Pedro Soares, diretor nacional de segurança da Microsoft, defende que a cibersegurança deve ser encarada como uma questão de sobrevivência pelas empresas portuguesas e cita um estudo recente publicado pela empresa que mostra números relevantes: Portugal é agora o 12º país mais atacado na Europa. Falámos com o responsável para perceber como as estratégias das empresas devem incluir cibersegurança desde o início. Qual é a conclusão mais interessante do estudo?A primeira conclusão é a comparação com o ano anterior, ou seja, percebermos que de 2024 para 2025 temos uma evolução muito maior do que a que tivemos de 2023 para 2024. O que quer dizer que a economia do cibercrime continua a aumentar e está a aumentar de uma forma maior do que o que estava, por exemplo, de 23 para 24, está em clara ascensão.Vejo a cibersegurança não como um risco, mas até como uma oportunidade de nós mitigarmos. Ela existe para isso. A hiperconectividade acaba por ser esta força transformadora que envolve também termos uma nova cultura de segurança, mas eu acho que é uma oportunidade. Portugal tem um risco maior no sentido em que temos muitas PME. Esse é um dos pontos que o estudo acaba por focar. A primeira coisa é compararmos com 2024, vemos o número de padrões que nós analisámos como empresa passou de 74 para 100 biliões. É uma evolução mesmo muito grande. E se pensarmos em 100 biliões de dados por dia que estamos a analisar, percebemos que esta hiperconectividade está a trazer cada vez mais dispositivos a serem conectados, porque temos mais inteligência, temos mais informação para processar, quer dizer que temos mais pessoas conectadas.Aquilo que eu falava do cibercrime é interessante porque mostra que 52% dos ataques têm fins lucrativos, ou seja, o objetivo é extorsão ou ransomware. O outro ponto é que 80% dos incidentes que nós investigámos tinham o objetivo de roubo de dados. Depois começamos a ver uma intensificação dos ataques de phishing e de ransomware. E depois temos visto o acelerar de aparecer malware nos dispositivos. No tema dos InfoStealers, que tem sido bastante analisado quer por nós, quer pelas unidades locais, temos visto um crescendo muito grande. O que nos deixa a crer que a maioria das pessoas também não tem literacia para perceber o que é que está a acontecer no seu dispositivo, não tem proteção. A cibersegurança atua aqui não como risco, mas como nós protegermos este dispositivo para garantir que não temos este malware instalado, ou quando temos mitigarmos esse risco.Portugal aparece como o 12º lugar dos países europeus mais visados, o que também nos começa a colocar no mapa. Normalmente nem aparecia muito, estávamos muito no fundo quase como se ninguém quisesse saber de atacar Portugal, mas neste momento estamos no 12º.Se a hiperconectividade tem impacto aqui? Eu acredito que sim. Cada vez temos mais dispositivos, já não é só o telemóvel e o portátil. Cada vez temos mais IoT, ou seja, dentro de casas, as nossas persianas, as luzes inteligentes. Uma pessoa tem em média 75, 78 dispositivos ligados. Se nós somarmos isso tudo, quer dizer que estamos a ampliar a superfície do ataque. Portanto, a hiperconectividade efetivamente obriga a que nós tenhamos uma cultura de segurança e mais higiene na área de segurança e isto tem que estar disponível a qualquer um, não é só o tema das empresas. É o tema de todos nós como indivíduos. Com o mundo hiperconectado o mapa expande-se e temos empresas em Portugal com funcionários em todo o lado. Como é que estes ataques costumam começar?Normalmente é pelos externos. Os colaboradores dessa empresa têm uma postura de segurança elevada ou até madura. O nosso tecido empresarial, excluindo as PME, tem, efetivamente, maturidade do ponto de vista de cibersegurança. O que quer dizer que, normalmente, os ataques vêm do que nós chamamos pedras pequeninas; a gente nunca tropeça numa pedra muito grande. Pedra pequenina é um externo, se calhar não vou ter a mesma postura de segurança com ele, ou só vem fazer um trabalho pontual, e é aí que está o tema, que é não ter a mesma postura de segurança e é onde temos as vulnerabilidades.Na Microsoft, a postura de segurança é igual para todos. Até preferimos considerar que o risco é maior num cenário de um externo do que no interno. Quero garantir que protejo os dispositivos exatamente da mesma forma, nem mais nem menos. As grandes empresas em Portugal tipicamente têm tendência a pensar assim e portanto torna-se torna-se mais provável de haver um ataque pela via de um externo. As PME em Portugal ainda não têm tanto esta cultura de cibersegurança? Ainda falta fazer algum trabalho de consciencialização? Eu acho que falta, claramente. Há bocado falava em nós como indivíduos, do ponto de vista de literacia, porque se tivermos essa literacia quando vamos trabalhar para as nossas empresas, já temos isso no 'top of mind'. Deveríamos estar a começar nas escolas, porque se não for assim vai ser muito difícil. O estudo do INE diz que 99.9% do tecido empresarial português são PME. E 96% são microempresas, portanto se são 3 ou 4 pessoas o foco deles é sobreviver a empresa, é pensar em negócio, é o business first. E por isso é que eu digo que se nós já pensássemos nisso como indivíduos, seria mais fácil quando vamos trabalhar para a empresa termos isso no top of mind. Não vou colocar um e-mail num sistema que não seja empresarial. Não vou colocar passwords no post-it do ecrã. Coisas que a maioria das pessoas não têm no top of mind e isto eu diria que é bastante válido nas PME e também ainda se vê um bocadinho no empresarial do sector público. Esses têm meios, têm capacidade, mas falta a literacia como a maior parte dos indivíduos. O estudo que nós fizemos sobre o estado da segurança em Portugal dizia que 74% foram alvos de ataque e apenas 35% se sentem preparadas para reagir.Com a hiperconectividade, a separação entre o que é que é a vida profissional e pessoal com todos os dispositivos começa a desvanecer-se. Isso também contribui para haver mais exposição?Sim, e a Microsoft tem tecnologia para garantir isso. Vou dar um exemplo. A Microsoft permite-me que eu traga o Mac, só que para que eu possa usar e aceder a informação informação confidencial, esse Mac tem que ser feito on-board em ferramentas da Microsoft para garantir que é protegido. Apesar de o dispositivos ser meu, se quero utilizá-lo no trabalho então tenho que ter aquela tecnologia lá. Muitas das vezes nem é pelo custo da tecnologia de proteção, é mesmo porque não há conhecimento. Acredito que se uma PME estiver sob ataque pode não ter margem para recuperar. Ou seja, a cibersegurança deveria estar a ser vista como uma questão de sobrevivência e ainda não é assim. Não é por custo da tecnologia, é por falta de conhecimento. Por exemplo, todos nós temos um e-mail e quando a empresa se constitui tem um e-mail empresarial. A Microsoft tem capacidade de fornecer soluções às PME para se protegerem. A maior parte das vezes é eu não vou investir aqui porque não tenho o conhecimento e nem sei que essa solução existe, mas ela está lá. Se fôssemos abrir aqui uma startup, havendo conhecimento iríamos colocar toda a segurança e não iria ser um custo. Se fizéssemos uma lista de como é que as organizações se podem preparar, o que é que vocês sugeriam?A primeira coisa era uma 'gap analysis' [análise de lacunas]. Como é que eu opero? Que é para perceberem da maneira que estão a operar o que é que têm que mudar, porque tipicamente já estão a fazer muitas coisas erradas. E é bom elencar isso. Naturalmente que se fôssemos abrir uma empresa do zero, ter um arquiteto de cibersegurança, um advisor de cibersegurança a dizer o que é que devo seguir, garantir que tenho a proteção do meu dispositivo, do meu endpoint, que eu tenho 'logs' de auditoria, tudo o que acontece, que faço a gestão dos dispositivos. Se alguém tem um iPhone ou um Android e traz para o emprego eu deixo-o usar, mas vou monitorizá-lo. Vou garantir que se ele o perder possa apagar os dados remotamente. O dispositivo é pessoal, mas conseguimos acrescentar aqui uma camada que ela também vai estar a proteger.A seguir é, de alguma maneira, terem um 'feedback loop'. Ou seja, a cada X tempo voltar a analisar como é que estou agora e o que é que tenho que mudar, porque a tecnologia evolui muito rapidamente. Nós há bocadinho falámos da hiperconectividade, se calhar se falássemos há cinco anos os dados não tinham nada a ver. Cada vez temos mais dispositivos ligados. O que quer dizer que temos que olhar para riscos que antes não existiam.E depois é, pelo menos uma vez por ano, garantir que dão formação a estas pessoas. Não no sentido do polícia, mas mais no sentido do bombeiro.Percebo que é difícil cada empresa por si, portanto, aquelas PME que falávamos com duas, três pessoas, como é que elas vão fazer isto? Teria que ser algo num chapéu, se calhar alguém que conseguisse fazer isto para todas as PME, porque provavelmente elas não vão ter capacidade para o fazer. Se a PME for uma frutaria ou um talho, se calhar não tem capacidade, o foco deles não é aquela área. O talho vai-se focar em segurança específica alimentar, porque já são regulados por isso. Precisa de haver ali um chapéu adicional para este tema.Há um ponto novo que eu acredito que vai obrigar toda a gente a fazer alguma coisa, que é a NIS2, porque foi agora transposta. Para negócios que não estavam minimamente preocupados passa a haver regulação. Quer dizer que passa a haver um polícia que pode fazer alguma coisa sobre o negócio deles e, portanto, mais uma vez, a cibersegurança é uma questão de sobrevivência para estas empresas.Considera então que o risco de segurança não está em oposição aos benefícios da hiperconectividade?Isso mesmo. E é a mesma coisa com a regulação. Nós, tipicamente, temos um preoconceito negativo quanto à regulação. Mas eu acredito que a regulação obrigou-nos a aumentarmos a postura de cibersegurança. O que quer dizer que, apesar de ser uma coisa que todos vemos com uma conotação negativa, aumentou a maturidade geral. Se não tivéssemos regulação, não tivéssemos tido um RGPD e agora um NIS 2 – e antes do NIS 2 havia NIS 1 – se isso não existisse se calhar estávamos muito piores, porque ajudou a que a pessoa cumpra porque tem receio de vir o polícia. E é mais por isso que a maturidade tem sido superior.Hoje em dia com a inteligência artificial – a hiperconectividade trouxe-nos isso também, que de repente estamos ligados à tecnologia que nós antes nem nunca pensámos que iríamos ter. Eu acho que esse é outro ponto que nós também devíamos estar a garantir, que temos literacia, que permitimos que as pessoas utilizem, mas com controlo. Ou seja, havendo controlo, de que maneira é que vamos usar? Acha que vai ser essa a maior ameaça nos próximos tempos? Os deepfakes, a inteligência artificial, a automação dos ataques ou ferramentas que permitem a pessoas que não são muito sofisticadas facilmente conceberem um ataque bem sucedido?Hoje em dia existem pessoas que se dedicam a fazer dinheiro, a prestar serviços no submundo, em que conseguem fazer uma campanha...E, inclusivamente, é possível a qualquer um de nós aceder à dark web, contratar um serviço que custa tão pouco como 15 ou 20 euros e fazer um ataque direcionado a alguém – o meu vizinho, uma figura pública, quem quer que seja, e eu consigo tirar informação para a seguir poder fazer o ataque. Se a inteligência artificial está a ser usada pelos atacantes, a nossa melhor aliada na defesa vai também ser a inteligência artificial.Se nós vamos dormir e estamos a ser atacados à noite, se calhar precisamos de alguém que nos esteja a defender da mesma maneira, portanto com a mesma velocidade e capacidade de detetar. Precisamos de utilizar IA na defesa. Antes os padrões eram detetados por um técnico, hoje nós podemos detetar estes padrões com inteligência artificial. Vejo a inteligência artificial a ser usada pelo atacante, o que quer dizer que nós temos que a usar para a defesa.É uma ferramenta que devemos claramente usar no dia a dia, mas temos de ter cuidado se não estamos a fazer exfiltração de informação. Exemplo: eu trabalho na Microsoft, vou pegar a informação e colocar num sistema de IA generativa de consumidor. Então estou a fazer exfiltração de informação, tenho de ter cuidado que informação é que posso colocar lá. A Microsoft também pode ajudar aí, porque tem mecanismos que permitem que essa exfiltração não aconteça. Vai dizer: cuidado, estás a colocar informação sensível numa IA em que os dados deixam de ser teus e portanto estás a ter aqui um risco.A tecnologia está aqui claramente para ajudar, ou seja a inteligência artificial é claramente a nossa melhor aliada na defesa digital. Especialmente para quem tem menos recursos, porque vai ganhar ainda mais com ter IA.