A IA e o Futuro da Cibersegurança Empresarial

Em 2024, o custo financeiro de uma violação de dados alcançou um recorde, com um custo médio global de 4,88 milhões de dólares. Até 2028, projeta-se que o cibercrime custará aproximadamente 13,8 bilhões de dólares para as empresas. Na Europa, espera-se que o impacto direto das ciberameaças cresça 64% até 2029.

Neste contexto de aumento dos danos causados pelo cibercrime, a Inteligência Artificial (IA) representa uma das principais ameaças, pois possibilita ataques mais sofisticados e difíceis de detectar, especialmente em engenharia social, como deepfakes muito realistas. A IA também possibilita a geração em larga escala de ataques de phishing e possui uma rápida capacidade de adaptação, tornando a reação e a mitigação um grande desafio para as empresas. Entre 2023 e 2024, a utilização de IA generativa em ciberataques aumentou 600%, evidenciando a crescente sofisticação e escala dessas ameaças.

Esses dados refletem apenas uma parte da gravidade e complexidade do tema, mas já apontam para um cenário alarmante que exige atenção aos fatores que o explicam. Dentre eles, destacam-se os ataques de ransomware, que tornaram-se cada vez mais avançados e difíceis de contornar, além da crescente digitalização das operações empresariais.

A adoção da computação em nuvem (cloud), o aumento do trabalho remoto e a proliferação de dispositivos IoT (Internet of Things) expandem a superfície de ataque das empresas. Simultaneamente, o setor enfrenta uma escassez de profissionais especializados, juntamente com o aumento dos salários e dos custos operacionais. A IA, por sua vez, contribui para esse panorama, oferecendo métodos inovadores para a realização de ataques.

Em Portugal, a maturidade das empresas em relação à preparação e resposta a incidentes de cibersegurança está longe de ser ideal, especialmente entre as pequenas e médias empresas (PMEs), que representam 99,9% do tecido empresarial. Estas frequentemente figuram entre os principais alvos de ciberataques (ao contrário do que muitas delas acreditam) e, por vezes, não possuem a proteção adequada, enfrentando barreiras significativas como orçamento restrito e falta de expertise técnica.

Frequentemente, a cibersegurança é deixada de lado em prol do foco nas atividades essenciais da empresa. Algumas grandes empresas, especialmente as regulamentadas ou do setor público, constituem exceções, contando com estruturas dedicadas como CISOs (Chief Information Security Officers) e responsáveis de risco.

Para a maioria das empresas, o caminho ainda passa pela melhoria das medidas básicas: capacitação interna, backups regulares, implementação de firewalls, uso de gerenciadores de senhas, constante atualização de software e elaboração de planos de resposta a incidentes que sejam concretos e testados.

A resposta da UE às novas ameaças

O novo marco legal europeu, em especial a diretiva NIS2, promete um alinhamento mais rigoroso das empresas com as melhores práticas de cibersegurança. Em Portugal, o Governo já aprovou, em Conselho de Ministros, o decreto-lei que transpõe essa diretiva, finalizando um processo legislativo que estava pendente desde o início do ano. O documento estabelece a obrigatoriedade de medidas de prevenção, resposta e recuperação para empresas de todos os tamanhos e setores, assim como padrões mais elevados para a segurança dos sistemas e dados empresariais.

Iniciativas como a diretiva NIS2 e o Cyber Resilience Act (CRA) vão estabelecer um novo padrão de exigência no setor de cibersegurança. Ao atribuir a responsabilidade diretamente aos conselhos de administração e exigir frameworks mais robustas em todos os setores, espera-se, finalmente, criar um ambiente onde a cibersegurança será considerada imprescindível e inegociável. Esta exigência se torna ainda mais crítica com o avanço da IA, que eleva o nível das ameaças e impõe a implementação de estratégias de defesa ágeis e robustas.

De fato, o verdadeiro custo de um ciberataque vai muito além do resgate financeiro pago em ataques de ransomware. Incidentes como o ataque à AMA (Agência para a Modernização Administrativa), em que a recuperação dos sistemas levou mais de um mês, demonstram a real extensão dos custos envolvidos: resposta técnica, recursos humanos, software, multas regulatórias, custos legais e perda de produtividade.

Além disso, há o impacto sobre a credibilidade das organizações, consequência direta da exposição de dados sensíveis dos cidadãos por instituições que têm a missão de protegê-los. O tempo de inatividade é um dos fatores mais onerosos, afetando diretamente as receitas. Outros aspectos, como danos à reputação e perda de confiança dos clientes, podem ser igualmente devastadores para o futuro dos negócios.

Além das soluções técnicas, a cultura organizacional desempenha um papel decisivo na cibersegurança. A maior ameaça para as empresas continua a ser a insider threat: a maioria dos ataques se origina da exploração inadvertida de colaboradores que, muitas vezes sem perceber, facilitam o acesso dos hackers aos sistemas corporativos. Por isso, a responsabilidade não deve recair apenas sobre os departamentos de TI, mas ser compartilhada por toda a organização, começando pela alta gestão. A responsabilização legal direta dos diretores executivos, introduzida pela NIS2, é um elemento que facilita esse compromisso, transformando a cibersegurança em uma prioridade estratégica vital.

Em suma, a cibersegurança não se constrói apenas com tecnologia; é um desafio que envolve liderança, cultura e compromisso coletivo. O futuro pertence às organizações que reconhecerem essa exigência e se tornarem verdadeiramente ciber-resilientes. Com a aprovação do decreto-lei que transpõe a NIS2 em nosso país, o foco deve ser na implementação prática e na supervisão efetiva das novas regras, assegurando que as empresas tenham recursos, prazos e orientação adequados para cumprir o novo regime. Este será um passo crucial para garantir que as novas exigências resultem em ações efetivas.