Kris Hagerman tem um currículo recheado de marcas conhecidas nas tecnologias: Corel, Symantec, Veritas e Silicon Graphics. Hoje, lidera a Sophos e está num local privilegiado não só para observar o mercado como para o mudar. Como? Com Inteligência Artificial, muitos dados e uma regra elementar que, de ora em diante, terá de ser seguida por todos os informáticos, departamentos de helpdesk ou até gestores de redes caseiras: um terminal é uma porta aberta para o mundo e pode ser explorada por cibercriminosos.
O que muda com a compra da Sophos pela Thoma Bravo? Tendo em conta que a Thoma Bravo também tem uma participação na McAfee… será que vamos assistir a uma fusão?
Não… mas tenho de ter algumas cautelas especiais, porque estou impedido (por questões de regulação e gestão de expectativas bolsistas) de fazer projeções para o futuro. O negócio foi anunciado, mas só deverá ficar fechado em fevereiro. Vamos esperar até fevereiro e depois falamos sobre o que realmente vai acontecer. O que a Thoma Bravo disse nos seus comunicados é que pretende manter a operação da Sophos como uma empresa independente. O que significa que não vamos ser integrados com outras empresas. A Thoma Bravo também disse que se trata de uma grande oportunidade para combinar equipas de gestão da própria Thoma Bravo e da Sophos, como um todo, a fim de acelerar a nossa evolução para a liderança do segmento da cibersegurança. Da perspetiva da Thoma Bravo, esta é uma oportunidade para reforçar investimentos em cibersegurança e levar uma empresa como a Sophos a potenciar crescimento e faturação.
Mas a Sophos vai continuar a ser uma empresa britânica ou vai tornar-se cada mais uma marca americana?
A Thoma Bravo disse que não tem quaisquer planos para tirar a sede do Reino Unido. Hoje, 90% do nosso negócio está fora do Reino Unido. Somos já uma empresa global. Temos orgulho nas nossas origens; temos uma sede no Reino Unido, estamos na Bolsa de Londres, mas o nosso negócio é global.
Na década passada, toda a gente falava de vírus, mas hoje as ameaças não só se multiplicaram em quantidade como em tipologia… Será que as empresas de cibersegurança perderam a guerra?
Não, não me parece. Perguntam-me muitas vezes se os “maus” estão a ganhar, e se os bons ainda têm hipóteses (de ganhar)… Na minha visão, se olharmos bem a Internet está a ganhar. Se olharmos para a escala e para o valor que tem através da ação que produz na economia mundial, a Internet é que está a ganhar. Será que há “maus” que vão atrás de tudo isto? Claro que há. Quanto mais dados produzimos ao longo da vida e quanto mais conectados estamos, maiores são as oportunidades para os cibercriminosos. O nosso trabalho é ajudar a proteger as diferentes organizações e garantir que a proporção da Internet e do tráfego de dados associada ao crime diminui. E nós estamos a ser bem-sucedidos com isto. Mesmo com este nosso trabalho, há cada vez mais ameaças que estão cada vez mais sofisticadas e se movem cada vez mais rapidamente. Para uma empresa como a nossa, o sucesso exige estar sempre na linha da frente da inovação. O que exige um grande empenho… A Sophos existe há 34 anos. Somos um dos líderes mundiais de cibersegurança. Continuamos a crescer e a ser bem-sucedidos no mercado; e uma das razões disso é que sempre encontrámos uma forma de evoluir e mudarmo-nos e adaptar-nos continuamente, à medida que potenciamos novas tecnologias. Por exemplo, fizemos grandes investimentos em cloud computing, em inteligência artificial, aprendizagem máquina, segurança sincronizada entre diferentes dispositivos usados por uma pessoa ou empresa, ou na gestão de reações a ameaças. Estas são as coisas que temos de fazer para estar à frente dos criminosos.
Os produtos de cibersegurança não pararam de mudar… hoje já ninguém compra um antivírus numa caixa!
Sim, e por isso referi a necessidade de estar em evolução e adaptação continuamente. Hoje, há uma distinção notória entre marcas de segurança eletrónica que já enveredaram pela nova geração de cibersegurança e aquelas que ainda não fizeram. Tomámos uma decisão há cinco ou seis anos de que a nossa empresa evoluísse para a cloud e para a nova geração de cibersegurança. O que significa que apostamos em tecnologias como Inteligência Artificial, aprendizagem máquina (machine learning), e… temos uma plataforma única para a gestão da cloud, que dá pelo nome de Sophos Central, onde é possível aceder a todos os nossos produtos para o gerir de forma unificada. Mas essa plataforma também dá a possibilidade de produtos isolados comunicarem entre eles. É como ter guardas que finalmente podem comunicar entre eles. Parece óbvio, mas trata-se de um grande avanço para a cibersegurança. Até hoje, havia silos de informação isolados. A Sophos está a evoluir como uma líder da cibersegurança de nova geração… hoje, metade do nosso negócio vem dessa cibersegurança de nova geração. Começámos há seis anos e hoje vale mais de 350 milhões de dólares por ano; e está a crescer 40% a 50% por ano!
Com a cloud, torna-se mais fácil disponibilizar ferramentas de segurança que acompanham todos os circuitos da informação!
Virtualmente, todo o nosso negócio é empresarial. Fazemos muito pouco negócio com os consumidores. Temos um produto para os consumidores, porque há clientes empresariais que nos disseram que gostavam que os respetivos clientes tivessem estas ferramentas em casa. E por isso, criámos o Sophos Home, que é um dos líderes no que toca a segurança em casa, mas na maioria dos casos vendemos esse produto a empresas que depois o disponibilizam aos empregados. Quando lançámos este serviço baseado na cloud passámos a ter a chance de disponibilizar uma solução amiga do consumidor… na maioria dos casos sem custos!
A maioria das pessoas ainda não usa sistemas de segurança no telemóvel… ou será esta uma visão pessimista?
Essas pessoas andam a brincar com o fogo! A nossa visão é: um terminal é um terminal, é um terminal, é um terminal… e por aí fora. Se for um dispositivo computacional, que tem um sistema operativo e que está conectado e partilha dados, então é um terminal. As coisas que se fazem num telemóvel não são muito diferentes das coisas que podem ser feitas num portátil; e não são muito diferentes do que é feito num computador de secretária e não são diferentes daquilo que é feito num servidor. Cada um destes dispositivos tem acesso a dados, processa dados e está interconectado. Hoje, há mais de 400 mil empresas que são nossas clientes, e protegemos mais 100 milhões de utilizadores que se encontram nessas empresas. Uma das recomendações mais básicas quando lembramos que um terminal é um terminal, é um terminal, é um terminal… serve para garantir que estamos a proteger esses terminais, sejam eles portáteis, telemóveis ou servidores.
Mesmo assim, há uma grande fatia do mercado que ainda não usa sistemas de segurança nos telemóveis!
Mas já começa a acontecer cada vez mais nas empresas, que sentem a necessidade de proteger esses telemóveis e que precisam de disponibilizar um nível de segurança robusto tanto para portáteis como para os telemóveis…
Talvez os operadores de telecomunicações possam ter uma palavra a dizer nessa questão…
Sim, podem ajudar… mas com o tempo vai ser inevitável que as diferentes organizações comecem a perceber que têm de proteger estes dispositivos. É uma questão de quando é que vai acontecer e não de se saber se vai ou não acontecer…
Essa lógica também é válida para a Internet das Coisas (IoT), com um número de terminais que aumenta exponencialmente?
Se alguém considera que os desafios atuais da cibersegurança já são grandes… com um mercado de segurança nas tecnologias a valer mais de 40 mil milhões no mundo e a crescer 8% ao ano… Se visitar qualquer organização, tenha cinco pessoas ou 5000, e lhe perguntar qual a prioridade, então essa organização dirá que a prioridade é manter-se protegida e a operar no mercado. Isso traduz-se numa oportunidade de negócio muito grande. A IoT vai tornar essa oportunidade não só maior como mais complexa – porque há cada vez mais dispositivos conectados.
Muitos desses terminais não serão mais que sensores um pouco limitados no que toca a funcionalidades…
Mas alguns deles estão a disponibilizar acessos à rede. É uma área adicional de exposição de vulnerabilidades (para pessoas de fora da organização). Garantimos dispositivos móveis, mas também garantimos a segurança das redes, ou o acesso por Wi-Fi. Temos de proteger o Wi-Fi que tem a capacidade para olhar para todos os dispositivos que estão conectados, e compará-los através dos nossos diferentes produtos… para vermos o que está a acontecer no terminal, na rede, no ponto de acesso, a fim de apurar se algo de errado está a acontecer. É por isso que é tão importante falar de segurança a fundo; para que possamos ter pontos de vista de vários “guardas” que comunicam entre eles, para saberem quando algo inapropriado acontece.
Faria sentido que as diferentes marcas de segurança eletrónica passassem a ter um standard para facilitar esse tipo de comunicação?
Há umas quantas tendências encorajadoras. Temos visto uma ênfase cada vez maior nas API (interfaces para a programação de aplicações). Anunciámos, no primeiro semestre, que a plataforma Sophos Central iria ser aberta, através de API documentadas para o público e também para os nossos clientes, bem como para outras marcas. Isso permite que os nossos produtos funcionem de forma muito mais colaborativa. Os nossos clientes podem usar essas API para aceder aos nossos produtos a partir de qualquer consola de gestão ou framework que estejam a usar. As outras marcas de segurança eletrónica podem fazer o mesmo. Estamos apostados em tornar-nos em inovação em cibersegurança, mas também queremos ser os campeões na abertura (ao mercado). Quanto mais confiantes estivermos nos nossos produtos e funcionalidades, mais confortáveis estaremos para abri-los. Achamos que é bom para a Sophos, para os nossos clientes e parceiros e também para esta indústria como um todo. As marcas que lideram o mercado vão, cada vez mais, apoiar este tipo de API.
E o Regulamento Geral de Proteção de Dados (RGPD) dificultou-vos os negócios na UE?
O RGPD não é só europeu. Agora também há um RGPD na Califórnia, que é a maior economia dos EUA – e corresponderia à quinta maior economia do mundo, se fosse independente – e que está a implementar uma abordagem ao RGPD que é muito similar à europeia. O RGDP é, fundamentalmente, sobre dados. O RGDP tem a ver com o tipo de dados que as diferentes organizações captam informação, como a protegem e a gerem. Em parte isso só se consegue fazer com (soluções de) segurança, mas há uma parte que está relacionada com a forma como são trabalhados os dados. No nosso ponto de vista, as empresas que tentam cumprir o RGPD têm de garantir a segurança (dos dados). Logo, é algo que ajuda toda a indústria de cibersegurança.
Como é que a Inteligência Artificial (IA) pode mudar os vossos produtos?
Fizemos um grande investimento em IA e machine learning. É uma evolução muito grande da cibersegurança; muda completamente o panorama. Uma das vantagens dos cibercriminosos era a grande variedade de ataques… por dia, há cerca de 300 mil ou 400 mil incidentes relacionados com código malicioso. Temos o Sophos Labs, que é uma referência no mundo, aplica muito tempo e energia com os humanos. Os humanos lidam com muitas destas ferramentas e aplicações, mas é como se estivessem a nadar contra a maré, e a maré obrigasse a nadar cada vez com mais força. O machine learning tem por base mais dados. Quanto mais dados forem dados a processar, melhor fica o algoritmo. O que acontece é que quanto mais o malware é sujeito a análise, melhor ficam os sistemas de machine learning baseados na análise de dados. O que antes era um desafio, com uma capacidade de IA, tornou-se um ponto-forte. Quanto mais cibercrime e mais códigos maliciosos forem analisados, melhores ficam os algoritmos, porque eles aprendem sozinhos. Ao vermos mais malware passamos a fazer um trabalho melhor não só a detetar malware que já existe, como também passamos a poder garantir melhores proteções para malware que ainda nem sequer foi criado, porque podemos determinar características com base no que já existe.
Mas os cibercriminosos também estão a usar IA para enganar os sistemas de segurança eletrónica!
Sim, mas não têm acesso ao mesmo volume de amostras que nós temos. Temos um conjunto de informação; e podemos usar toda essa informação para construir melhores produtos. Os criminosos apenas veem uma pequena parte disso. Um computador pode ser usado para boas ou mais coisas; a autoestrada também pode ser usada para distribuir comida e medicamentos, mas também pode ser usada para os ladrões bancos fugirem. Por causa de termos acesso a um volume de informação tão grande, temos uma vantagem face aos cibercriminosos. Há também uma economia de escala. Ao contratarmos cientistas de dados e de aprendizagem máquina passamos a poder investir fortemente na expansão de soluções para uma organização inteira.
O Wannacry já acabou?
O Wannacry começou há cerca de 2,5 anos e afetou já 200 mil organizações no mundo. Publicámos estudos que revelavam múltiplas variações geradas a partir do Wannacry, com cópias com ligeiras alterações, que têm por objetivo explorar uma vulnerabilidade e exigir um resgate (para o acesso a computadores bloqueados pelas infeções). Continuamos a ver milhares de cópias e variantes do Wannacry. Continua a ser um problema…
… E se calhar os autores do Wannacry continuam ainda envoltos em mistério!
Pode ser uma pessoa, uma organização criminosa, ou até um estado. Não está 100% claro. O que se sabe sobre o Wannacry original e as múltiplas cópias é que há cada vez mais ataques e muitos deles são muito sofisticados, que só estão ao nível dos ataques promovidos pelos estados. O que se sabe é que depois de serem lançadas durante os primeiros ataques, estas ferramentas são comercializadas para todo o tipo de organizações criminosas. E é isso que temos visto com o Wannacry. É uma demonstração da importância desta ameaça para todo o tipo de organizações, que têm de continuadamente prestar atenção a todo o tipo de terminais. Mesmo que os títulos de jornais não falem sobre o assunto, é algo que continua a acontecer a toda a hora.
O fleeceware que cobra aos utilizadores funcionalidades que deveriam ser grátis é uma dessas ameaças que não chegam aos títulos dos jornais?
O fleeceware é um exemplo de como o panorama da segurança eletrónica tem de ser visto como um todo; as marcas de segurança têm de ser constantemente cuidadosas e inovadoras. O fleeceware não é ilegal, do ponto de vista técnico. Faz-se um download de uma app para o telemóvel, que diz que está disponível para demonstração durante três dias, seguida de uma cobrança pelas funcionalidades. Mas não diz que, mesmo que a app removida, vai continuar a ser cobrado um valor ao utilizador. Vai ser necessário contactar a empresa a dizer para desativar o serviço. É um exemplo de código malicioso que não é um vírus, mas é uma app com funcionalidades legítimas, mas tendo em conta os propósitos deve ser visto como malware.
Talvez as lojas de aplicações devam passar a fazer uma análise cuidadosa!
Achamos que os requisitos têm de ser mais exigentes e irem além da simples classificação de código malicioso, para passarem a ter em conta aplicações que levam consumidores e empresas ao engano.