0
0
Menos empresas estão sendo atingidas por incidentes cibernéticos, mas aquelas que são atingidas são atingidas com mais força e mais frequência.
O mundo está justamente obcecado com a pandemia COVID-19 agora, mas também há uma pandemia crescente de crimes cibernéticos. A boa notícia é que menos empresas estão relatando violações. A má notícia é que, para aqueles que são vitimados, os ataques são mais graves — e mais caros.
De acordo com a Hiscox, uma provedora de seguros com sede nas Bermudas, as perdas cibernéticas aumentaram quase seis vezes em todo o mundo nos últimos 12 meses. Seu recém-lançado “Cyber Readiness Report 2020” aponta as perdas cibernéticas totais entre as empresas afetadas em US$ 1,8 bilhão — um aumento de 50% em relação ao total do ano anterior, de US$ 1,2 bilhão. No total, mais de 6% dos entrevistados no relatório pagaram um resgate, e suas perdas coletivas totalizaram US$ 381 milhões.
Curiosamente, Hiscox diz que as empresas têm 15 vezes mais chances de sofrer um ataque cibernético (30% no Reino Unido) do que um incêndio ou roubo (2% no Reino Unido).
Quem estava mais em risco?
Não surpreende que as organizações maiores fossem os alvos mais comuns — e desembolsavam mais dinheiro — para os cibercriminosos. O impacto financeiro difere amplamente entre países, verticais e tamanhos firmes. Segundo Hiscox, os setores de energia, manufatura e serviços financeiros estão especialmente em risco. Isso é resultado da baixa maturidade na resiliência cibernética e baixa tolerância ao que muitas vezes é uma paralisação de alto impacto.
As empresas irlandesas e alemãs relataram as maiores perdas medianas, mas a dor foi amplamente compartilhada. Entre as organizações atacadas, as perdas medianas para as empresas de energia aumentaram mais de 30 vezes, enquanto vários outros setores enfrentaram perdas muitas vezes maiores do que no ano anterior. A maior perda registrada para uma única organização foi de US$ 87,9 milhões (para uma empresa de serviços financeiros do Reino Unido), e a maior perda decorrente de um único ataque foi de US$ 15,8 milhões (para uma empresa de serviços profissionais do Reino Unido).
Os cibercriminosos exigiram resgates de cerca de 17% das empresas que atacaram, e causaram consequências financeiras terríveis para os alvos. A maior perda de resgate foi de mais de US$ 50 milhões para uma organização infeliz.
De acordo com o relatório Hiscox, malware, ransomware, compromisso de e-mail de negócios e DDoS (Distributed denial-of-service) ainda são os vetores de ataque mais usados. Além da criptografia maliciosa imposta através de ransomware, outras campanhas de extorsão incluem ataques DDoS que fazem com que a infraestrutura de TI da vítima caia várias depois devido a uma inundação constante de tráfego ip falso. Recentemente, a bolsa de valores da Nova Zelândia resistiu a uma enxurrada de ataques DDoS que interromperam as operações comerciais e negociações por quatro dias consecutivos. A CNBC informou que os sites da exchange e a plataforma de anúncios de mercados também foram afetados.
Grande número de “Não Sabe”
De acordo com a Hiscox, este ano a participação das empresas que revelaram ter sofrido um incidente de cibersegurança no último ano encolheu de 61% para 39%. Pelo menos isso é positivo. O outro lado é que o golpe financeiro foi muito maior do que antes. Empresas maiores eram mais propensas a serem alvos do que as menores. Pouco mais da metade (51%) de todas as empresas de nível corporativo – aquelas com mais de 1.000 funcionários – relataram pelo menos um incidente cibernético, e o maior número de incidentes cibernéticos de longe (mediana: 100) e violações (80). Os setores mais visados foram os serviços financeiros; fabricação; e tecnologia, mídia e telecomunicações (TMT) — com 44% das empresas de cada setor relatando pelo menos um incidente ou violação.
A preocupação particular é que 11% dos entrevistados disseram não ter certeza de quantas vezes foram alvo. (Isso é 4% mais do que no ano anterior.) Ainda mais preocupante é que a maior parte de “Eu não sei” (15%) veio de empresas empresariais.
Aumento nos gastos
O relatório revelou que um grande e amplo aumento nos gastos com segurança cibernética ocorreu no último ano. O gasto médio entre os entrevistados foi de US$ 2,1 milhões, contra US$ 1,5 milhão no ano anterior. (Cerca de 75% dos entrevistados forneceram números para seus gastos com segurança cibernética.) Supondo que os números sejam um reflexo preciso do que está acontecendo de forma mais ampla, o gasto total de cibersegurança no ano passado foi de impressionantes US$ 11,4 bilhões. Isso se compara com US$ 7,9 bilhões há um ano para uma amostra de empresas 3% menor. Quase três quartos das empresas (72%) pretendem aumentar os gastos com segurança cibernética em 5% ou mais no próximo ano — isso é superior a dois terços (67%) do número de 2019.
Como era de se esperar, as empresas que dedicaram percentuais de dois dígitos de seu orçamento de TI eram menos propensas a sofrer uma violação do que aquelas que gastaram menos de 5%. Mas esses grandes gastadores, tipicamente grandes empresas, tinham custos médios mais altos decorrentes de violações. Maior tamanho significa mais clientes, maiores despesas de notificação e resgates maiores.
Preparação compensa
Uma porcentagem notavelmente maior dos entrevistados deste ano relatou que eles tiveram mais dificuldade em atrair novos clientes (15% das empresas foram alvo, contra 5% no ano passado) após um incidente cibernético. Também perderam mais clientes (11%, contra 5% em 2019) e/ou parceiros comerciais (12% em comparação com 4%).
Quando questionados sobre os efeitos adversos de uma violação, 14% dos entrevistados mencionaram má publicidade que mancha a marca ou a reputação da empresa. Apenas 5% disseram a mesma coisa em 2019. Treze por cento disseram que os indicadores de desempenho dos negócios – como o preço das ações – foram afetados, contra 5% no ano passado.
Em termos de prontidão cibernética, o tamanho importa. Hiscox relata que as grandes empresas têm mais recursos e podem gastar uma ordem de magnitude mais em afastar os malfeitores on-line do que seus homólogos menores. Não é surpresa. Entre as empresas menores que estavam prontas para enfrentar os cibercriminosos, 16% eram empresas TMT digitalmente experientes. Varejo e atacado e construção também foram bem preparados (11% e 10%, respectivamente). O relatório Hiscox conclui que a maioria das organizações mais protegidas alcançou sua preparação ao “levar a segurança cibernética a sério”.
FONTE: DARK READING