A Cibersegurança não é apenas uma questão de maior ou menor complexidade tecnológica, nem tampouco um desafio jurídico-legislativo. É, sim, um desafio nas opções que a Europa quer tomar, ao nível do investimento nas suas próprias “Ciber-Ferramentas” e como pretende integrar a Inteligência Artificial no arco da Cibersegurança europeia.
Isto, porque a Cibersegurança é, em primeiro lugar, um problema de soberania política, que a Europa tem de enfrentar de forma pragmática, sobretudo no atual contexto geopolítico, porque as ameaças já não são apenas “económicas”. Elas são, cada vez mais, ameaças à integridade político-institucional.
Em segundo lugar, a cibersegurança é uma questão de agilidade, pela simples razão de que as ameaças e os ataques crescem a uma velocidade incrementalmente maior que a capacidade de defesa e resposta e, sobretudo, exploram vulnerabilidades. A realidade mostra-nos que 4 em cada 5 violações de dados são causadas por novas vulnerabilidades, que são publicadas mais de 80 novas vulnerabilidades públicas por dia e que 80% das situações estão disponíveis antes de a vulnerabilidade ser publicada. Além disso, o tempo médio para um criminoso começar a explorar estas novas vulnerabilidades é de 15 minutos após a sua divulgação. E com a automação e a IA, a velocidade e a escala de exploração de vulnerabilidades aumenta exponencialmente.
É por isso que não se pode pedir que a capacidade de resposta seja integralmente resolvida pelo sector privado, pela simples razão de que esses, por definição, estão limitados nos recursos e as suas iniciativas de cibersegurança estão, na maior parte das vezes, circunscritas apenas aos seus ativos digitais e, dessa forma, são incapazes de contribuir para a sociedade como um todo.
Por outro lado, o excesso de regulação, ou melhor, regulação demasiado complexa e muito exigente também não ajuda as empresas, porque desvia os recursos e o foco da prevenção e da tecnologia para o compliance com o regulador.
E também é preciso assegurar que o grosso do pelotão das empresas europeias implementa políticas de segurança adequadas - mais 90% são PME e não tem capacidade para investir em grandes recursos para a cibersegurança.
Na verdade, é nas empresas mais pequenas que se sente mais o “digital divide” e onde estão, na maior parte das vezes, as maiores vulnerabilidades. Uma situação de alto de risco, porque uma parte significativa destas PME tem relações digitais - comerciais e de comunicação -, quer com o Estado, quer com as maiores empresas, algumas delas a lidarem com infraestruturas críticas.
Ou seja, a Europa precisa de desenvolver e autonomizar o seu próprio ecossistema de cibersegurança, apostando em inovação e tecnologia endógena e ágil, que garanta a independência tecnológica e a integridade regional na exposição aos restantes blocos. Tal desígnio, tem de passar por apoiar soluções inovadoras, que não podem, nem devem ficar expostas apenas à arbitrariedade do mercado e devem, por isso, fazer parte de um novo ecossistema público-privado, com universidades, que permita, por um lado, criar uma efetiva capacidade europeia de inovação e de desenvolvimento de respostas às crescentes ameaças, que sucedem em tempo real, e, por outro, permitir que essas soluções possam ser disseminadas pela sociedade de forma adequada, acessível e ágil.
A este propósito, vale a pena destacar os Considerandos 29, 30 e 31 do European Cybersecurity Act (ECA), porque enfatizam a importância da cooperação intersectorial e internacional, a deteção e gestão proativa de vulnerabilidades e o papel da ENISA como facilitador e agregador de informação e de esforços de cibersegurança na União Europeia. Aliás, um dos pilares da cibersegurança reside, precisamente, na capacidade de deteção e gestão proativa de vulnerabilidades, desde que assegurem uma precisão superior a 95%.
Na prática, da mesma forma que a Europa foi capaz de criar um consórcio para a aviação, como a Airbus, modelo que a indústria automóvel europeia também sugeriu recentemente para si, devia, também, criar um cluster industrial para a cibersegurança. Este modelo é particularmente relevante perante o desenvolvimento exponencial da Inteligência Artificial, que está a funcionar mais depressa do lado das ameaças do que lado da segurança.
No entanto, de certa forma, esta ideia já está prevista no ECA, uma vez que preconiza, precisamente, num dos seus considerandos, que é crucial que a gestão de vulnerabilidades deve resultar da «cooperação entre organizações, fabricantes, prestadores de serviços, fornecedores de processos de TIC vulneráveis, a comunidade de pesquisa em cibersegurança e governos» e que essas vulnerabilidades devem ser «comunicadas de forma estruturada aos proprietários dos sistemas afetados para permitir a correção antes da divulgação pública».
Isto é, havendo um ecossistema europeu de inovação em cibersegurança, com capacidade financeira e tecnológica, capaz de proteger a propriedade intelectual, as soluções inovadoras e ágeis para detetarem vulnerabilidades podiam ver a luz do dia de uma forma mais célere e chegar mais depressa a todas as empresas, com vantagens evidentes ao nível da antecipação e capacidade de resposta, com benefícios evidentes na redução do stress dos sistemas faces às constantes ameaças e no aumento da ciberesiliência.
No fundo, um ecossistema para consolidar a cibersegurança europeia.