Num contexto cada vez mais digital, e onde quase todas as interações dependem de uma ligação à internet, a União Europeia tem vindo a criar um vasto conjunto de molduras legais, não só para regular a atividade no digital, mas também para que os responsáveis por essas atividades digitais adotem políticas de segurança e de cibersegurança eficazes.
Quando lançou o famoso Regulamento Geral de Proteção de Dados (RGPD), a EU foi pioneira a regular a titularidade dos dados, o novo petróleo, segundo dizem, e, uma das formas que encontrou para o fazer foi criar uma sanção significativa para quem não cumprir essas regras. Na altura, a multa que pode ir até aos 4% do volume de negócios gerou alarme. O número é um tanto ou quanto assustador, mas, o que deixou no ar, na altura, alguma preocupação, foi o de como seria decidido e por quem seria feita a aplicação dessas coimas.
Acontece que, anos depois, e após várias iniciativas legislativas em torno da cibersegurança, eis que chega a nova versão da Diretiva Comunitária NIS 2, cuja moldura sancionatória prevês uma medida semelhante à do RGPD. Ou seja, multas que podem ir até 2% do volume de negócios dos infratores.
E se a cibersegurança já era uma dor de cabeça “tecnológica” para os gestores e para os CISOs (responsáveis de cibersegurança), desde logo pela dimensão global e geopolítica que o cibercrime alcançou, as várias legislações entretanto publicadas criaram um layer administrativo-jurídico que veio densificar e dificultar o processo de decisão e o modelo de gestão desta importante componente de proteção dos ativos digitais expostos.
Mais recentemente, soubemos que na UE houve acordo em relação aos princípios para a criação de uma Lei para a Inteligência Artificial (IA), que inclui uma componente importante dedicada cibersegurança, nomeadamente na necessidade de garantir que os modelos de IA são seguros. Por outro lado, a proposta permite antecipar uma pressão extra sobre as equipas de segurança pela exigência que faz ao nível dos testes contra vários tipos de riscos.
Contudo, o que sabemos, também, é que a única coisa que poderá impedir um ciberataque comandado por IA serão soluções de cibersegurança baseadas em IA. Ou seja, este jogo “do gato e do rato” da cibersegurança já depende de hackers éticos autónomos baseados em IA que monitorizam as chamadas superfícies de ataque – ou ativos digitais – para identificar vulnerabilidades em tempo real e, assim, permitir que se atue proactivamente para impedir a concretização de ataques.
Aliás, é por isso que o primeiro passa é mesmo o de fazer o inventário destes ativos digitais expostos, que é já uma obrigação legal e com prazo definido para entrega ao Centro Nacional de Cibersegurança (CNCS).
Contudo, estas imposições não devem ser vistas apenas como uma obrigação, mas como uma ferramenta para as empresas poderem implementar estratégias robustas de ciberdefesa adequadas à sua “dimensão digital”.
O cibercrime já deixou de ser apenas uma questão de engenharia social, dependente do fator humano e tem, cada vez mais, origem em tentativas maliciosas automatizadas.
E o melhor agente para combater essa evolução só mesmo um hacker ético simbiótico, capaz de combinar a inteligência natural do ser humano com a inteligência artificial da máquina.
Jorge Monteiro, CEO da Ethiack