[Música] bem-vindos ao da capa contra capa os indivíduos e as pequenas médias empresas foram as vítimas mais frequentes de ciberataques em Portugal no ano passado no entanto quem mais sofreu impactos destes ataques foi foram organismos da administração pública estes dados estão no último relatório do Observatório de cibersegurança do centro Nacional de cibersegurança e mostram-nos como a Ameaça é transversal e obriga à prevenção e resposta de todos do simples cidadão às grandes empresas passando pela máquina do Estado estamos preparados para estas ameaças como é que podemos ficar mais cibers seguros é o tema da capa a
contracapa desta semana com base no livro A cibersegurança agoraaa fris Man dos Santos daor deed ve Professor ctic apent departamento informática da fa de ciências da Universidade de Lisboa um dos nossos Convidados no progama de hoje que se junta José alegria ex responsável máximo de cibersegurança da al e atualmente Board advis da Red shift Global com eles vamos falar sobre cibersegurança em Portugal Muito obrigado pela vossa presença é um gosto recebê-los aqui Pedro Veiga já tinha estado aqui numa conversa prévia sobre este assunto e num outro programa que quem quiser ouvir pode voltar a ouvir
é a vantagem da nossa natureza Digital dos podcast Onde esta conversa também se insere e talvez vamos começar por por olhar um bocadinho para os incidências ameaças Pedro Veiga eu fiz esta referência do do relatório que serve para perceber o tipo de incidentes que mais Digamos que mais T atingido eh as diferentes entidades desde desde digamos das do cidadão normal até às às às grandes empresas Fishing smishing Engenharia social ramare estas ameaças são ciber ameaças sse em Portugal com igual h digamos peso Face ao resto do mundo é é a mesma ameaça que que vai
pelo mundo fora em primeiro lugar Obrigado pelo convite para poder vir aqui falar sobre vários temas do livro que que que escrevi e o relatório que referiu mostra penso a ponta do iceberg os problemas São enormes muito graves e muitos não são Reportados porque para já muitas vezes as em não se aperceberam deles Aliás o John Chambers que foi CEO da sisco durante muitos muito tempo dizia que há dois tipos de empresas as que já foram atacadas e sabem e as que já foram atacadas ou estão sob ataque e ainda não sabem e portanto esse
tipo de problemas por exemplo o ranser Há muitas empresas e já agora para para o público entender ranam basicamente é um software que entra no nosso computador por várias Vias múlti as vias normalmente por falta de proteção ou erros dos utilizadores e cifra o conteúdo da do do dos dados do computador e depois pede um resgate palavra inglesa ranam é Resgate E isso tem sido e um ataque muito comum no estrangeiro e em Portugal também por exemplo no setor da Saúde porque é um setor em que se os sistemas paralisarem há vidas em risco e
portanto essas entidades são tentadas para salvar Pessoas a pagarem o resgate mas também atinge pessoas individuais por por descuido já agora eu há uns anos fui coordenador do centro Nacional de cibersegurança e foi durante e os primeiros meses em que lá estava que houve um dos maiores ataques de rança muer que que à memória mas portanto há imensos tipos de ataques o a engenharia social que referiu é o nome e nos remete para outras questões o que é que é engenharia social pronto eh para já eu Eu refiro no livro a que não gosto nada
do termo engenharia social porque eu sou tenho formação de engenheiro e associo engenharia ao uso de conhecimento científico rigoroso para fazer algo e o termo engenheiria social hoje é usado para aquilo que que eu também que sou mais velho devia enganar o outro portanto é manipular as pessoas e tentar que elas sejam enganadas o termo engenheria social e depois o José alegria que tá aqui ao lado poderá Também comentar sobre isso é um termo que me repugna um bocadinho mas basicamente é enganar as pessoas o os últimos meses têm sido marcados e eu não tive
tempo na no livro de referir isso porque são coisas muito recentes aliás estão a acontecer um ritmo enorme eh por exemplo o famoso ataque eh Olá pai Olá mãe sim em que uma pessoa recebe uma mensagem Olá pai Olá mãe a dizer perdi o telemóvel estou a Telefonar de um telemóvel estou a mandar mensagem do Telemóvel de um amigo faz favor envia-me 50 € e outro tipo de ataques estes muito recentes a semana passada em que utilizando a técnica de spoofing spoofing basicamente é conseguir falsificar o número do chamador aparece um número de uma entidade
que que em princípio é credível como a polícia judiciária as Finanças a Hospital ex e as pessoas vão atrás do que lhe é dito do outro lado e normalmente o o o objetivo dos Criminosos é roubar dinheiro a pessoa é levada a transferir dinheiro uma ameça cada vez mais sofisticada exatamente a tecnologia tem vindo a aumentar eh Há também quando eu era coordenador do centro ci segurança Lembro uma vez ir a uma reunião em Bruxelas com o vice-presidente da comissão europeia em que ele no meio do que disse ISS a o cibercrime neste momento é
uma indústria muito rentável porque com relativamente poucos recursos Conseguem-se meter cometer grandes golpes e portanto há uma indústria por trás disto o Fishing é mais pessoas conhecem mais com mais ouve já ouvem mais falar do do que do que outras dimensões é porque afeta mais o cidadão do que outras entidades não o Fishing foi das primeiras tentativas que houve que era através de mails o famoso caso do príncipe da Nigéria começou no início da década de 90 do século passado em que as pessoas viam um mail que prometia Mundos e Fundos e para a pessoa
trans para para a pessoa receber na sua conta dinheiro do príncipe da Nigéria foram os primeiros depois a tecnologia usada foi evoluindo para o smishing através de SMS ou mensagens WhatsApp que são equivalentes e há também o vishing que é Voice Fishing que é telefonam para uma organização fazem-se passar isso pode ser em simultâneo com o spoofing fazem-se passar Como estando a telefonado de uma empresa e com Insinuações portanto são pessoas que são treinadas começam a insinuar-se e a pessoa do lado de lá acaba por fazer algo que não devia tipo por exemplo estou-me a
lembrar de alguns casos que aconteceu nos últimos e meses telefonam dizer olha aqui é da empresa x ou do e o nosso Iban mudou e tivemos necessidade já não é este é este dão um número Ban diferente Quando fizerem a transferência bancária façam para este novo bem e a pessoa cai na Esparrela para usar um termo comum certo José alegria Eh este tipo de ameaças pendem mais sobre o cidadão comum ou as grandes empresas a que a sua vida esteve sempre ligado também eh digamos padecem da mesma vulnerabilidade sobre esse esse ponto de vista quero
chegar é se a realidade de facto da da grande empresa mais preparada com departamentos de Tecnologia acaba por ser sujeito ao mesmo tipo de Ameaças do nosso cidadão no seu telemóvel no seu PC em primeiro lugar muito obrigado pelo convite deixa-me clarificar algo o que se referiu de ameaças são há dois tipos diferentes um são meios para e outra é consequência do Meio para o Fishing não é em si o o objetivo final o Fishing tem como prioridade a captura de credenciais a primeira prioridade do Fishing é a pessoa de forma ingénua dar informação que
permita depois a quem Adquir as credenciais acabadas de roubar através do método de ataque Fishing o chamado chama-lhe o o attaque Vector Portanto o vetor de ataque o Fishing o smishing muitos deles são de ramsonware é o resultado final para chegar ao ramsonware o atacante final utiliza as credenciais que foram roubadas através de uma campanha de Fishing para depois com base nessas credenciais poder entrar legitimamente entre aspas porque tem as credenciais nos computadores dos visados Aqui a relação entre cidadão e empresas está ligada porque Se roubarem a sua credencial enquanto cidadão você Alegremente está em
casa a trabalhar no seu computador ligado à empresa e particularmente quando foi da covid isso aconteceu em casa então é um um passo intermédio as pessoas são são roub as credenciais mas o objetivo último obter da conta bancária do Home Banking desse cidadão ou obter acesso à empresa e isso é feito depois num segundo estágio Portanto temos hoje o crime organizado é uma autêntica organização vertical e tem subcontrato subcontratadas no chamado roubo de credenciais uhum não são eles que fazem o ataque final Eles apenas roubam credenciais validam atribui-lhe um preço se é credencial de um
administrador de um sistema por exemplo que tem privilégios de acesso a sistemas de e centrais numa organização o valor Dessa credencial que é prévidi testam sem sem fazer grande ruído Isto é de forma subí e Então essas credenciais esse conjunto de credenciais é posto à venda para uma entidade que depois tá é especializada no ataque portanto estamos a falar o cibercrime isto é uma área que as empresas têm que investir que é ciber criminologia e em Portugal há muito poucas pessoas a exceção da PJ Malta que vai que regressou de europol grandes entidades Que são
pessoas como o meu caso como chif information Security Officer que tem que ter como obrigação estudar os modos operandis dos vários grupos de cibercrime são completamente diferentes aqueles que se especializam a a tentar opter credenciais para fazer fraude do ponto de vista do Banking do que aqueles que estão especializados para lançar um ataque agressivo de R saner aliás nos Estados Unidos o Ram saner já começa a ser já já Há muitas Pessoas como eu especialistas nesta área que querem que reclassifique o Ramos aner não como um ar de cibercrime mas como ar de ciberterrorismo Ah
porque muitas vezes o rácio entre o o lucro do assalto versus a destruição particularmente nos hospitais quer dizer uma pessoa que lança um ataque de de de ramson w sobre um hospital público que muitas vezes não tem dinheiro para pagar o ramson e deixam Hospital durante 10 dias ou mais sem poder ter acesso aos Registros dos seus clientes isso é um ato de terrorismo hoje não é assim que é classificado é classificado como cibercrime e podíamos associar isso também a outras infraestruturas ditas críticas completamente portanto Complet IMP ter completamente is aconteceu há uns anos no
no no Nosso principal fornecedor de energia elétrica aconteceu eh felizmente não teve impacto na componente operacional teve impacto em questões de negócio portanto não afetou O serviço aos clientes mas podia ter afetado mas aconteceu nos hosp o hospital Garcia da horta teve um ataque de raman noer que de facto afetou os serviços portanto existe uma uma uma um leque grande de métodos portanto a engenharia social é um método para estorquir e o termo é esse estorquir credenciais de um cliente não avisado e e e e hoje está altamente sofisticado para poder mesmo pessoas com formação
que podem cair nessa nessa situação e e Portanto há uma um um Eu costumo dizer que a relação entre o entre a cibersegurança na cibersegurança entre o cibercriminoso e quem faz a ciberdefesa é um jogo do ponto de vista de teoria dos jogos é um jogo assimétrico quem tem que defender tem que defender nem frente em toda a frente de ataque portanto que ele não sabe não sabe prever por onde é que vai o ataque incidir e Quem ataca pode especializar e diz-se que o criminoso está sempre um passo à frente Tá tem tem aliás
Isto é conhecido não é os os criminosos sempre utilizaram a tecnologia de forma mais digamos tiveram uma preocupação e fazem investimento em tecnologia de forma mais eh primeiro que quem defende e tem muitas vezes um nível de de conhecimento muito grande muitos destes grupos criminosos estão tem uma relação estranha com os estados de nação eh por exemplo vou usar a palavra alegadamente não é porque nessas coisas com base na China Coreia do Norte irão e união e Rússia muitas vezes estes hackers são tolerados nessas Ness nesses países desde que não ataquem as suas próprias infraestruturas
porque depois dão um jeito quando o estado precisa de organizar que queria levar mais paz para a frim da nossa conversa ainda ainda neste tópico alegria falou logo à cabeça da nossa conversa em crime organizado quando e falou em ciberterrorismo portanto Estamos a falar de estruturas interessadas numa destruição No Impacto sim mas que o causa um c não não não não não não nós felizmente não não não temos sentido vamos cá ver o c não o cber criminoso é intenção é financeira Ok é uma empresa eles querem lucro não ganham nada e muitas vezes destróem
por alguma incompetência no processo e e o efeito colateral do Objetivo queer ganhar dinheiro causa Causa estragos e muitas vezes não é pensado dou um exemplo alguém que ataca um hospital público não sendo um ativista ou um sendo terrorista sendo um cibercriminoso é que não fez o trabalho de casa para perceber que aquela entidade Ele estão convencidos que aquela entidade sendo um hospital tem dinheiro como hospitais privados nos Estados Unidos e pode acontecer que não que é um hospital público não tem mas a esmagadora maioria dos chamados Cibercriminosos o objetivo é financeiro e é esse
que eu enquanto responsável de empresa Estou preocupado porque os ativistas muitos dos dos atos de ativismo uhum não sendo ativismo eh orientados por exemplo no caso do Ucrânia versus Rússia que são ativistas altamente especializados e que são e que que são perigosos porque tê um Noal muito grande a maior parte dos ativistas são os chamados script Kids são Miúdos Que muitas vezes com algum Noal não esses não não preocupam organizações com mínimo prep o problema está na questão organizada preocupam organizações não Preparadas sim mas a minha questão direcionava-se para o seguinte a escala Financeira no
fundo que está a falar eh remete-nos pergunto-lhe para ataques cada vez mais dirigidos onde realmente há grande verba eventualmente no no alvo certo e menos ao cidadão ao pequeno crime Vá é como se fosse a grande criade e o Crime são grupos diferentes estes grupos organizados H que alegadamente tão Associados a países particularmente irão e Coreia do Norte que tem restrições grandes bloqueios do ponto de vista de circulação financeira eles têm que angariar dinheiro e portanto o objetivo primário deles é é financeiro o que não quer dizer que os mesmos técnicos em situação de de
de Crise de ordem mais militar não sejam usados para para lançar ataques com com impacto com impacto mais destrutivo mas repar para o ciber crime isto não é útil que é que eles ganham em lançar um a não se que alguém pague há situações é que há uma terceira parte que paga para destruir por exemplo uma empresa que está em bolsa para privatização é conveniente para baixar o preço da cotação que tenha um ataque destrutivo não é não haja não é Ramsonware aquilo que se chama wipe weare wipe é limpar em vez de encriptar os
dados apaga os discos todos apaga o sistema houve uma empresa em Portugal que há uns anos atrás que sofreu um ataque desse tipo nunca se consegue muitas vezes perceber a origem porque nossas próprias forças de segurança têm dificuldade em putar e e o o digamos quem quem tá por trás dis as nossas portuguesas ou as europeias eia há de reparar que na maior parte dos Relatórios é alegada a palavra alegadamente nunca nunca vem Preto no Branco eh São raros os casos em que acontece isso portanto existe também este modelo que é o modelo um modelo
económico que é uma terceira parte paga um grupo de hackers para destruir uma entidade cujo objetivo é baixar e o preço o preço cotação para que possa ser haja uma uma aquisição é menos menos comum agora e do ponto de vista do da da da do ataque mais de caráter destrutivo Como com motivação de estado nação eles existem até porque estes grupos muitas vezes são utilizados os mesmos recursos são utilizados em configurações diferentes mas isso eh não é comum acontecer e por uma razão Evidente nenhum estado de nação quer mostrar o seu jogo assim com
o estado de nação lança um ataque eh à séria um ciberataque à séria tá a demonstrar o que sabe o que é capaz muitas vezes está a demonstrar que tem a rede do atacado Já comprometida e muitas vezes tem as redes eh de potenciais alvos no futuro já comprometidos para quando for mesmo necessário portanto não andam a lançar ataques desses todo o dia percebe muito bem eh aqui pano para mangas eh Pedro Veiga uma das frases eh que qualquer pessoa compreenderá do seu livro é esta o l mais fracos são as pessoas e até põe
um ponto de exclamação no seu livro dizendo que usa-se muito isto nestes contextos de cibersegurança Aqui podemos ligar também ao cidadão eh porque foi muito bem colocada a questão do da a covid-19 trouxe a questão do teletrabalho a entrada mas também serviu ou não pergunto-lhe para que as pessoas tivessem mais noções que pudessem prevenir incidentes de cibersegurança estou a falar do cidadão Mas também da sua responsabilidade em relação à empresa eh O que é que acha sobre isso bem eu no livro falo do El Mais Frack são as pessoas em vários contextos por Exemplo numa
empresa eh podem ser os dirigentes que não se apercebem da importância de proteger as suas infraestruturas não há uma verdadeira governação da digitalização da empresa outra podem ser os técnicos que na parte técnica implementam a segurança Há uma grande falta de Recursos Humanos muitas vezes esses recursos humanos são caros e nem sempre tem a qualidade desejável porque há uma grande falta de Recursos Humanos portanto é um outro Elo fraco é o pessoal técnico que não tem as competências não se atualizam Porque isto também está a evoluir uma grande velocidade e depois mesmo nos departamentos não
técnicos aquele exemplo que eu dei há pouco de uma pessoa que recebia um telefone-me a dizer o Iban mudou sim por exemplo na parte financeira os funcionários têm de ser os trabalhadores têm de ser formados relativamente ao tipo de ataques à sua Evolução portanto a formação tem de ser consecutiva para não cometerem os erros uma empresa que não investe na formação dos seus trabalhadores não vai longe desse ponto de vista não estou a falar dos departamentos tecnológicos das empresas estou a falar do trabalhador que não lida digamos Tecnicamente com essa questão sim até pessoas que
estão um balcão atender ao público podem ser manipuladas para para cometer alguns tipos de crimes sem sem se perceberem há Vídeos no YouTube muito curiosos sobre ataques desse tipo Portanto o El mais fraco são as pessoas também se refere ao facto de hoje em dia os smartphones estão tão divulgados as pessoas têm sua mão na sua carteira um equipamento altamente sofisticado muito mais poderoso do que os equipamentos com que eu comecei a aprender programação e o E também o caso José alegria e e as pessoas não sabem não se percebem da complexidade e fazem as
as maiores ag Neiras por exemplo instalar apps por tudo e por nada e depois as apps já não fazem falta e as pessoas não as apagam ou não as o atualizam já agora há poucos dias passei no centro col Estava à espera de uma loja abriss violado H uma barbearia que tem uma app para a pessoa marcar um corte de cabelo portanto hoje em dia há apps para tudo e há uma app famosa que agora aparece aí nas redes sociais que promete umas compras e a preços supostamente muito Baixos que eu conheço imensas pessoas que
instalam portanto as pessoas instalam apps sem se preocuparem com o que é que tão a partilhar portanto quando aparecem Aqueles contratos a pessoa diz partilha tudo possa aceder aos seus ficheiros possa aceder às fotografias à localização portanto as pessoas são o elo mais fraco porque são são desmazelada e depois há um outro aspeto que é por exemplo a proteção com pinos Ou com impressões digitais Muitas pessoas não têm o cuidado de proteger suficientemente o dispositivo porque depois também há a segurança física que é importante já agora vou pegar num assunto que aconteceu há poucos dias
o roubo de computadores no ministério eh da administração interna sim a segurança física dos equipamentos também é importantíssima deixar equipament não basta dizer o computador não tem nada de eh a segurança física também um pouco Difícil acreditar que um computador possa não não sei sobre isso não não me sinto à vontade para comentar mas não estou falar do não estou a falar do caso em si mas numa entidade que tem uma supostamente uma ligação em rede de alguma forma alguém pode pela segurança física que é violada pode chegar de facto à rede há há imensos
trues para fazer mas por exemplo o meu o meu Smartphone eu vejo muitas pessoas com smartphone como ebol e dão o smartphone À criança se cair ISS partir o equipamento se não tiver feito cópias de segurança as pessoas perdem imensa informação valiosa que tinham no no seu equipamento queria dizer aqui de facto houve-se sempre que o ser humano é componente mais o El mais frágil sim mas exatamente por isso é potencialmente mais o El Mais Fraco mas exatamente por isso nas organizações é absolutamente fundamental que exista governança que exista alguém porque Estas coisas evoluem com
uma velocidade tal se não houver alguém que apoia a comição diretiva mas com reporting direto de forma a garantir que as diversas frentes estão acauteladas e uma da maneira de acautelar é é esta é é um bocado irresponsável por apenas a responsabilidade nos pobres colaboradores se o responsável da segurança de uma organização não garante por exemplo aquilo que se chama o fator duplo de autenticação sabendo que o rub Credenciais é já um lugar comum existe acabei de dizer há bocado que existem grupos especialistas que coisa que fazem é roubar credenciais Então temos que garantir que
não basta a credencial para entrar num sistema relevante da empresa tem que no telemóvel tem que ter um Outro fator de autenticação que é para que um um terminou que tenha roubado as suas credenciais à partida não roubou o seu telemóvel porque o ataque foi virtual não foi remoto não roubou o Telemóvel não vai conseguir introduzir o segundo fator autenticação responsabiliza aquele responsável específico desta área tecnoló não deixa ent não entra não claro não eu responsabilizo o CEO o CEO eu responsabilizo o CEO E para isso é que serve um bom um bom governador da
cibersegurança para aconselhar o ce a saber o que deve fazer portanto nós temos garantir que não há ponto de acesso a uma rede de uma organização Apenas com as credenciais não pode e já agora não pode ser com a impressão de estal porque isso é coisa mais simples de roubar explique lá isso a impressão de estal é coisa mais simples para roubar só houver outros mecanismos que para além da impressão de estal for tentar a temperatura eh obter algum ritmo cardíaco já é mais difícil que tinha que mesmo um dedo cortado já não apanhava o
o Agora é fácil qualquer jovem que tenha um curso de introdução à Segurança sabe fazer uma película roubá-las a pressão digital num um copo não é e portanto com base nisso entrar pôr um dedo falso no nos sistemas biométricos portanto os sistemas biométricos mais robustos são os da retina e portanto os os os das impress estal são coisas muito fracas para isso tem que estar próximo de mim não tem não faz isso na China mas o tema aqui é o roubo da credencial e por isso o fator duplo de autenticação isso deve-se Aplicar para as
vpns que as pessoas acedem de casa a rede da empresa tem que entrar por um por um sistema de segurança Esse sistema de segurança deve impor um fator de autenticação Esse sistema de segurança não deve permitir acessos vindos da China vindos da Rússia deve garantir que são acessos que vêm do país e que eh eh São acessos de um browser que é que está que que é que é reconhecido como Standard na organização não pode permitir acessos anónimos eh e Portanto há um conjunto de coisas básicas que o tal Governador que que é o Chief
information Security Officer que deve reportar administração diretamente a um administrador não deve ser um departamento tá em baixo debaixo do it deve garantir que estão eh eh disponíveis os mecanismos e tem que ser de utilização eh obrigatória nós na empresa em que eu estava anteriormente na alti só havia um colaborador que era invisual Eh portanto que tinha outro método e tinha um IP fixo tinha nós arranjamos outros métodos para ele o resto dos colaboradores eram obrigados Universal desde o presidente ao colaborador não há e Tolerância Zero em relação a acessos acessos pois há sistemas Ultra
críticos e sistemas Ultra críticos não podemos permitir um colaborador ligar-se diretamente a ele não não quer não vou entrar com com questões técnicas mas os sistemas de gestão da das identidades Numa organização tipicamente numa rede Microsoft é active directory nunca o administrador da Active directory pode fazer login diretamente lá não pode tem que passar por um uma uma infraestrutura intermédia que é altamente segura a que essa infraestrutura é que faz logo a NAD o técnico não faz sim Portanto ele nem sequer sabe passord Mas voltando à questão da governação é aqui que está o a
principal pecha na sua perspectiva por exemplo em Portugal uma delas porque se Não houver o aquilo que eu chamo Governador e se não tiver uma doutrina de cibersegurança ele vai gerir como com base na última moda no naquilo que o último vendor lhe veio dizer e agora temos um problema enorme com a área com as áreas comerciais da da cibersegurança tudo agora a serve cel tudo é uma uma Silver Bullet não há vendedor nenhum que não venha para o cliente os seus problemas vão desaparecer porque agora é ência artificial tá tudo maluco se não Houver
alguém do lado da organização que sabe pensar estas coisas que tem preparação tem Maturidade isto num Cis não é um miúdo com 24 anos sim que tem maturidade para aconselhar a administração Porque isto custa dinheiro a fazer os investimentos necessários e suficientes nunca é total você nunca vai conseguir-se 100% mas com base no conhecimento da da da das hipóteses da e dos riscos que você tem em relação aos ativos que tem que proteger mais você Não vai proteger tudo de forma igual não é sim eh os ativos mais críticos você vai ter uma arquitetura de
segurança e vai ter os mecanismos e os processos que vão reduzir a probabilidade de ter um ataque e onde é que estão essas pessoas já pois pois e diz que não é não não pode ser um alguém de de 24 anos sim mas mas a vida começa-se a fazendo não é com experiência isto mas a questão é as pessoas não chegam Generais não chegam a Generais sem sempre passar por Tenente Pron e temos coroneis tentos coroneis nas empresas portuguesas vend vão havendo agora se as empresas não não reconhecerem a necessidade dessa função e há estrangeiros
também não vej porque é que tem que ser um português não pode fazer um um contrato de Serv po time inclusive pode fazer um Sim sim mas empresa especializada naquele process CTO e não tem que ser Full Time hum em função como empresa da dimensão da minha anterior é obrigatório Que fosse Full Time porque ela era grande e na por cima tinha o outras empresas noutros países agora a maior parte das empresas portuguesas não de facto precisam de ter um Ciso Full Time podem ter um Ciso parttime agora esse Ciso é que tem que reportar
alguém da administração e usanda também a sua experiência Portugal está muito atrás nisto está igual a Espanha França como é que como é que estamos comparamos V do ponto de vista tecnológico estamos Comparáveis o problema é do ponto de vista de governança H há cinco dimensões na doutrina que eu defendo que é a governança que é para mim é o problema principal e e essa governança se tiver bem montada depois arrasta as outras e e faz com que o trajeto da cibersegurança seja gerido e seja gerido digamos numa Coligação de Poder com a administração e
com os principais diretores de forma a se fazer o que tem que ser feito pois há o nível da prevenção que é razoável na Muitas empresas eu diria que na administração pública talvez nem tanto mas na maior parte das empresas eh cotadas eh e que e que são responsáveis de infraestruturas críticas é uma área que é razoável a área de proteção também a área de deteção rápida e contra resposta h não não tanto tem que ser trabalhada aliás em 2022 os ataques principais Neste País foram detetados PS facto O que é uma coisa que para
a minha profissão é triste não é uma pessa de Ser detetar que que que o ataque de raman noer destruiu tudo pelo pelo presidente a Telefonar aos berros ao responsável da segurança O que é que se passa portanto essa é uma área que precisa a contr contrar resposta é a forma como não deteção primeiro e a cont contrar resposta porque repar os ataques são são em segundos eles podem estar às vezes meses a preparar o ataque sem ninguém ter ter detetado a terminologia americana é stealth portanto é estão Entraram na rede com credenciais roubadas e
ninguém detetou isso ok e de repente lançam atar a contrar resposta é a resposta imediata do ecossistema Claro falhou a prevenção falhou a proteção tipicamente é tecnolog é baseada em tecnologia trancas à porta não sistemas de firewalls e coisas são a tecnologia deteção é não é um técnico analista saber perceber de onde é que o ataque e desligar a contraposta é fechar as portas que ainda possam estar abertas Examente e fechar e desligar máquinas e e e contar responder e isso é contraposta contrar resposta é travar travar por intervenção humana é como no incêndio o
incêndio já está Já já deflagrou prevenção era evitar que o incêndio acontecesse proteção er evitar que o incêndio se propagasse os corta fogos mas o incêndio propagou-se agora vem os bombeiros não é isto a metáfora para a floresta é a mesma o bombeiro é contra Resposta finalmente é a recuperação porque mesmo que se investa como consegue protegir a 100% há de haver um atacante um dia que conhece tão bem a sua organização e tem tanta motivação para investir tempo atenção tem tem que perceber do lado do atacante está um negócio e portanto se é um
negócio ele tem que se vai medir eh o tempo que vai investir paraou atacar a si porque os ataques são oportunístico muitas vezes eles atacam o país fazem um Scan e digam Assim Quais são as as empresas que estão mais desprotegidas E são essas que são atacadas Ou aquelas que geram mais valor onde pode estar mais dinheiro não é duas cois CR são as duas coisas portanto se apanham uma que tá resolvente protegida se não tem uma motivação muito grande para atacar essa vão lá vizinho vão ao lado você conhece aquela ota do Gordo e
do magra fugir do leão não é quer dizer eu deixo que corra mais que tu uma pioda sem graça mas aplica-se aqui na Cibersegurança muitas vezes nós temos que garantir o nível razoável de proteção porque sabendo que o ataque tipicamente é oportunístico significa que quem tiver mais desprotegido naquela zona tem uma probabilidade maior ser el o atacado e não quem Tá mais protegido A não ser que o ataque seja mesmo encomendado para aquela entidade específica portanto atacar custa dinheiro e portanto você tem que garantir é que o seu investimento força O atacante a a a
duplicar ou triplicar o investimento necessário para o atacar portanto é sempre esta regra Até que talvez o desmobiliza só o objetivo é o desmobiliza porque há de haver sempre um um meio isso é a última parte da sua doutrina que é parte da ele conseguiu atacar mesmo com todos o as estratégias que você tenha de governança de prevenção de proteção e de deteção e cont contrar respostas rápidas é no fim do dia pode acontecer isso pode Acontecer é bom que esteja preparado para recuperar a empresa não numa semana mas em 4 horas ou cinco é
recuperar seria na metáfora da floresta à reflorestação sim mas isso demora o tempo que demora Ok mas numa empresa não pode demorar duas décadas agora eu posso complementar uma pequena coisa que é a importância do ciso ou do Chief Security Officer mesmo que pode ter assente no bordo é o problema dos planos de contingência as empresas também devem Estar preparadas para se a sua infraestrutura colapsou E demora algum tempo a recuperar ter planos de contingência O que é que fazem estou-me a lembrar de um exemplo que aconteceu aqui que não quero explicitar de uma empresa
que perdeu toda a sua informação como é que eles continuavam a operar nessa situação por exemplo pagamentos de vencimentos como é que é se todo o sistema da contabilidade parou e foi no dia 29 e o no dia 30 tem De ser pagos os vencimentos por exemplo o plano de contingência posso dizer paga-se os vencimentos iguais ao ao mês anterior e depois fazem-se as eventuais correções de férias de faltas etc é preciso planos de contingência que são uma parte integral de todo o planeamento já agora há um outro pequeno aspecto que eu tinha aqui nas
minhas notas que gostava de falar por exemplo é a política das empresas relativamente ao uso de penes USB as p deixa-me só Complementar esta da da contingência já vamos são são coisas diferentes um dos aspectos fundamentais de um Ciso maduro que tenha digamos uma boa empatia intelectual com a administração porque tem Tero é o Chief information Security Officer portanto que é fazer as pessoas caírem na real perante um um um um os salários T que ser pagos mensalmente mas o serviço ao cliente tem que ser dado na hora ut telecomunicações ou ou uma uma empresa
De televisão vai est preocupado que não consegue faturar e corta a televisão quando até até poder pagar os salários dos seus empregados não nem que o serviço seja dado borla é preciso é pôr de novo a infraestrura fun é preciso perceber Qual é a infraestrutura o chamado nível zero que tem que estar operacional não também da rede informática os serviços de produção a questão dos salários tem um mês tem que ser resolvidos e pode-se ter uma tática Que é Olha vou pagar o último salário e acertamos depois não é agora orora ter tudo parado à
espera de que estes múltiplos serviços que não são críticos do ponto de vista do serviço direto ao cliente o serviço direto ao cliente um hospital tem que continuar a receber doentes não é portanto muitas vezes não tem esta Ótica os planos de contingência que eu tenho visto são megaloman e nunca são implementados Porque toda a gente quer na empresa 4 horas de resposta tudo 4 horas de resposta sim é toda a gente toda a gente acha que os seus sistemas são críticos e acha que isso é exequível claro que não nunca é produzem relatórios 600
páginas não é feita por um consultor custou uma pipa dinheiro mas depois não é implementado no orçamento independentemente H razoabilidade Nem Há razoabilidade independentemente das se a empresa não tiver uma atitude militar para isto fazer a triagem e saber o que é que é Nível zero o que é que é nível um nível dois e ter planos manuais para para ir compensando os sistemas que podem demorar mais tempo não é eu não posso ter um plano manual para ser para fazer entrega de canal de televisão nem vocês na rádio podem ter um plano manual para
garantir que têm broadcasting não é portanto há que perceber agora podem fazer um plano manual para gerir algumas atividades e esse tipo de de de razoabilidade tem que ter um espírito Que eu chamo militar os militares em situações de combate sabem fazer isso particularmente os médicos militares não é triagem o que é que é urgente o que é que é menos urgente O que é que não é e é este tipo de de conceito que muitas vezes não se vê não se vê na consultoria que lida com com estas áreas é muito muito abstrata muito
top Down muito romântica muito fofinha e depois na prática aquilo não não não resulta nada que não é prática e as penes pois as Penes é um exemplo de uma coisa que eu ia falar que devia estar no plano de segurança da uma empresa mas agora há empresas que proíbem o uso de penes as penes são um instrumento de entrada de malware ou vírus para simplificar nas redes das empresas e são um método de roubo de dados de funcionários pouco eh preocupados com a sua empresa ou outros que por distração há um caso famoso que
aconteceu há uns anos alguém encontrou na rua uma pene meteu no Computador para ver o que tinha já agora aconselho é que não metam uma a pene diretamente no computador que pode estar infetada já agora um método usado para AT quear grandes empresas é espalhar a entrada da empresa umas quantas penes infetadas alguém apanha mete no Drive se não tiver protegido e insere o vírus dentro da empresa Então como é que deve fazer e proibir proibir e o uso de penes que é o que fazem empresas como IBM mais uma vez Po IMP portanto H
software hoje h tecnologia que garante que você não pode à P Sista faça o que faça o sistema não aceita não deixa abrir e apita no no serviço de roteção apita que aquele senhor pôs uma p mas o Exemplo foi uma pen que foi encontrada em londras uma pessoa pô eram os planos de segurança do aeroporto a entrada onde entrava e saí à rainha eh portanto alguém um funcionário muito Zeloso tinha posto aquilo na pene para ir para casa e para trabalhar em Casa por acaso perdeu a pene e hoje em dia uma pene pode
ter Quad de informação brutais é um pequeno exemplo de uma política de segurança proibir proibir não resulta até porque com vidaas pessoas est em casa é garantir que e é responsabilidade da empresa fazer um investimento para garantir que isso não é possível quando fala em contingência onde é que entra os aquilo que os o cidadão com entende como backup Ou seja eu eu eu como cidadão tenho posso ter Uma um conjunto de materiais no meu computador mas depois tenho rígidos ou onde guardo físicos até ou ou até numa nuvem onde guardo o outro material esses
backup isso faz sentido também é assim nas empresas as empresas têm métodos próprios não é nós não permitimos que Mas vai tudo abaixo como é que funcion cá ver os Club Quando o o tipicamente é um laptop não é e já fazemos isso para os telemóveis mas quando o laptop é da Empresa que é o comum a partir das empresas tem grande relutância a permitir tops pessoais digamos a trabalhar dentro da rede sim tipicamente são laptops da empresa Elas têm um processo automático de backup portanto a própria empresa garante os backups e por sua vez
do backups dos backups portanto temos sempre dois níveis eh para a componente pessoal tipicamente recomendamos que haja um backup a uma Cloud e e que seja oficializada pela Empresa Ora bem e este Cloud também estiveram nas bocas do mundo recentemente não é o que é que aconteceu querem explicar ao ouvinte O que é que se passou e que lições foram retiradas no fundo desse grande episódio ISO foi existe hoje em dia é um problema que acontece com a tecnologia existe uma uma um nível tecnológico que que permite controlar os chamados end points endp significa que
é parte terminal desde um telemóvel ou um laptop e um servidor no Fundo são são elementos não de rede são elementos computacionais laptop PC um Mac um telefone um des toop um servidor que tem um software ligado em rede por sua vez está ligado a uma estrutura na Cloud desse fornecedor que permite detetar e do ponto de vista atempado eh alguns movimentos estranhos na rede por exemplo aqueles ataques que eu me referi em 2022 Eles foram detetados PS factum Não não foram detetados que alguém já estava a andar na rede e digamos a Investigar a
a o interesse para o atacante do a informação onde é que estava onde é que estão os backups onde é que está a activa rector etc e esse tipo de investimento hoje em dia permite antecipar essas detecções acontece que e desculpa só só uma nota esse policiamento da sua própria rede é humano ou há é um agente é um agente software que está em todos os dispositivos todos e até até em telemóveis que sejam telemóveis geridos Pela própria tem todos os telemóveis como sendo um agente tem atualizações acontece que uma uma das atualizações desse agente
e por razões que são um pouco incompreensíveis não foi devidamente testado ou não foi testado nas circunstâncias em que ele depois foi posto a funcionar e fez e fez com que bloqueasse a SPC Então se o agente como foi digamos foi foi instalado remotamente a partir da Cloud Para todos os milhares milhares diria centenas de milhares de dispositivos a nível Mundial significa que eles foram bloque e portanto significa e servidores também não foi só só PCs significa 8 milhões exatamente foi tud disseram que era só 1% de toda a estrutura sim podia ser ou seja
foi um ataque mínimo não foi ataque não foi ataque no sentido foi uma uma disrupção Foi um erro um erro foi um erro um erro técnico obviamente se é um erro técnico é um erro humano de alguém Que Ao preparar aquele que se chama Tecnicamente um Pets uma atualização desse agente por sua vez depois é propagado para para cada PC que pede o o Pat aplica el aplicar depois não conseguir como é que compreend que isso acontece a este nível nós estamos a falar de uma PME não estamos a falar de uma multinacional de grande
crescimento uma empresa muito grande de grande crescimento de rápido crescimento H Acontece ao melhor ao melhor do mundo Por iso é que na área de cibersegurança um das responsabilidades do tal governador do tal Ciso é a componente de confiança como é que se gera confiança confiança não pode ser uma coisa abstrata não é você confiança tem vários níveis tem tem a crend dis crend disse que aquele fano que nível mais baixo Ah mas existe muito meu caro veja os trampas e veja pessoas que gostam de marcas eh sem sem de forma não racional são daquela
marca Aquilo é quase você já Quantos eu não vou dizer marcas que eu não quero ter fanatismo é um fanatismo e faz com que as pessoas não pensem racionalmente também não e h o outro extremo do pessoa que da pessoa que tá em constante dúvida não é que não decide nada porque tem dúvida de tud també exatamente portanto a atitude racional é ponderar sobre isto em relação a esta parte destas tecnologias que tem um uma sigla edr xdr que é endp response portanto são Tecnologias Para detetar e situações estranhas Isto pode acontecer qualquer um não
havia nenhum ninguém razoavelmente que fosse esperar que isto acontecesse daquela marca não era uma marca qualquer agora a marca tá com problemas porque a sua imagem caiu não é e e é o pendo dialético as pessoas agora vão para outro extremo as pessoas agora idam nem nem sequer se percebem que isto foi uma lição e a marca só vai melhorar isto não se vai repetir e a lição já foi Aprendida tá aprendida e já foi depois fizeram um relatório detalhado do que é que aconteceu os especialistas percebem o que é que aconteceu e a gente
tem que perceber que nestas áreas de ponta este tipo de problemas pode acontecer Ora se acontece outra vez isso é que já não repetir erros não agora Ah vou mudar para outra marca Quem me garante que a outra marca não não vai ter um problema idêntico pois portanto há que saber gerir esse risco há uns anos na Cloud de Um de um dos maiores operadores mundiais a Amazon houve parte da da Cloud que parou e depois foram averiguar tinha sido um erro humano um eles tinham desligar uns Quantos servidores para manutenção e a pessoa que
meteu o número de servidores pôs um zero a mais e desligou muito mais servidores do que devia ter acontecido os problemas existem claro que quanto maior é a reputação da empresa eh mas confiança as pessoas deveriam ter mas não boi em Causa a segurança que a a nuvem a ideia de nuvem a nuvem em não coloca e e aí o José Lil portant é uma opinião um bocado diferente eu confio mais na nuvem do que por exemplo nos meus backups dos discos que tenho em casa porque os discos por exemplo não são usados com grande
frequência e depois depende também da tecnologia podem deixar de funcionar já tive cidadão é o mais aconselhável a nuvem a nuvem o cidadão não tem condições nem tempo para estar a fazer Isso e ex uma pessoa que fez um backup num disco passado um ano vai e o disco pode ter deixado funcionas já não sabem em que Cia é que está uma confusão não é portanto a nuvem é aconselhada aconselhada nuvem pessoalmente a nuvem de uma empresa grande com um nível reputa para empresas é um segundo nível para empresas o que se recomenda é ter
um uma estratégia primária assegurada por si própria até porque Quest estão de velocidade e número volume de dados mas Depois ter um um chamado segundo nível que é o backup backup para um subconjunto para aquilo que é mais neurálgica e poderia utilizar um serviço na agora com o perigo de ser um bocadinho mal comportado eu ia voltar ao ao el mais fraco que é a pessoa por exemplo uso de redes públicas em restaurantes cafés etc isso é extremamente perigoso e uma política de uma empresa deve ser dizer equipamentos que estão ligados à rede da empresa
não Podem ser ligados uma redes públicas à balda e muitas pessoas não percebem isso e isso pode ser uma porta de entrada a muitos problemas e portanto deve ser responsabilidade do c da empresa definir nas políticas de utilização dos equipamentos de uma maneira escrita quando uma pessoa entra numa empresa deve ler as regra zinhas todas que essa empresa tem e assinarem como as reconheceu e periodicamente ser confrontado com isso redes públicas ess Tem responsabilidade de garantir que instala nos nos nos nos telefones dos colaboradores uma VPM certificada pela empresa exatamente pois a questão é coloca-se
no investimento não O problema é é um bocado na nossa cultura é muito fácil nós importarmos a responsabilidade ao ao ao ao ao ao í a nossa Portuguesa Nossa portuguesa é Latina é põe-se os é cula e os e os gestores pois não gastam dinheiro que têm que gastar para criar os controles deix colocar aqui outra Questão são as duas coisas temos que formar pessoas mas temos que lhes dar os instrumentos nós temos um tecido de pequenas e médias empresas muito grande em Portugal e isso não é não nos leva para uma vulnerabilidade um pouco
maior por falta de meios falta de capacidade de investimento nesta matéria no estado em que estamos sim existe aqui uma atividade que o centro Nacional de cibersegurança já tem iniciado que é um uma uma uma atividade digamos de Sensibilização do do do dessas organizações O que é complicado porque elas muitas vezes não ouvem nem tão para viradas se não tão para viradas para esses canais não vão ouvir não é por exemplo se se seos cidadãos não ouvem o seu programa as mensagens que vamos transmitir não LH chegam sim portanto há um de facto um trabalho
enorme e o trabalho que eu acho que neste caso o estado devia investir bastante mais nesse processo de sensibilização como Fez para as florestas como fez para outras coisas não é como faz para a saúde pública que é garantir que que que isso acontece e depois é o tecido fornecedores isso existe que havendo procura vão haver soluções porque há soluções mesmo para PMs que permitem uma maior segurança por exemplo qualquer operador de de telemóveis hoje do telecomunicações tem um serviço em que os acesso à internet vem através deles e tem fil adequados para para até
para Crianças em relação a não não impedir acesso a sites sites que estão são são estranhos impedir acesso a sites que já são comprovadamente que tem maler portanto há a oferta existe o o que acontece é que não há procura que as pessoas não têm sensibilidade qualquer para isso tipicamente essas PMs muitas vezes muitas delas familiares não contratam especialistas porque até porque os salários que são necessários para pagar uma pessoa com conhecimentos Adequados nesta área são muito levados e portanto maior parte delas não conseguem sequer comportar mas é inevitável que possam ter um serviço externo
que lhes possa permitir isso essas pequenas chamadas pequenas médias empresas É O Que É aconselhável eles não vão ter capacidade técnica para ter uma equipe própria Pedro Vega O que é que pensas sobre isto e que quer dizer sobre isto estou mais ou menos alinhado já agora e o a percentagem de PMs em Portugal é Semelhante à que existe n outros países nós temos ideia que por exemplo a Alemanha são grandes empresas não também tem montes de PMs O problema é que nós em Portugal temos um problema cultural que é temos a mania que somos
bons no desenrasca este termo é usado por muitas pessoas Ah nós somos bons a improvisar e e nesta área não dá para improvisar Aliás a área da segurança no mundo digital chamada cibersegurança é semelhante ao problema da segurança Noutras áreas a segurança rodoviária a Segurança contra incêndios a segurança no mar morreram imensas pessoas este verão porque confiaram que o mar não tava muito bravo e que não puxava e morreram as pessoas aceleram nas estradas não respeitam os sinais vermelhos o laranja e o vermelho porque nós somos e é cultural culturalmente nós achamos que a segurança
é uma coisa que não é muito Importante no caso da administração pública que ainda não falamos mas gostava de só sublinhar aliás falamos disso recentemente H coloco tem tem as mesmas a preparação é igual a às empresas como é que é o estado neste momento Pedro Vega eh eu neste momento tenho dificuldade em dizer mas quando fui coordenador do centro de cibersegurança aliás saí em desacordo com não se fazerem certo tipo de coisas acho que é preciso investir muito mais Eh lembro-me de por exemplo um dia ter ido fazer uma sessão de esclarecimento a uma
câmara municipal e decidi começar a reunião de uma maneira informal e perguntei levante o braço Quem já usou paraes de colega cidade mas poucas pessoas levantaram os braços acredito que houve outros que não levantaram porque tinham vergonha depois perguntei uma pessoa então porque é que usou Ah minha colega outro dia ia levar o filho à escola e teve um furo e Telefonou-me a dizer que havia uma coisa muito urgente que ela tinha de fazer logo às 9 horas quando o serviço e então ela deu uma password eu entrei no computador dela e fiz uma certa
ação portanto nós somos muito ligeiros a olhar para uma série de problemas e depois há outro tipo de coisas básicas muitas pessoas o o pin do seu cartão multibanco Qual é é o ano do nascimento os ladrões sabem isso quando apanham uma carteira ou por perda ou normalmente por Roubarem a primeira coisa que vão ver é está lá o cartão de cidadão vem o ano em que a pessoa nasceu e usam como pin de acesso aos cartões multibanco o ano de nascimento portanto nós somos muito simplific em muitas áreas mas não somos só nós há
vídeos engraçadíssimos no YouTube de e pessoas cuja password é 1 2 3 4 5 mas o Estado tem à sua guarda infraestruturas críticas e espa tem duas coisas tem infraestruturas críticas tem serviços essenciais o que tá plasmado na Lei de cibersegurança resultante da diretiva são chamados serviços essenciais na área dos transportes da energia no sistema bancário outra Du Há muitas velocidades e esta é a outra velocidade e portanto aí tem havido do ponto de vista do centro de cibersegurança já depois de eu ter saído e continuam a fazer esse trabalho de capacitar E motivar essas
entidades a terem planos robustos para que esses serviços essenciais sejam bem protegidos Infelizmente pois há uma falta grande de recursos humanos que depois determina o que acontece mas agora deixa-me só e porque eu referia esse exemplo no livro depois fazem-se coisas para simplificar por exemplo o cartão de cidadão que eu acho que é uma ótima criação eh tem três pins de proteção de dados é o pin de morada o pin de autenticação e o pin de assinatura digital e há uns anos para simplificar são iguais puseram o todos Os cartões novos que são emitidos a
partir de uma certa d o pin de morada é 00 se um ladrão encontrar ou roubar uma carteira com chaves de uma residência e o cartão de cidadão se o o ladrão for suficientemente esperto põe o o leitor põe o cartão num leitor o pino morada põe 00 e tem a morada exata Rua número andar porta e pode ir assaltar a casa com as chaves que estavam lá isso não foi ainda corrigido eh H data de hoje não lhe sei dizer mas por acaso eu pedi Uma renov cidadão altera o pino pois não acontece para
para eu pedi uma renovação do cartão de cidadão que vou levantar daqui a uns dias e estou com curiosidade de ver a primeira coisa que eu vou fazer é alterar o o pino mas o c do normal não sabe inclusive os outros pinos a maior parte das pessoas deita o papel fora ou não sabem onde o arrumaram Sim Isso é eu gostava de dizer o seguinte quando se fala na administração pública administração pública e administração Pública h eu tenho evidências de ataques que penetrações digamos não aconteceram nada o atacante andou nós temos uma coisa chamada
H hipótes que é mecanismos para atrair atacantes para nós observarmos O que é que eles fazem E se eles não vem nada dú Eles saem uma vez mais a maioria dos atacantes competentes têm interesses financeiros eles entram numa câmara municipal podem andar lá não hav nada de interessante saem sai portanto muitas pessoas que nem sequer Sabem que alguém andou lá dentro não há ataque Eles pormento saem atenção uma infraestrutura crítica é outro agora a maior parte o problema principal na administração pública é uma coisa que eu chamo ciber higiene o principal vetor de preocupação é
obsolutismo sistemas obsoletos laptops e PCS com Windows que já que já não tá suportado já para para os quais não existem pads começa logo para isso se você for ver a quantidade de equipamento informático na Administração pública uma vez mais nas infraestruturas críticas há essa preocupação e portanto particularmente na área operacional os essas organizações têm um Ciso ele não vai permitir que tenha uma percentagem significativa de equipamentos obsoletos para o qual não existe atualizações agora no resto nas câmaras municipais mesmo em hospitais alguns públicos coitados com o orçamento que eles têm e se calhar a
prioridade é para é para os Sistemas de radiografia para os sistemas médicos e não para os PCs o nível do absolutismo dos equipamentos informáticos que é o ponto de entrada das que tem mais vulnerabilidades por definição é um ponto é grande vulnerabilidade digamos aqui grande vulnerabilidade p é ciber em geral C ciber em geral Além disso por exemplo cópias de segurança adicionado com a falta de recursos o problema só se vai degradando agora o facto não terem sido Atacados não quer dizer que já não tenham T lá pessoas e aliás pelo contrário seas estão vasc
às vezes até pode ser quase uma escola para entrar e fazer e atingir depois deixam aquilo que chama ovo de Páscoa que é um ficheiro que é criado que é para os amigos perceberem os amigos não o outro atacante perceberam até onde é que ele conseguiu colocar não fazem nada por não lhes interessa não tem interesse nenhum em divulgar o seu acesso porque Se não tem motivação económica relevante para que é que vão divulgar mas por exemplo tendo o estado à guarda muitas dados de saúde por exemplo mas is são diferentes são há entidades que
T essa informação não é os hospitais felizmente os sistemas informáticos os dados de saúde não tão não tão agregados estão tem são já é uma medida de prevenção já é uma medida de prevenção uma regra básica de segurança na saúde que é não tão não não tem lá um registro que tem Todo o histórico você para obter esse histórico tem que ter software especial que vai buscar informação aos vários sítios e coleta num relatório para oferecer ao médico para apresentar ao médico mas Portanto o a administração pública é um é um mundo depende temos que
perceber uma vez mais mentalidade militar o que é que é crítico uma coisa é elétrica redes de os hospitais a rede financeira e isso está está assegurado no caso da banca em particular tem uma Tradição muito grande na segurança em relação a isto Aliás você não ouve falar houve estes estas fraudes não é do do roubarem as credenciais do utilizador Os bancos estão do ponto de vista legal muito protegidos O que é irritante para para quem para quem sofre o problema porque depois só com a carta da polícia que que portanto os bancos também protegeram
nas várias frentes proteger Tecnicamente mas depois o quem encal o utilizador quer dizer o utilizador que Cai na na cena de um telefonema e dá as credenciais dá toda a informação ao telefone é o buel humano quer dizer então mas a gente não vai lançar fosfoglutina na rede de água para melhorar qu dizer não queria ocupar muito tempo queria dizer muitas coisas mas queria que o tempo do programa tá limitado Ainda temos aqui mais tempo ia complementar o o que o José alegria diz numa outra dimensão que é O isolamento das pessoas e a necessidade
que as Pessoas sentem de fazer as coisas hoje imediatamente recebem um mail não leem bem e querem reagir este imediatismo associado ao isolamento as pessoas estão por exemplo um jovem num quarto eh que vai ao YouTube E vê algumas técnicas de hacking e há vídeos no YouTube que explicam como é que numa perspectiva positiva que é como é que eu posso proteger a minha rede mas um jovem que está num quarto eh é tentado pela pelo chamado voyerismo E vai experimentar e às vezes consegue entrar numa rede que não tá devidamente protegida e depois é
tentado a fazer as coisas mais mirabolantes desde roubar a informação sobre uma outra uma equipa de futebol adversária e não não vou instanciar muit problema principal é que esse software que estes meos usam vê sempre um presente em venado quer dizer as pessoas que se habituaram a ir buscar livros de graça vídeos de graça esquece-se que há sempre um presente Muitos deles têm um presente em venado é um malware instalado portanto as pessoas têm tanto interesse em fazer downloads de tralha não é não querem pagar se não querem pagar arriscam-se a irem buscar esse conteúdo
a um site que traz um maler atrás e se eles próprios no PC deles não tiverem protegidos não tiverem software sofisticado em termos de antivírus porque muitas vezes essas pessoas até têm já um PC desatualizado já tá obsoleto ah ou e que não tem não Tão para gastar dinheiro no antivírus imagine pois a partir dali se por acaso o pai dele vai usar ess PC para aceder à empresa já temos aí um problema po eh duas coisas finais primeiro os atores estatais e a ideia do agora um bocadinho de geo geopolítica metida nisto hh com
as guerras que temos visto as tensões é um fator cada vez mais eh volumoso nesta nesta discussão José alegria os atores estatais eh para ser franco são mais visíveis em duas Vertentes primeiro sim quando foi o quando a Rússia invadiu a Ucrânia houve um grande receio a nível europeu e Internacional de que ia haver um movimento do o nível de ataques aos países que apoiaram a Ucrânia ia disparar isso não se verificou de forma significativa verificaram-se os ataques de chamados ddos de de tentar evitar no fundo baixar a capacidade de resposta do sistemas web que
de de várias organizações nesses países europeus em Particular mas de facto não não aconteceu não aconteceu de forma significativa o que acontece de facto e os grupos estatais investem em quê os países que precisam de fundos investem no cibercrime especialmente variantes de raman noer para obter financiamento eh para os seus países o irão e e a Coreia do Norte são exemplos Claros a Rússia nem tanto e a China também não portanto não é não é por isso a espionagem e industrial continua a acontecer só que Ela não se sabe porque é se ela é competente
o Espião não tem interesse em divulgar que tá a espiar não é portanto não sabe eles vão roubando informação e depois o perigo é depois de roubar informação relevante ent vendem os acessos a uma equipe de cibercriminosos eventualmente associada a esse país para eles depois fazerem a componente financeira do ataque e finalmente a influência em eleições a parte de atividade política e isso quem faz muito Isso é a Rússia não é que é utilizar nestas equipes mais vocacionadas para a produção de conteúdos falsos para para influenciar sociais sobretudo tudo mas tem uma estratégia absolutamente sofisticadíssima
para influenciar as eleições na na Inglaterra contra dos Estados Unidos em particular portanto são a parte que que afeta aqui em Portugal vamos se calhar ver qualquer coisa mas Portugal do ponto Prest para a Rússia não é propriamente um um país Digamos agora vou dizer uma coisa que é altamente politicamente incorreto mas de facto Portugal não tem a mesma relevância para os russos que os Estados Unidos têm né do ponto de vista da mas há quem tem meus dizem que é igual não não estas equipes não espalham o se seu conhecimento de forma horizontal não
eles focam porque isto custa dinheiro is pode ha um processo de copycat do que em Portugal do que tá Acer lá for pode acontecer há pessoas que aprendem hoje Em dia estuda-se como é que consigo tal engenharia ética não é engenharia social a gente aprende como é que eu vou enganar o o meu meus concidadãos não é como é que o conceito de troll o conceito cri os os DIP fakes Criar e eh utilizadores falsos para na na rede x e não está mais forte em Portugal sim aliás quando começa-se a ver populismo e partidos
mais populistas aprendem e portanto e muitas vezes vê-se Forças políticas que são mais hábeis a utilizar as redes sociais do que outras e outras depois aprendem tarde pois depois vão copiando não é o pêndulo dialético e portanto significa que o nível de ruído que existe nas redes sociais é uma coisa que é ensurdecedor eh a questão é começar como combater isso não é e a combater isso também tem a ver com formação n própria escola de jornalismo tem que se treinar mais as pessoas que trabalham na segurança nesta Área a a fazer o a fazer
triagem melhor a fazer o o o o digamos o o fact checking e como é que se faz fact checking quase em tempo real Aliás a discussão dos debates nos Estados Unidos é que o trump dizia o queria e os jornalistas da CNN não não não interrompiam deixavam di sim é um grande debate nos Estados Unidos capacidade de o fazer no tempo real é muito complicado e por isso é que a tecnologia pode ajudar não é se nós temos tecnologia aí Uma vez mais a basor da Inteligência Artificial ajudar a fazer fact checking e existe
já e grupos no x e noutras noutras redes sociais dedicadas a isso se calhar há um trabalho de doutoramento interessante para para pessoas eh desenvol começarem a desenvolver tecnologia que ajude pessoas como você e seus colegas na televisão a ter uma coisa que não tipo tele pronto que ajuda pelo menos a dar uma cor uma corzinha de Pedro Veiga sobre isto eh é é Preocupante especialmente agora o a crescente sofisticação dos sistemas de chamado Inteligência Artificial vem trazer novos desafios falei há bocadinho do Deep fake portanto podem aparecer imagens e vídeos que que são falsos
com uma sincronização perfeita entre um discurso de falsos e os lábios Temos visto isso Exatamente isto isto traz novos desafios e depois há um outro problema do ponto de vista psicológico que é que muitas pessoas ouvem aquilo e Depois mesmo que seja desmentido a Primeira ideia que fixaram isto está assustado pelos psicólogos é que a pessoa eu memoriza e mesmo que depois seja desmentido e o o valor do desmentido já é muito muito limitado o roubo de identidade aí não é bastante forte desse ponto de vista voz podem usar este banco o banco das minhas
da minha voz fing sofisticado nestes programas todos podem ouvir podem podem buscar os o o timbra e Out aspectos práticos da sua voz ou da minha ou doé alegria e pondo um texto diferente ser sintetizada como é que se prag nos Estados Unidos há uma coisa um fenómeno que que é uma coisa horrível que é o robocall são chamadas automáticas por robôs para fazer para Marketing para coisas agora Imagino você no Face no no no WhatsApp não é que as pessoas usam para vídeo e aquilo que aparece é alguém da sua família a cara Dela
com a voz a pedir-lhe aquela história do telemóvel é completamente diferente de uma mensagem no WhatsApp não é porque o o tipo de crendice de acreditar na na imagem vai aumentar e aquilo que estava a dizer o Pedro olá olá pai Olá mãe traduzido so a forma de vídeo com a cara muito complicado evitar isso é difícil de prevenir isso você tem que ter o táca pá desculpe desliga e depois liga a filha ou se quem quer que seja perguntar se era ela ok portanto Agora tem que ter a uma mentalidade começar a desconfiar Isto
pode chegar a um ponto endémico em que as pessoas têm que fazer isso mesmo quer dizer Imagine que este fenómeno se você for o primeiro vítima não vai ter vai cair se for a primeira não é agora se isto acontecer começar a ouvir falar deste tipo de situações as pessoas vão ter um E alguém vai vai sugerir métodos de de verificação ISO desligar e você faz a chamada algumas brincadeiras que se Fazem com a utilização de voz até há aplicações que fornecem essa ideia isso não é muito seguro desse ponto de vista não é não
não é não é mas de facto em relação à história da das redes sociais e da política há o conceito de crem disse e isso é um fenómeno humano há pessoas que seguem cultos e e têm querem diso e querem disse acreditam naquilo Último Ponto para a nossa conversa internet das coisas e inteligência artificial até que segundo este Inquérito estava comecei aqui este inquérito do Observatório de cibersegurança a tecnologia emergente mais desafiante para a cibersegurança segundo os profissionais inquiridos em 2023 foi internet das coisas e queres explicar-nos alguma coisa sobre isto al a questão é
a seguinte a internet das coisas H Isto é um fenómeno Industrial digamos assim embora na domótica em casa também Começa a acontecer começam a aparecer dispositivos que permitem em rede fazer certo tipo rega de de de hortas rega de Campos de golf segurança da casa domótica etc agora em minha casa tenho isso eu abro e fecho os Stores remotamente abre e fecha as luzes remotamente a câmaras de vídeo vigilância eu tenho isso em minha casa o que acontece é que a indústria evolui de uma maneira muito rápida em que os dispositivos finais muitas vezes de
Origem chinesa tê um poder computacional limitadíssimo e são extremamente frágeis portanto é muito fácil atacá-los com aquilo que se chama Força Bruta porque eles não têm Cap não tê capacidade computacional para ter as proteções que devem ter por outro lado não se foi desenvolvido em paralelo os algoritmos que permitem perceber que uma orquestra de violinos a tocar uma sonata determinada devem ter um as comunicações entre eles São é aquilo portanto não são propriamente computadores pessoais genéricos em qualquer coisa pode estar a acontecer a vantagem do do internet of things é que tem dispositivos finais que
fazem uma coisa muito bem Média a temperatura do frigorífico ou medem a intensidade da luz está ligada ou não está desligada o que eles comunicam para um para o cérebro Central é uma coisa super limitada portanto se de repente esta Sinfonia metáfora começar a tocar Outra coisa começar a fazer outra coisa alguma coisa está errada e portanto falta por um lado dispositivos que tenham certificação europeia já tá a começar a acontecer para não ser qualquer porcariazinha que se compra aí no mercado de uma loja de 300 que não tem condições básicas de segurança ela própria
que vem com a password de fábrica toda a gente sabe os rers vão à internet e tem uma base de dados que diz qual é a marca qual é o modelo Qual é Password por default password por omissão e tentam e a maior parte das pessoas não as muda e muitas vezes as empresas que instalam estes dispositivos em casa também não sabem e por sua vez o sistema que controla isto não tem a segurança para garantir que o o a componente de rede é altamente limitada para não permitir que mesmo que haja uma intrusão nestes
dispositivos ele não se pode comportar mal uhum e portanto mas hoje já estamos em 2024 isto já evoluiu De uma maneira significativa não só falar de regras de Campos de golfo que entraram desperdiçaram a água toda portanto as coisas são e mais qual é o interesse disto de de alguém atacar é disruptivo Ou são ativistas ou alguém que quer ser destrutivo porque do ponto de vista financeiro financeiro não é não estou a ver caso M Pedro vea sobre isto eu tenho em casa uma quantidade de dispositivos da da internet das coisas eh tenho várias marcas
até portivo Validar os Os Protocolos de segurança muitos deles utilizam servidores na Cloud dos fabricantes dos equipamentos mas eu por acaso em minha casa insi o meu próprio servidor portanto meus dados não não vão para a Cloud mas a meor parte dos utilizados não têm cuidado compra o equipamento não muda os passwords a password mais conhecida é admin o username e a password é admin admin faz parte da lista das passwords mais usadas todos os anos as pessoas Compram por exemplo um repetidor de rede metem numa tomada para ter rede no quarto sim e não
mudam a password e o equipamento fica desprotegido felizmente começa a haver legislação o Reino Unido aprovou e entrou em vigor salve no no dia 1 de Abril deste ano a proibir que sejam vendidos no Reino Unido todos os equipamentos e equipamentos que não tenham proteção já agora ainda não tenho dados sobre o impacto que isto teve por exemplo uma coisa que se argumentava Muito era se eu for comprar produtos na Amazon como é que a Amazon vai fazer vai vender uns produtos para o Reino Unido mais caros com mecanismos de proteção mais avançados e para
do M equipamentos mais relaxados portanto há imensas discussões por atrás disso mas são uma porta de entrada possível para falhas de segurança o que que há pouco estava a dizer que a inteligência artificial não não o que eu estava a comentar é como tudo na vida é o abuso da expressão não Há comercial eec vou dizer isto de forma mesmo Mazinha ass que não nem qualquer apresentação de um produto Inicial é uma coisa venha da cobra deles quer dizer portanto pessoa está inundado Não há nada Tecnológico de segurança que não venha com a basu da
oficial é uma aliada da segurança Aral não pode servir mas não pode servir é para ser banha da cobra porque Estão a vender coisas que não é verdade a ência artificial não atingiu o nível e pelo Menos não é comprovado no produto em si como é que a ência artificial amplifica a capacidade do dispositivo parece lá uma bzw ên arcial que a gente faz e não sei quê pris tant recursos nós fazemos quer dizer percebe e hoje em dia estamos a ter os cisos que são os Os compradores muitos deles também sem a preparação certa
de repente são aparece a crendice da incia ar da incia artificial incia artificial sim tem um potencial enorme eh e e e agora tem que se comprovar Como Como é que de facto vai ajudar de facto porque se nós nos queixamos que não temos especialistas de cibersegurança e especialistas de social temos as pessoas esquecem-se que também há lacuna hum portanto estão a ver então agora ainda se complicou como é que eu vou juntar ampliar a segurança com o reforço de de llms portanto do dos modelos de linguagem uma questão de tempo mas mas onde é
que estão os meios Claro formar as pessoas não certo certo mas uma coisa É o potencial que é grande para aliada na cibersegurança certo mas a cibersegurança Deal também é utilizada no ataque por exemplo como é que você pensa que os os mails de Fishing são construídos Hoje há uns anos atrás nós topá logo um e-mail de Fishing que era uma coisa escrita em brasileiro com o telefone de São Paulo a tentar passar pro diretor financeiro de empresa Portuguesa hoje os e-mails de Fishing são construído com Base nesses modelos Isso quer dizer Quem ataca do
lado do lado Quem ataca sabe utilizar o o o o chat g pt4 e e outros motores para construir texto eh credível bem construído em português ou em inglês ou na língua que se for com os telefones certos para fazer com que a pessoa que lê aquele e-mail fique mais convencido que o meel potencialmente é legítimo percebe eh e portanto Quem ataca já está a usar isso já está a usar esse processo e para quem defende numa organização Eu Sei que sim vou usar aonde em em em e os cases emem Em que lado em
que áreas concretas certo portanto não os fornecedores particularmente aqui em Portugal que são fim de linha São fornecedores que não são eles que constróem produtos muitos deles sees são revendedores até meus amigos Aquiles já vão com slides em PowerPoint que é incia artificial tudo que é Sítio Pedro vamos fechar sobre a inteligência artificial O que é que pensas sobre essa ligação com A cibersegurança o que é que quer aqui par P dois bicos agora do ponto de vista de por exemplo proteger uma rede Se eu tiver um sistema que detete com base em algorit Inteligência
Artificial mas já existe Há muitos antes antes desta vaga da Inteligência Artificial já existem sistemas há muitos anos que por exemplo detetam padrões de tráfego atípicos por exemplo uma empresa de média dimensão deve ter um sistema dessas que permite detetar acesso externo à sua rede ou Tráfego interno à sua rede a horas atípicas isto há muitos anosos e isso é importantíssimo para decial pois isso é importantíssimo para detetar potenciais problemas na rede por exemplo um um netbot que foi metido por uns zers e e se há muito tráfego a certas horas em que não deveria
haver e isso é isso é um indicador potencial é natural com a inteligência artificial os sistemas comecem a ser ainda mais elaborados e detectarem algo ainda mais fino mas Existem sistemas há muito tempo agora é uma moda dizer inteligência artificial em tudo os tais vendedores de banha da cobra agora utilizam o inteligência artificial para vend Laboratórios uma coisa que vale a pena referir em laboratórios estou falar de pessoas com a preparação académica para lidar com estas coisas o que está a acontecer é criar repositórios de informação com base nas nas IBM das Microsoft das ciscos
dos vários e grandes entidades Repositórios de informação sobre modos operandis e sobre eh a descrição de métodos de ataque e essa informação é consumida por estes motores digamos assim para eh digamos apoiar o analista de cibersegurança porque aí já estamos a falar de repositório de conhecimento e vão aparecer empresas que vão vender este serviço que é vão coletar a nível internet a nível Mundial mas isso demora tipicamente 1 ano 2 anos TR anos anos para ter a massa de informação Atualizada eh para que isso possa alimentar uma versão do motor do do motor de modelos
de linguagem natural para que possa aconselhar quer um um ser humano um analista quer outro motor de de de deteção sobre digamos baseado no conhecimento histórico até agora daquilo que foi reportado Isto é um tipo de ataque que acontece Como existe para o xadrez está a ver portanto na área do Xadrez é outra coisa que movimento de xadrez é que existe Ah isto foi uma uma Uma uma uma uma uma entrada siciliana que este tipo de coisas acontece na cibersegurança mas ainda não é comum e muitos dos comerciais que nos falam disto não é nada
nessa área é na área por e simplesmente as regras de correlação as regras de correlação vê do vê da onde ou ou baseiam-se num num repositório histórico e na prática é uma derivação das regras já existentes ou então os sistemas não vai inventar a social não está aí não é inteligência Não tá ao nível da Inteligência humana tá muito atrasada as pessoas que não não pensem uma coisa giríssima é fantástico o que fazem mas não tem nada a ver com a capacidade dedutiva que é necessário para trabalhar nestas áreas muito bem muito obrigado pela vossa
presença aprendemos muito e É bom voltar a ouvir este esta conversa por isso ele está disponível sempre em podcast junta s ao nosso acero de debates nos últimos anos eh Muito obrigado então falamos sobre a Cibersegurança em Portugal e com Pedro Veiga e José alegria este programa como indiquei está em podcast na versão digital habitual e com uns genérico original do pianista Mário Laginha fizeram o programa esta semana Rui Glória Diogo casinha Ana Marta Domingues e José Pedro Frazão na próxima semana Voltamos para mais uma conversa neste programa da Renascença em parceria com a fundação
Francisco Manuel dos Santos [Música]
