Está aqui

Intervenção de abertura do Administrador Hélder Rosalino na 2.ª Conferência de Cibersegurança: "A Ciber-resiliência no setor financeiro"

Sejam bem-vindos ao Banco de Portugal e à nossa 2.ª Conferência sobre Cibersegurança, este ano dedicada à "Ciber-resiliência no setor financeiro".

Cumprimento todas as entidades presentes e os seus representantes, agradecendo a ampla participação registada, que é naturalmente um testemunho da importância do tema que nos reúne aqui no Museu do Dinheiro.

Temos uma agenda muito ambiciosa, com reputados oradores, que espero que seja do interesse geral.

Para nos falar da Estratégia Nacional para a Cibersegurança, teremos connosco o Eng. Lino Santos, Coordenador do Centro Nacional de Cibersegurança, que será um dos principais keynote speakers deste evento.

Para nos falar sobre a Cibersegurança na perspetiva da regulação e da supervisão do Banco de Portugal, teremos o/a:

  • Dr. Luís Costa Ferreira, Diretor do Departamento de Supervisão Prudencial;
  • Dra. Lúcia Leitão, Diretora do Departamento de Supervisão Comportamental; 
  • Eng. Luís Gonçalves, Coordenador do nosso Centro Operacional de Cibersegurança.

Teremos, na segunda parte desta sessão, a perspetiva das autoridades de defesa do ciberespaço o/a:

  • Dr. Carlos Cabreiro, Diretor da Unidade Nacional de Combate ao Cibercrime e Criminalidade Tecnológica da Polícia Judiciária;
  • Dra. Vanda Jorge, Coordenadora da Área de Atividade Financeira Ilícita do Banco de Portugal.

Encerraremos com uma “visão transversal a nível internacional” sobre os desafios da cibersegurança, que nos será transmitida pela Consultora Gartner, através do seu Executive Partner em Portugal, Eduardo Mastranza.

 

É hoje uma realidade incontestada que o ambiente global em termos de ciberameaças se está a tornar progressivamente mais complexo, mais difícil de acompanhar e, sobretudo, de prevenir, com relevância acrescida no setor financeiro, no qual se tem assistido, nos últimos anos, a uma tendência de crescimento do volume e da sofisticação dos ciberataques.

De acordo com o Fórum Económico Mundial, o setor financeiro é claramente o setor mais visado pelo cibercrime, sendo alvo de nove em cada dez ataques realizados no ciberespaço. 

Desses ataques, 40% são dirigidos a bancos centrais, 36% a bancos comerciais e 5% a entidades do setor de seguros. É, portanto, uma ameaça transversal a todo o setor financeiro, com motivações de vária ordem: desde financeiras, políticas, económicas e até sociais.

Estamos, neste contexto, todos sujeitos aos mesmos desafios, decorrentes de um sentimento crescente de insegurança no ciberespaço, num mundo que é cada vez mais global e digital. 

O conjunto de desafios que hoje já conhecemos tenderá a multiplicar-se no futuro, especialmente potenciado pelos avanços tecnológicos que estamos a viver (a chamada revolução tecnológica 4.0) e que serão também aproveitados por quem faz da prática do crime no ciberespaço a sua atividade principal. 

Citam-se, a título de exemplo, a utilização de tecnologias como o machine learning, que continuamente pode avaliar e testar novos métodos de subversão dos sistemas de segurança (as máquinas podem aprender a melhorar cada vez mais os ataques); e a inteligência artificial e a robótica, que podem ser utilizadas para o desenvolvimento de ferramentas para a realização de ataques de elevada sofisticação e volume. 

As novas tecnologias não vieram só para melhorar os nossos níveis de desenvolvimento e de bem-estar, podem e estão também a ser utilizadas para explorar as nossas fragilidades.

Se não houver uma atuação preventiva concertada, estas novas tecnologias terão a capacidade de exponenciar situações de fraude no ciberespaço, levando a que o crime, neste ambiente, assuma uma dimensão totalmente nova e se traduza num desafio permanente e constante no que respeita aos mecanismos de deteção, contenção e mitigação de um tipo de fraude cada vez mais complexo e escalável.

Seja do ponto de vista da utilização abusiva de dados pessoais, da atividade financeira ilícita, da utilização de soluções de pagamento virtuais (e totalmente desintermediadas), ou até mesmo do branqueamento de capitais, podemos antecipar um crescimento sem precedentes das situações de fraude económica e financeira que podem ser realizadas no ciberespaço. Isto, naturalmente, se os mecanismos de defesa não aumentarem na mesma dimensão. 

É este cenário de fundo que nos levou a dirigir o tema desta conferência para a “Ciber-resiliência no setor financeiro”, que é não apenas um objetivo setorial, mas é sobretudo um objetivo nacional, dada a importância que o sistema financeiro assume para o funcionamento de qualquer país.

A concretização desse objetivo depende de uma visão comum, que devemos construir, e da combinação das várias estratégias dos atores em presença. 

O propósito desta conferência é precisamente o de ajudar à construção dessa visão comum e consequente articulação de estratégias, tendo o Banco de Portugal como catalisador de uma indispensável cooperação intrassetorial.

 

O Banco de Portugal iniciou a implementação da sua estratégia de cibersegurança em 2012, numa altura em que esta temática não tinha ainda a centralidade que assume no presente. 

Desde essa altura desenvolveu um percurso de incremento de maturidade e de capacitação que o posiciona hoje na linha da frente em matéria de cibersegurança, em termos nacionais e também internacionais.

O reforço da capacitação do Banco de Portugal em termos de cibersegurança tem sido uma prioridade central do seu Conselho de Administração nos últimos anos e é uma das suas principais orientações estratégicas para o futuro.

O Banco de Portugal tem vindo a articular as diferentes componentes de segurança (tecnológica, física e de informação) em alinhamento com as melhores práticas internacionais, dispondo de equipas específicas e dedicadas que não só asseguram a proteção da instituição, como têm como segunda missão apoiar e colaborar com outras entidades nacionais e internacionais. 

Nesse sentido, tem vindo a desenvolver uma postura de crescente ciber-resiliência, que lhe tem permitido enfrentar e suster importantes ameaças, sem qualquer interrupção da sua capacidade operacional e suportando adequadamente a sua missão institucional, do mesmo modo que lhe tem permitido apoiar outras entidades nacionais e internacionais em situações de crise.

O Centro Operacional de Cibersegurança do Banco de Portugal tem dinamizando redes de contacto, de cooperação e de estreita interação com múltiplas entidades (em Portugal e no Eurosistema), com o objetivo de partilhar informação em tempo real e de criar mecanismos de interajuda em situações de crise, contribuindo assim para a partilha de experiências e para o desenvolvimento de um conceito de ciber-resiliência em rede.

Estamos perfeitamente convictos de que o risco de contágio e o consequente impacto sistémico por ação de uma ou de um conjunto de ciberameaças nunca foram tão grandes, pelo que se impõe, mais do que nunca, o reforço de medidas de cooperação, interajuda e de partilha de informação entre todos os atores do setor financeiro nacional. 

Uma mesma ciberameaça pode afetar (em graus distintos) diferentes instituições independentemente da sua dimensão. Exemplos recentes a nível mundial têm revelado essa realidade. Não existe atualmente uma relação direta entre a dimensão de uma instituição financeira e a sua capacidade de suster um ciberataque. É, por isso, essencial, colocar os diferentes organismos num plano horizontal, potenciando, dessa forma, que interajam entre si de forma equilibrada.

Torna-se, de facto, necessário apostar num paradigma de resposta em rede aos desafios que se colocam ao setor, devidamente coordenados centralmente, numa perspetiva de resposta federada aos ciberdesafios. 

É assim que hoje os bancos centrais nacionais do Eurosistema funcionam: há troca informação em tempo real, apoio mútuo entre instituições e cooperação centralizada. 

Na mesma linha, o Banco de Portugal, que já é uma referência entre os seus pares europeus, pretende ser visto como um parceiro das instituições financeiras nacionais, primando pelo apoio, pela cooperação e pela disponibilização das suas capacidades em prol do setor e das instituições que o compõem.

Nesse aspeto, o Banco não pode deixar de assumir o seu papel central e centralizador, promovendo a cooperação, a partilha de informação e conhecimento, a dinâmica de grupo e interajuda, absolutamente necessárias para enfrentar as ameaças e os ataques. 

Para tal, o Banco de Portugal propõe-se, no âmbito da Estratégia Nacional para a Cibersegurança, criar e dinamizar um CSIRT setorial (Equipa de Resposta a Incidentes de Segurança) para o setor financeiro nacional.

O Banco de Portugal possui laços de cooperação muito fortes a nível internacional nesta vertente, promovendo frequentemente o estreitar de relações e o estabelecimento de novos canais de cooperação e interajuda, que pretende colocar ao serviço de todo o setor financeiro nacional.

Através do Banco de Portugal, uma ciberameaça que se manifeste ao nível do Eurosistema deverá imediatamente ser partilhada no setor nacional, permitindo auxiliar as primeiras instituições afetadas e proteger as restantes de forma antecipada, por conhecimento prévio dos detalhes da ameaça.  

É precisamente com o propósito de apresentar esses objetivos, que não só são setoriais, como nacionais, contribuindo para um contexto de estabilidade financeira, que estamos aqui reunidos. 

Hoje, vamos poder assistir a intervenções que nos apresentarão estratégias e visões globais sobre esta temática; mas também será partilhado aquilo que de mais relevante o Banco está a desenvolver nesta temática. 

Partilharemos medidas concretas em curso e a forma como o Banco tem vindo a integrar a cibersegurança na sua missão e nos seus processos. 

 

Para terminar, gostaria de reforçar o compromisso do Banco de Portugal na promoção de uma cultura e de uma atuação que protejam o ciberespaço financeiro nacional, baseadas na cooperação entre todos os intervenientes do setor e na definição de uma visão comum em matéria de ciber-resilência.

Espero que esta conferência nos ajude a caminhar nesse sentido.

Muito obrigado