A Adyta nasceu no seio da Universidade do Porto para colmatar falhas na cibersegurança nacional. Hoje, é uma referência em comunicações seguras e protecção de informação classificada, explicou o seu CEO, Carlos Carvalho.
Como nasce o projecto Adyta?
Nasce em 2015 no seio da Universidade do Porto, no C3P – Centro de Competências em Cibersegurança e Privacidade. Basicamente, é o resultado de trabalhos desenvolvidos pelo professor Luís Antunes e pelo seu ex-aluno Luís Maia, ainda hoje sócios co-fundadores da Adyta. Passado um ano, juntei-me ao projecto. Naquela altura, o C3P fazia muitos trabalhos para o Gabinete Nacional de Segurança, essencialmente auditorias e validações de plataformas e sistemas utilizados em cenários que envolviam informação classificada. Um trabalho que, de resto, continuamos a desenvolver, mas agora dentro da Adyta. Em 2015, foi auditado um sistema de comunicação segura que estaria para ser usado por alguns órgãos de soberania nacionais. Contudo, o sistema, que já estava certificado em dois países NATO, foi quebrado pelo Luís Maia, em conjunto com o professor Luís Antunes.
Quebrado, como?
Interceptaram comunicações e encontraram mais algumas coisas que, na verdade, não posso revelar. Foi um momento um pouco caótico, porque estamos a falar de uma solução já certificada em dois países NATO. A empresa que desenvolveu esse produto desafiou logo o Luís Maia a integrar a equipa deles. Entretanto, como o director do Gabinete Nacional de Segurança (que na altura era o almirante Torres Sobral) ficou bastante preocupado com essa situação, propôs ao Luís Antunes e ao Luís Maia desenvolverem uma solução de comunicação segura nacional. Portanto, o Gabinete Nacional de Segurança é que, na prática, lançou o desafio que deu origem à Adyta: desenvolver uma aplicação de comunicação segura.
Então, nasceram especificamente para colmatar uma necessidade?
Era uma falha de mercado, mas como estamos em Portugal, o desafio foi feito sem financiamento e, portanto, pouco tempo depois, percebeu-se que a sustentabilidade desse projecto, simplesmente, não existia. Foi nesse momento que me juntei à empresa e começámos a desenvolver, em torno deste produto principal, o Adyta Phone, um conjunto de outros serviços que possibilitaram o crescimento da empresa durante. O produto foi colocado no mercado há relativamente pouco tempo, com uma maior entrada, digamos assim, no último meio ano. Quando me juntei ao projecto, passámos a ter um departamento de serviços de cibersegurança.
Que serviços passaram a prestar?
Passámos a prestar serviços ao sector público e privado, com muito compliance, muita verificação com DL 65 [ndr: Decreto-Lei que define o Regime Jurídico da Segurança do Ciberespaço em Portugal], absorver as necessidades de mercado ao nível da NIS2 [ndr: legislação da UE em matéria de cibersegurança], validação de segurança para entidades privadas com testes de intrusão, simulação de ataques ajuda à correção de vulnerabilidades… ao mesmo tempo, continuamos a ser parceiros tecnológicos do Gabinete Nacional de Segurança e temos sido nós, ao longo destes anos, a auditar, por exemplo, os dispositivos da Samsung, depois utilizados em cenários que envolvem informação classificada. Este foi um trabalho que durou sete anos e, num desses anos, detectámos uma vulnerabilidade crítica a nível mundial na Samsung, inclusive fomos premiados pela marca também por causa disso.
Neste momento, de que forma continuam a colaborar com o Gabinete Nacional de Segurança?
Auditamos os sistemas que, depois, são usados em cenários que envolvem informação classificada. É a equipa técnica da Adyta, do ramo dos serviços de cibersegurança, que tem vindo a auditar a cloud do Microsoft Azure, sendo esta a primeira a estar certificada em Portugal pelo Gabinete Nacional de Segurança. Fizemos essa auditoria técnica, num trabalho coordenado por este organismo, que define um conjunto de controlos a validar e que, depois, verificamos tecnicamente se está completa ou não – já certificámos, re-certificámos e vamos agora voltar a certificar. Fizemos o mesmo para a cloud da Google e da Amazon Web Services. Podemos dizer que a equipa técnica da Adyta conhece profundamente as questões de segurança e de implementação das três maiores clouds do mundo.
Como garantem recursos com esse tipo expertise? A mensagem que o sector passa é que é difícil captar e mais difícil ainda reter talentos…
Se reparar, a Adyta nasce precisamente porque se ia perder um talento nacional que tinha quebrado uma solução certificada noutros países. O desafio surge para criar um projecto nacional, mas também para reter esse talento cá. Desde aí, a Adyta tem mantido uma parceria e proximidade grande com a universidade. Procuramos encontrar esses talentos, muitas vezes mais cedo.
A taxa de rotatividade na Adyta é elevada?
Não, só tivemos duas pessoas a sair da Adyta nos últimos anos. Uma, porque não se enquadrava no projecto, estava descontextualizada; outra, porque foi trabalhar para uma empresa norte-americana, com valores que nós não conseguimos acompanhar. Tentamos ter salários competitivos mas, acima de tudo, ter um projecto aliciante. O projecto principal é a Adyta Phone, uma aplicação de comunicação segura, com comunicações encriptadas, desde chamadas a mensagens em grupo ou de um para um; de resto, é como fazem as aplicações WhatsApp, Signal, Telegram, mas com uma grande diferença – aqui, o negócio não são os dados. Nestas aplicações, pagamos com os nossos dados, com a nossa informação, com o que dizemos e com o que pensamos dizer, incluindo o que nos arrependemos e já não dizemos.
Com «o que nos arrependemos»?
Sim, por exemplo, quando escrevemos no WhatsApp, alguém do outro lado está a ver que estamos a escrever. Se decidirmos apagar e não enviar aquela mensagem, ainda assim o servidor leu, detectou e utilizou. Na Adyta Phone, temos um modelo de licença anual, por utilizador, em que não fazemos uso dos dados, portanto, garantimos não só a segurança da comunicação, mas também, acima de tudo, a privacidade. No WhatsApp, todas as informações que são para lá vertidas – e quem o usa em termos profissionais corre esse risco – estão a ser utilizadas pela própria Meta, dona do WhatsApp. Podem estar a ser usadas para treinar máquinas de inteligência artificial, para construir bases de dados enormes, passíveis de serem vendidas e usadas, podem servir para saber quem ganha eleições muito antes de acontecerem, mas também servem para criar bases de dados de negócio. Agora, imagine entidades como serviços de saúde, que partilham relatórios no WhatsApp ou em outras aplicações livres… tudo aquilo que não seja combinar um jantar e umas saídas com os amigos devia ficar fora dessas aplicações. O Adyta Phone presta o mesmo serviço de comunicação encriptada – usamos um protocolo mais robusto que o do Signal, por exemplo – mas, acima de tudo, não usamos os dados. Tanto assim é que colocamos a nossa aplicação debaixo de testes. Foi entregue ao Gabinete Nacional de Segurança, que escolheu uma entidade terceira, neste caso o INESC, em Lisboa, que a auditou. Neste momento, somos a única solução de comunicação segura credenciada, certificada em Portugal para ser usada em cenários de informação classificada, com um uso já considerável na Marinha Portuguesa.
Prevê mais interesse na solução por parte do privado ou do sector público?
Do privado. Infelizmente, o público perde-se muitas vezes no ciclo de decisão por pessoas que estão pouco sensibilizadas para a matéria. Há sensivelmente um ano, no dia em que recebemos a nossa certificação, foi notícia que o governo de António Costa tinha comprado, por 1,6 milhões de euros, uma solução alemã que não passou nos testes de certificação – sei que o Governo não a usa por ser demasiado complexo e limitativa. Ao mesmo tempo, o Governo não se move para ter uma solução como a nossa, que custa cinco vezes menos que a alemã e que
Falta sensibilidade para os utilizadores perceberem por que é que devem e não utilizar um WhatsApp para enviar documentos governamentais, por exemplo. Esta falta de sensibilização de muitas entidades públicas é, ainda, um problema grave. Por isso, entrámos facilmente no sector da defesa. Na Marinha, a sensibilidade é altíssima, sabem que não devem colocar informação em soluções que aparentemente parecem gratuitas, mas não são, usam a nossa informação. No sector privado, a mesma coisa. É mais fácil falar com o CISO ou com o CEO de uma de uma organização de saúde, de uma empresa num escritório de advogados que percebem a necessidade de comunicações seguras, mas ao mesmo tempo privadas e que não tenham a sua informação depois a ser utilizada para outros fins que não aqueles que lhes interessa. É muito aí que queremos crescer. Começámos no mercado B2B, mas depois, ao mesmo tempo, ir alargando para o âmbito social, porque a nossa solução permite abranger igualmente o B2C. Neste momento, já pode fazer download da nossa aplicação na App Store
Quais são os passos seguintes?
Aumentar a capacidade da solução, ou seja, ter a introdução do vídeo, de uma solução Web e torná-la mais colaborativa para utilização em ambiente de trabalho. Ao mesmo tempo, queremos começar a atacar mercados internacionais. Temos consciência de que o mercado português é limitado e facilmente conseguimos com esta solução, que envolve pouca logística, começar a abraçar outros mercados.
Os outros mercados naturais serão quais?
Há sempre a tendência de irmos para o europeu e americano, porque são mais evoluídos tecnologicamente. Pessoalmente, fruto das minhas actividades na ANJE [ndr: Associação Nacional de Jovens Empresários, da qual é presidente) tenho também uma tendência para me aproximar do mercado da América Latina, pois sou vice-presidente da Federação Ibero Americana de Jovens Empresários. Posso dizer que, neste momento, já temos alguns utilizadores na Argentina, precisamente no sector da saúde, onde o objectivo é que se deixe de utilizar WhatsApp, Telegram, Signal em clínicas, para partilhar relatórios médicos, e se passe a usar uma solução segura, que garanta a privacidade dos dados.
O factor humano continua a ser o elo mais fraco de toda esta equação?
Foi anunciado, na WebSummit, a questão de termos um ChatGPT nacional por questões de soberania, e faz todo o sentido. A questão é que nós próprios, todos os dias, estamos a pôr a nossa soberania em causa com a quantidade de informação que estamos a oferecer a entidades estrangeiras, nomeadamente americanas – hoje, podem ser aliadas, mas amanhã não sabemos.
