O relatório da seguradora Hiscox, feito pela Forrester Consulting entre Outubro e Dezembro de 2018, tentou perceber de que forma as empresas dos Estados Unidos da América e da Europa estão preparadas para combater os crescentes ataques e falhas de segurança, através de inquéritos realizados a empresas americanas, do Reino Unido, Espanha, Países Baixos, Alemanha, Bélgica e França.
Uma das novidades do último Hiscox Cyber Readiness Report é que, pela primeira vez, a maioria das empresas (61%) afirma terem tido falhas de segurança nos últimos doze meses, já que em 2017, apenas 45% reconheceram ter sofrido um ou mais ciberataques. Estes incidentes são também mais frequentes com 30% das empresas a revelarem que tiveram quatro ou mais incidentes, mais 10% do que no ano anterior. Os ataques mais recorrentes foram vírus e worms (24%), seguidos de ransomware (17%) e de negação de serviço ou DDoS (15%).
PME sofrem mais ataques
As pequenas empresas (até cinquenta colaboradores) que foram alvo de ciberataques passaram de 33% para 47% e, no caso das de média dimensão (até 250 colaboradores) de 36% para 63%, isto apesar das grandes organizações serem as mais afectadas com 75% a terem problemas e com 21% a indicarem que sofreram cinco ou mais incidentes de segurança.
Claro que este aumento, realça o estudo, pode dever-se, sobretudo nas organizações europeias, à implementação do RGPD que tornou as empresas mais cientes dos ataques e com a obrigação de os comunicarem, em caso de violação de dados pessoais até 72 horas após terem tido conhecimento dos mesmos. Gareth Wharton, cyber CEO da Hiscox, explicou isso mesmo. «A regulação está a aumentar a consciência das empresas para os problemas de segurança e a obrigar à criação de bases rigorosas na cibersegurança. O RGPD obrigou as a organizações a adaptarem-se e provocou um aumento na procura por soluções de cibersegurança e seguros cibernéticos», área em que a seguradora é especializada.
Nenhum sector é imune
As empresas que participaram no estudo são provenientes de quinze áreas de negócio diferentes e todas reportaram incidentes, o que demonstra que os cibercriminosos não «discriminam» ninguém.
No entanto, alguns sectores de actividade são mais atingidos do que outros e as organizações de tecnologia, media e comunicação são as que mais sofreram com 72% a dizer que teve pelo menos um ataque em 2018. Esta é uma grande subida já que, em 2017, este valor era de 53%. A administração pública aparece na segunda posição das instituições mais afectadas com 71% seguido pelos serviços financeiros com 67%.
Estes ataques por vezes não são directos mas provenientes da cadeia de distribuição e dos parceiros: 65% das empresas reconheceram que foram atacadas através de vulnerabilidades na sua cadeia de abastecimento ou de parceiros com quem trabalham. Isto é uma realidade, por exemplo, no caso da cloud, em que 22% dos inquiridos revelaram que tiveram problemas de segurança devido a falhas nos fornecedores de serviço de nuvem.
Impacto financeiro elevado
O custo dos ciberataques é outra das variáveis avaliadas no Hiscox Cyber Readiness Report e a média é de 337 mil euros por ano. O impacto é maior nas grandes empresas com valores de 360 mil euros, enquanto as PME têm ataques com um valor médio de 8,2 mil euros. Os sectores mais afectados são a indústria farmacêutica e saúde com ataques a totalizarem mais de 663 mil euros, as viagens com 642 mil euros em impactos anuais e os serviços financeiros com custos totais de 574 mil euros.
Mas se os custos com os incidentes estão a crescer, os orçamentos dos departamentos de segurança são cada vez menores. O valor gasto, em média, por empresa em cibersegurança foi de 13,5 milhões de euros, o que corresponde, em média, a 9,9% do orçamento dos departamentos de TI, quando era de 10,5%, em 2017. No total de todas as organizações consultadas, o valor despendido em cibersegurança foi de 7,2 mil milhões de euros.
Empresas não estão preparadas
Quando à preparação das empresas em relação aos ciberataques, a Hiscox desenvolveu um modelo com base nas melhores prácticas de cibersegurança que tem três categorias: novice (novata), intermediate (intermédia) e expert (especialista). O estudo concluiu que o número de empresas especialistas, ou seja, que estão preparadas desceu de 11% para 10%, as que estão no nível intermédio constituem 16% e que as menos preparadas ou novatas são 74%.
No entanto, as organizações estão a fazer um esforço no sentido de se prepararem e as direcções estão a criar cada vez mais áreas de cibersegurança e a nomear responsáveis por esses departamentos. Em 2017, 32% das empresas não tinham um cargo de liderança nesta área e, em 2018, apenas 16% não têm uma chefia de segurança. Além disso, quando questionadas sobre o facto de terem tomado acções após um ciberataque, 68% disseram que sim quando em 2017, apenas 53% o fizeram.
Os seguros na cibersegurança
Sobre a sua área de negócio, os seguros cibernéticos, a Hiscox revela que estes são cada vez mais comuns com 41% das empresas a terem um seguro contra ataques, 30% a indicar que pretende fazê-lo durante 2019, 26% a referir que tem planos para tal sem definir uma data e com apenas 3% a revelar desconhecer o que é. Este número, que diminui para metade de um ano para o outro, é maioritariamente referente a entrevistados de pequenas empresas, salienta o Hiscox Cyber Readiness Report.
