Jorge Monteiro
A agência DBRS publicou recentemente o relatório “Ciber-risco: uma ameaça crescente para os bancos europeus”, o qual deixa um alerta que merece atenção redobrada por parte do setor financeiro europeu. Tratando-se de um potencial factor de instabilidade sistémica, a DBRS sublinha que a crescente sofisticação e frequência dos ciber ataques, combinada com a elevada dependência tecnológica e com a intensificação dos riscos geopolíticos, torna os bancos europeus particularmente vulneráveis.
Embora os impactos financeiros tenham, até agora, sido limitados e os danos reputacionais relativamente contidos, a própria DBRS adverte que essa situação pode alterar-se rapidamente, à medida que os atacantes recorrem a tecnologias mais avançadas e à inteligência artificial para ultrapassar os mecanismos de defesa convencionais.
E esta é uma tendência que está longe de ser marginal. Segundo a DBRS, mais de 60% dos bancos europeus reportaram incidentes de cibersegurança nos últimos dois anos e que um dos factores de risco, que é menos visível, está precisamente nas lacunas de segurança dos prestadores externos de serviços ao sector financeiro. Esta terceirização, que se tornou uma prática comum pelos ganhos que permite de eficiência e escalabilidade, tem, no entanto, concentrado uma parte significativa das preocupações ao nível da cibersegurança, quer pelo facto de haver fornecedores transversais a várias instituições financeiras, quer pelo facto de alguns destes fornecedores estarem fora da jurisdição europeia.
É neste contexto que conseguimos entender a importância atribuída pela Comissão Europeia no Regulamento DORA (Digital Operational Resilience Act), ao exigir que as instituições financeiras europeias mapeiem os seus fornecedores críticos, testem regularmente a sua resiliência e integrem esses prestadores externos nas suas estratégias de gestão de risco, por ser a única forma de criar uma resiliência em rede, onde a segurança de cada elo da cadeia conta.
Termina, assim, a ideia de que a responsabilidade termina nos muros da organização e que a capacidade de resposta a um ciber ataque ou a uma falha técnica depende, cada vez mais, de sistemas, contratos, equipas e infraestruturas que operam à distância, mas cuja exposição recai, inevitavelmente, sobre as entidades contratantes.
Esta abordagem de resiliência em rede, exige mapear a cadeia de fornecimento, classificar os prestadores em função da sua criticidade e testar a robustez dos sistemas com uma frequência elevada, porque o elo mais fraco da cadeia digital pode, agora, ser o gatilho de um evento sistémico.
Esta mudança de paradigma traz consigo diversos desafios. Por um lado, obriga a um esforço técnico adicional de avaliação contínua de riscos, com requisitos mais rigorosos para penetration testing, gestão de incidentes e reporting. É, por isso, que a resposta tem de passar forçosamente por ferramentas que testem a chamada superfície de ataque, ou seja, ferramentas capazes de mapear e testar continuamente todos os ativos digitais e identificar as vulnerabilidades. Trata-se, na prática, de fazer testes de segurança ofensivos contínuos, que permitem identificar vulnerabilidades em tempo real, com precisão e impacto, em toda a cadeia de valor, ou de fornecimento, e, assim, prevenir proactivamente eventuais ciberataques.
Num contexto geopolítico instável, onde os riscos tecnológicos se cruzam com ameaças híbridas, a resiliência digital deixou de ser uma questão técnica para se tornar um imperativo estratégico. O que está em causa não é apenas a continuidade dos serviços financeiros, mas a confiança dos cidadãos no funcionamento das instituições.
A cibersegurança, como a democracia, exige vigilância diária. Exige investimento, consciência e capacidade de adaptação constante. E, acima de tudo, exige que olhemos para além das fronteiras da nossa infraestrutura, reconhecendo que num mundo interligado, a verdadeira resiliência constrói-se em rede, onde a segurança de cada nó conta para a estabilidade do todo.
Jorge Monteiro é CEO da Ethiack
