Outro risco crítico reside na complexidade crescente dos ambientes híbridos e multicloud. «A falta de visibilidade integrada cria pontos cegos perigosos», afirma. Por fim, António Correia destaca o factor tempo como um dos elementos mais desvalorizados. «A diferença entre detectar um ataque em segundos ou em dias pode determinar se o impacto é mínimo ou catastrófico». E conclui que, «a resiliência futura passa por assumir que o ataque é inevitável e preparar-se para o detectar, conter e mitigar com a máxima rapidez possível».
Cibercrime industrializou-se
David Grave, Security Director da Claranet Portugal, acredita que a assimetria entre o custo dos ataques e o impacto para as vítimas resulta de um processo de industrialização que avançou a um ritmo muito superior ao da maturidade defensiva das organizações. «O cibercrime industrializou-se, enquanto a maioria das organizações continua a tratar a cibersegurança como um custo e não como um investimento estratégico», afirma.
O responsável descreve um ecossistema criminoso altamente eficiente, estruturado como uma verdadeira economia paralela. «Estamos perante uma economia altamente eficiente, com cadeias de valor bem definidas, especialização de funções e modelos de negócio sofisticados», sublinha. Neste contexto, explica, «um atacante pode adquirir credenciais comprometidas por valores extremamente baixos, alugar infra-estrutura de ataque por algumas dezenas e lançar uma campanha de ransomware com automatização, com retorno potencial de milhões».
A assimetria reside, sobretudo, na lógica de risco e retorno. «O atacante só precisa de acertar uma vez para ter lucro infinito, enquanto o defensor tem de acertar 100% das vezes apenas para manter o negócio a funcionar», afirma David Grave. Do lado das vítimas, o impacto multiplica-se porque os custos não se esgotam na vertente técnica. «São custos operacionais, reputacionais, regulatórios e, muitas vezes, existenciais», refere. No caso das pequenas e médias empresas, o risco é ainda mais crítico. «Uma PME que perca acesso aos seus sistemas durante uma semana pode simplesmente não recuperar». Para o responsável da Claranet Portugal, «a assimetria existe porque o atacante joga com probabilidades e escala, enquanto a vítima joga com a sua sobrevivência».
Este desequilíbrio é agravado, segundo David Grave, por um problema persistente de literacia ao nível da gestão. «Muitos decisores ainda veem a cibersegurança como uma questão “de informática”, delegável e distante das prioridades de negócio», afirma. Esta visão cria frequentemente um paradoxo: «Investem milhões em transformação digital e resistem a alocar uma fracção desse valor para proteger esses mesmos investimentos».
Na prática, explica, trata-se de uma aposta de alto risco. «Poupa-se no orçamento anual de segurança, ignorando que o custo de recuperação de um ransomware – que inclui paragem operacional, danos reputacionais e multas regulatórias – é exponencialmente superior». Para David Grave, este comportamento está também ligado à forma como o risco é percepcionado. «A natureza humana e a lógica empresarial tradicional tendem a desvalorizar riscos intangíveis até ao momento em que se materializam». É por isso, acrescenta, que «é mais fácil para um CIO obter orçamento para “apagar um incêndio” após um ataque bem-sucedido do que garantir investimento prévio em serviços SOC ou na formação dos colaboradores».
A evolução da inteligência artificial veio acelerar ainda mais esta dinâmica. David Grave considera que «a IA democratizou a sofisticação». Ataques que antes exigiam equipas especializadas e semanas de preparação «podem agora ser orquestrados em horas». Um dos exemplos mais claros é a engenharia social. «A IA permite escalar este tipo de ataques, criando phishing praticamente perfeito, em português correcto e contextualizado», afirma.
