Entrevista

«O ciberespaço tornou-se num ponto de ataque à soberania de um país»

Entrevista a Mário Antunes, autor e coordenador do departamento de Engenharia Informática da Escola Superior de Tecnologia e Gestão do Politécnico de Leiria.

Investir em formação, quer dos cidadãos, quer das empresas, é um dos passos mais importantes para garantir alguma protecção na área da cibersegurança, disse à businessIT Mário Antunes, co-autor do livro ‘Introdução à Cibersegurança – Internet, os aspectos legais e a análise digital forense’.

É co-autor do livro ‘Introdução à Cibersegurança – Internet, os aspectos legais e a análise digital forense’. Qual a principal mensagem que quiseram transmitir?

Pretendemos que este livro chegue a um público alargado, focando essencialmente três tipos de conhecimento. Primeiro, como funciona a Internet, de uma forma simples e sem entrar em muitos aspectos técnicos. A segunda vertente foi sensibilizar ou consciencializar para algumas ameaças com as quais somos confrontados quando vemos as notícias, que nos mostram um conjunto alargado de ciberataques. O que é ransomware? O que é phishing? O que é DDoS? Ouvimos toda esta gíria nas notícias e gostaríamos de enquadrar o leitor nestes tópicos. Depois, abordámos a componente da análise digital forense, na qual quisemos enquadrar o que é uma perícia forense, um relatório forense, como é que funciona e que tipo de técnicas/ferramentas existem para fazer uma análise pericial a um equipamento.

Hoje, as pessoas têm noção de que é urgente haver uma consciencialização para a área da cibersegurança? Dos seus perigos e consequências… considera haver ainda iliteracia neste campo?

A minha opinião é a de que as pessoas x todos os dias falar sobre os variadíssimos ataques às empresas, e até ao cidadão comum, mas ainda assim não há muita consciencialização. Aliás, julgo haver mesmo uma enorme iliteracia digital neste domínio. Ou seja, as pessoas utilizam dispositivos electrónicos, digitais, como telemóveis, etc., usam os serviços que a Internet nos disponibiliza, nomeadamente as redes sociais e outras, e não têm noção dos perigos que correm, até pelos comportamentos que têm. E isto é patente, por exemplo, nos dados depositados nos mais diversos sítios. As pessoas não têm sensibilidade para perceber que são valiosos e, quando não protegidos, ou pouco protegidos, poderão ser copiados ou colocados em locais que podem ser explorados por cibercriminosos – e os dados têm muito valor. Portanto, diria que há uma iliteracia digital grande. Obviamente que as escolas e as empresas têm vindo a fazer o seu trabalho, mas há ainda um caminho a percorrer no sentido de informar as pessoas dos riscos que correm e de como se podem proteger ao nível das atitudes e comportamentos. Porque tecnologia para proteger os sistemas de informação e os computadores existe, temos um leque alargado de oferta, ouvimos falar das firewalls, dos antivírus, etc.

O ser humano é o elo mais fraco?

Sim, e por isso é no comportamento humano onde mais se tem de investir, nomeadamente na sua formação, na sua consciencialização e treino. As empresas têm, efectivamente, de treinar as pessoas para, por exemplo, que saibam identificar o que é um e-mail de phishing ou identificar a sua proveniência, se é legítimo. Enfim, há um conjunto de aspectos relacionados com a nossa vivência digital no dia-a-dia que são importantes e dependem muito do nosso comportamento enquanto cidadãos que operamos estes dispositivos.

Ou seja, investir em tecnologia sem investir em formação não adianta muito…

Exacto, as duas complementam-se. As empresas têm, naturalmente, imensas ferramentas para se protegerem, para implementarem mecanismos de segurança e até de avaliação para saberem qual o seu risco de exposição. Mas a formação tem de ser contínua, transversal e muito orientada ao que as pessoas fazem no dia-a-dia. É preciso treiná-las em contexto de trabalho, para que quando confrontadas com situações que as obriguem a tomar uma decisão sobre, por exemplo, determinado e-mail, saibam como actuar. As empresas de maior dimensão têm mais facilidade em implementar todos estes mecanismos, até porque há, normalmente, departamentos orientados para estas questões; mas, depois, temos as PME, que são a larga maioria, onde tudo se torna mais complicado.

Há mais de uma década que os players deste mercado dizem que as próximas guerras não seriam nas trincheiras, mas no ciberespaço. Está de acordo?

Claramente. Aliás, basta olhar para o comportamento das polícias onde já existe o perfil de ‘cyber militar’. Um país pode ser atacado por ar, terra, mar e ciberespaço. O ciberespaço tornou-se num ponto de ataque à soberania de um país. As guerras também estão a ser desenvolvidas aí.

É professor do ensino superior. Como vêem os nativos digitais tudo isto face à geração das pessoas com 50 anos?

Estamos numa fase de transição. A internet em Portugal está disponível há três décadas, portanto temos realmente pessoas que conheceram um mundo sem internet e os nativos digitais que já não sabem o que é viver, estudar e trabalhar sem internet. E, aqui, há sempre duas questões que é importante perceber. Por um lado, são inegáveis os avanços que a internet nos proporcionou, basta olhar para serviços como o homebanking e a comodidade que nos trouxe. Mas também é verdade que a mesma internet esconde um conjunto de pessoas com um perfil desenhado para o crime. Um novo tipo de crime, como as burlas online e a venda de dados.

Como vê a materialização da inteligência artificial num produto de acesso generalizado como o ChatGPT?

Finalmente, temos a noção de uma ferramenta que, de uma forma fácil para o cidadão comum, utiliza aprendizagem em tempo real. Quanto à segurança, a IA levanta alguns desafio,de uma forma geral. Por um lado, temos ataques cada vez mais inteligentes e feitos com base também em aplicação de IA. Do lado da defesa, temos igualmente soluções cada vez mais inteligentes para detectar padrões anómalos relativamente ao comportamento habitual, que têm auxiliado em muito alguma da tecnologia que vamos instalando um pouco por todo o lado, nos nossos servidores. Portanto, esta questão tem, uma vez mais, dois lados: há ferramentas que auxiliam no ataque e na execução de ataques cada vez mais inteligentes e tecnologias que nos permitem detectar comportamentos anómalos. E, já agora, até mesmo na própria análise forense, quando andamos à procura de vestígios de alguma coisa, se tivermos soluções que nos permitam ser mais rápidos e mais eficientes, usando uma base de conhecimento, é óptimo.

Portugal está alinhado com os restantes países europeus?

Não tendo dados concretos, vou acompanhando os relatórios que vão saindo sobre esta matéria. Olhando, por exemplo, para o contexto europeu, diria que os problemas serão os mesmos: não somos o patinho feio da Europa. Em termos de consciencialização, no trabalho que é feito diariamente, poderá haver algumas diferenças, que tem eventualmente que ver com o facto de alguns países terem acordado um pouco mais cedo para esta questão. Mas volto a mencionar a necessidade de investir na formação – e não estou a falar de formação superior ou altamente especializada. Estou a falar na iliteracia que reina nas camadas mais jovens, os programas curriculares não dão muita atenção (ou a atenção devida) a estas matérias. Depois, isto também se verifica ao nível das empresas, na formação contínua, especialmente nas que olham para a cibersegurança ainda como uma coisa que só acontece aos outros. Portanto, isto é um problema dos outros, acham que não precisam de se preocupar porque o negócio é pequeno. Apesar de tudo, de uma forma geral, julgo que estamos a dar passos importantes. Gostaria de ver, por exemplo, uma educação para a cidadania nas escolas que fosse digital e não para a cidadania geral. Obviamente, estamos a formar pessoas para viver numa sociedade física, naturalmente, mas as questões relacionadas com a cidadania digital deviam ter aqui um impacto maior, desde cedo. Estamos a formar pessoas que já só vão trabalhar no digital, na Internet e no ciberespaço.

Estaremos sempre um passo atrás dos ‘maus’?

Isto é o jogo do gato e do rato, mas sou tentado a concordar consigo. Há dez ou vinte anos não imaginávamos as ameaças e vulnerabilidades que temos agora. E vamos ter muitas outras que não estamos a conseguir, igualmente, imaginar. Quando se começou a falar em ransomware, cifrar os dados de um computador e pedir um resgate, era de loucos. Vamos estando prevenidos para aquilo que já conhecemos e para um ataque que nunca ocorreu, pois é imprevisível – vão surgindo formas de nos proteger. No caso das empresas, tem de haver, por isso, um investimento contínuo em segurança da informação, em cibersegurança. De uma vez por todas, temos de ter a consciência de que os dados valem muito dinheiro e são muito importantes. E de que nós, sem querer, temos uma pegada digital muito grande que vamos mantendo ao longo da vida. E essa pegada digital, esses dados que vamos deixando, são valiosos.