Ciberataques: uma ameaça existencial muito real para as organizações

Todos sabemos que a segurança cibernética é um elemento crítico do risco empresarial. Mas quão crítico? Algumas salas de reuniões parecem falar pouco mais do que falar da segurança e ainda assim conseguem evitar sérias repercussões. É por isso que um novo relatório da seguradora global Hiscox torna a leitura interessante. Na verdade, afirma que muitas organizações europeias e americanas chegaram perto da insolvência após violações de segurança. E enquanto os gastos estão aumentando, menos empresas globais do que nunca são descritas como “especialistas” em prontidão cibernética.

É claro que saber para onde direcionar o investimento em segurança cibernética nunca foi tão importante. Então, o que os especialistas fazem para evitar a falência? De acordo com o relatório, é em grande parte uma mistura de princípios básicos de melhores práticas e uma vontade de aprender com incidentes anteriores.

Uma ameaça existencial

O relatório é compilado a partir de entrevistas com 5,000 empresas nos EUA, Reino Unido, Bélgica, França, Alemanha, Espanha, Holanda e Irlanda. Algumas das descobertas já conhecíamos. Mas existem algumas nuances interessantes. Por exemplo:

• Sete dos oito países classificam um ataque cibernético como a ameaça número um aos seus negócios
• Metade (48%) dos entrevistados relatou um ataque cibernético nos últimos 12 meses, contra 43% no ano passado
• Um quinto (19%) dos entrevistados relatou um ataque de ransomware, acima dos 16%. Dois terços das vítimas pagaram seus agressores

Até agora, tudo normal. No entanto, existe um grande abismo de percepção entre aqueles que sofreram um ataque e aqueles que não sofreram. Mais de metade (55%) das vítimas de ataques cibernéticos vêem a segurança cibernética como uma área de alto risco, mas o número cai para apenas 36% para aqueles que não foram comprometidos. Da mesma forma, 41% dos atacados afirmam que a sua exposição ao risco aumentou, mas para o outro grupo o número é inferior a um quarto (23%)

Outra pepita interessante: os cibercriminosos parecem ser visando cada vez mais empresas menores. Aqueles com receitas de US$ 100,000 a US$ 500,000 agora podem esperar tantos ataques quanto aqueles que ganham US$ 1 milhão a US$ 9 milhões anualmente.

Empresas de custeio queridas

Isso é importante, pois um quinto das empresas respondentes que foram atacadas dizem que sua solvência estava ameaçada, um aumento de 24% em relação ao ano passado. Embora não sejam detalhados no relatório, os custos de violação podem incluir:

• Interrupções operacionais
• Custos legais
• Horas extras de TI e custos forenses de terceiros
• Multas regulamentares
• A rotatividade de clientes
• Perda de produção e vendas
• Danos à reputação de longo prazo

Isso pode explicar parcialmente por que os gastos aumentaram. Os gastos médios com segurança cibernética dos entrevistados aumentaram 60% no ano passado, para US$ 5.3 milhões, e aumentaram 250% desde 2019, de acordo com o relatório

Como os invasores estão comprometendo as organizações?

Para entender melhor como sua organização pode evitar a falência, primeiro precisamos saber como os agentes de ameaças estão causando tantos danos. De acordo com o relatório, os principais vetores de ataque são:

• Servidores de nuvem (41%)
• E-mail comercial (40%)
• Servidores corporativos (37%)
• Servidores de acesso remoto (31%)
• Dispositivos móveis de propriedade dos funcionários (29%)
• DDoS (26%)

Isso está de acordo com as descobertas de outros relatórios e a narrativa de que o trabalho remoto, os investimentos relacionados à pandemia em infraestrutura em nuvem e os desafios de segurança do trabalho remoto são alguns dos maiores riscos enfrentados pelas organizações hoje. Eles se combinaram com o erro humano para criar uma grande superfície de ataque para os atores de ameaças visarem.

O que fazer a seguir

É preocupante o facto de as pontuações de preparação cibernética estimadas pela Hiscox terem diminuído 2.6% em termos anuais, levando a uma queda acentuada no número de empresas classificadas como “especialistas” – de 20% para apenas 4.5%. A proporção classificada como novatos também diminuiu significativamente, deixando a maioria como “intermediários”. A prontidão cibernética é importante porque os custos médios de ataque, como percentagem das receitas, são duas vezes e meia mais elevados para empresas classificadas como “novatas cibernéticas”, afirma o relatório.

Então, como é uma organização madura preparada para o ciberespaço? Felizmente, nem tudo depende de quanto dinheiro está disponível para gastar. Várias práticas recomendadas são destacadas, incluindo o seguinte:

• Formalize a segurança cibernética com funções claramente definidas e adesão do conselho ou da alta administração
• Garantir que os principais executivos tenham visibilidade clara e envolvimento com a segurança cibernética
• Siga os padrões de melhores práticas, como o Estrutura do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST)
• Divida o investimento nas cinco funções principais do NIST – identificar, proteger, detectar, responder e recuperar
• Concentre-se no planejamento de resposta a incidentes e simulações de ataque à luz de incerteza geopolítica atual
• Avalie regularmente dados corporativos e infraestrutura de tecnologia
• Fornecer eficaz treinamento de conscientização de segurança cibernética
• Garantir que fornecedores e parceiros comerciais cumpram os requisitos de segurança
• Concentre-se em processos de “frutas fáceis”, como patches, pentesting e backups regulares

Em conjunto, essas etapas ajudarão a minimizar as chances de um ataque levar a organização à falência.