As mais de 103 bilhões de tentativas de ataques cibernéticos em 2022 colocam o Brasil em segundo lugar entre os países da América Latina mais atingidos pelos cibercrimes. O valor representa um aumento de 16% no número de casos em relação a 2021. As ameaças cibernéticas são um fenômeno crescente no atual ambiente operacional digitalizado e conectado. As mesmas tecnologias que permitiram a transformação dos negócios também oportunizam crimes cibernéticos. Um recente estudo divulgado pela Proofpoint, Inc., empresa líder em cibersegurança e compliance, chamado State of the Phish, revelou que oito em cada 10 empresas brasileiras (78%) registraram, ao menos, uma experiência de ataque de phishing por e-mail em 2022, e 23% sofreram perdas financeiras como resultado. Ainda, 58% das empresas nacionais sofreram uma tentativa de ataque de ransomware no ano passado, com quase metade (46%) sendo bem-sucedido.
Embora os ransomware (espécie de malware cripotografado
de sequestro de dados) e os golpes de comprometimento de e-mail comercial sejam
opções mais conhecidas e populares de ataques cibernéticos, o estudo revelou
que os hackers estão evoluindo e ampliando seu portfólio,
por assim dizer, para processos menos conhecidos e mais nocivos para as
organizações globais. E a extorsão on-line não é recente: um relatório
apresentado em 2020 pela Kaspersky, empresa de cibersegurança com filial em São
Paulo, revelou que ataques contra sistemas de controle industriais (ICS)
cresceram após 12 meses de queda. Dentre os setores analisados, petróleo &
gás, engenharia & integração de ICSs e energia foram os segmentos mais
afetados por invasores.
Cabe pontuar que fatores como sistemas
desatualizados, acesso remoto sem a aplicação das devidas melhores práticas de cybersegurança,
infraestrutura digital inadequada, falta de alinhamento dos setores de operação
com a área de gestão de risco em TI, contribuíram para agravar o cenário e
conduzir à exposição do ambiente interno das empresas. Na era da Indústria 4.0,
a cibersegurança é fundamental, já que tudo está conectado. Hoje, mais do que
nunca, é necessário desenvolver mecanismos capazes de prevenir ou mitigar
riscos e falhas para se defender de criminosos virtuais.
A falta de segurança tem sido custosa: um estudo da
Kivu Consulting, consultoria global de segurança cibernética, aponta que o
setor industrial gastou mais do que qualquer outro setor no ano de 2020, com
pagamentos de resgate a ataques de ransomware girando em torno de US$ 6,9
milhões.
Ataques cibernéticos pela internet podem ser podem
ser devastadoras para uma empresa, visto que os criminosos obtêm acesso aos
dados e sistemas - muitas vezes sigilosos - das organizações. Ataques
cibernéticos em sistemas de tecnologia de automação, por exemplo, repercutem e
podem causar graves danos em diversos ambientes e operações fabris, além de
afetar finanças, vendas, reputação, segurança da informação, interrupção de
produção e, no pior dos casos, acidentes pessoais e ambientais.
Fato é que a segurança cibernética não é
incumbência apenas do setor de TI, devendo as empresas apostarem em uma
abordagem holística de elevada prioridade nas agendas da alta administração e
dos conselhos. A operação digital pode gerar diversas oportunidades para
criminosos em ambientes de TI (information technology) e de OT (operating
technology), uma vez que os sistemas de controle industrial de
fábricas e manufaturas trabalham de forma ininterrupta.
O risco de interconexões digitais entre as
organizações ainda é um agravante. Em outras palavras, não significa que uma
organização em particular será o alvo de ataques diretamente. Muitas vezes,
pode ser uma organização dentro de uma rede (de fornecedores ou clientes, por
exemplo) que tenha grande impacto e ingerência nos negócios. A compreensão
desses tipos de associações entre as empresas - clusters - é
crucial na prevenção de ameaças cibernéticas, garantindo que todas as partes
cumpram os padrões de segurança e compartilhem abertamente informações sobre
ameaças.
Uma estratégia de segurança cibernética
cuidadosamente projetada é uma boa ferramenta para orientar o desenvolvimento
de uma organização em direção a sistemas de TI e OT mais seguros e para
fortalecer rotinas confiáveis nas operações diárias. Esse processo de
estratégia pode, por exemplo, incluir a identificação e avaliação dos riscos
potenciais, uma avaliação realista do estado atual da cibersegurança na
organização, inclusive a sua rede de negócios, bem como a tomada de decisões
sobre áreas de desenvolvimento e alocação de recursos. Ainda, é importante
aumentar a conscientização dos colaboradores sobre ameaças cibernéticas por
meio de comunicação, treinamento e exercícios de crise.
Conscientes dos efeitos potencialmente devastadores
nos negócios, executivos seniores e outros profissionais da alta
administração e do conselho estão cada vez mais atentos à relevância da
segurança cibernética. Devido aos enormes impactos potenciais, a prevenção deve
ser parte integrante do gerenciamento de riscos de uma empresa, e um plano de
recuperação de ataques cibernéticos precisa ser incluído no plano estratégico e
de continuidade de negócios. Também é bom vislumbrar que os riscos relacionados
à segurança cibernética precisam ser reavaliados com mais frequência – de
preferência, em tempo real. Tudo isso torna a segurança cibernética uma questão
de nível estratégico.
No ambiente de negócios em que hoje se opera, é
responsabilidade de todas as áreas e cadeias de valor de uma organização, e de
sua alta administração, criar um ambiente e uma cultura de segurança
cibernética. Segundo o "Relatório de Seguros Contra Ciberataques: Como
otimizar a alocação de capital e mitigar riscos do sistema de informação",
da Bravo Research, estima-se que US$ 10,429 bilhões serão destinados à
responsabilidade cibernética apenas neste ano. A empresa que não investir em
uma boa gestão de riscos, visando minimizar as ameaças de ciberataques, corre
não apenas riscos financeiros, mas de integridade dos seus colaboradores, bem
como riscos ao meio ambiente, esses talvez, irreversíveis.
Cesar Augusto Paiva -
Especialista em Automação da Valmet
Nenhum comentário:
Postar um comentário