A prof. Sally Eaves é presidente de Cyber Trust e Conselheira de Política Sênior da Global Foundation em Pesquisa e Estudos Cibernéticos. Descrita como portadora da tocha da tecnologia ética, é a primeira recebedora do Prêmio Frontier Technology and Social Impact, apresentado nas Nações Unidas. Diretora Executiva de Tecnologia e agora professora em Tecnologias Avançadas e Conselheira Estratégica Global em Tecnologias Emergentes, Sally é uma autora ganhadora de prêmios internacionais, MC, oradora principal e Líder de Ideias sobre Transformação Digital (IA, 5G, Nuvem, Blockchain, segurança cibernética, Governança, IoT, Ciência de Dados) junto a Cultura, Habilidades, DEI, Sustentabilidade e Impacto Social.
Sally educa e mentora ativamente para auxiliar a próxima geração de talentos tecnológicos. Fundou o Aspirational Futures para aumentar a inclusão, diversidade e igualdade em educação e tecnologia, com seu último livro ‘Tech For Good pronto para ser lançado em 2022. Sally é reconhecida consistentemente pela influência global no espaço da tecnologia liderando entidades como a Onalytica, aparecendo no top 10 mundial de várias disciplinas, desde IA e 5G até sustentabilidade, dentre outros.
O cenário de ameaças cibernéticas das pequenas e médias empresas
As empresas de pequeno e médio porte (PME) desempenham um papel vital no crescimento e estabilidade da economia internacional e na economia nacional. Aproximadamente 400 milhões de PME fazem parte da espinha dorsal de nossa economia global e são a fonte de liderança de trabalho e criação de empregos, representando mais de 95% de todas as entidades comerciais, e de 60% a 70% dos empregos.
Portanto é obrigatório tanto para a economia quanto para a segurança que as PME possam abraçar todas as oportunidades proporcionadas pelo mundo digital omnichannel de hoje em dia, enquanto mantêm uma forte segurança cibernética
E isso chega em um momento de importantes mudanças. Muitas PME têm precisado adotar novas tecnologias e estratégias digitais rapidamente para manter, mudar ou diversificar seus modelos e atividades comerciais, tudo isso enquanto passam por uma pandemia global e pelo crescimento do trabalho híbrido/remoto. Isso também tem gerado o aumento de mais riscos cibernéticos.
Um problema, considerando que os ataques cibernéticos têm ocorrido a cada 39 segundos e, em média, 2.244 vezes por dia (Varoni 2020) e que a vulnerabilidade das PME em relação a violações cibernéticas está crescendo anualmente mais de 400%. Em oposição a isso, sua guarda pode ser reduzida com menos recursos e reservas financeiras para administrá-las de forma eficaz. Esta unidade delineia o cenário de ameaças moderno para as PME, o porquê é tão importante e os principais desafios enfrentados, para aumentar a conscientização de quão vital é mudar e promover a futura preparação para a crescente ameaça à segurança cibernética.
“A hora é agora para dissociar investimentos em PME, educação, pesquisa e uma conscientização amplificada dos altos riscos, da falsa percepção de que as PME possuem menos valor de dados para oferecer aos criminosos cibernéticos e hackers - e a economia global como um todo!” Prof. Sally Eaves
Riscos crescentes às PMEs: Por que é tão importante
Há um grande erro em relação ao tamanho dos negócios frente ao nível do custo que um ataque cibernético e a falta de preparação para a resiliência cibernética podem causar, começando pela interrupção dos negócios e perda financeira. Colocando isso no contexto, com recentes pesquisas no Reino Unido (Vodafone Business 2021), o custo médio de um ataque cibernético bem sucedido é de £3.230, e o relatório de resultados constatou que tal perda causaria o colapso de quase um quarto das PME do Reino Unido e 16% mais teria uma redução de pessoal. Isso também é consistente com outros estudos globais. E o risco não termina aqui, o impacto de reputações prejudicadas e a redução no consumo ou confiança são efeitos que podem durar ainda mais para negócios que sobrevivem às ameaças iniciais. 81% dos consumidores declaram que não se envolveriam mais com uma marca online com problemas de violação de dados.
Além disso, e desafiando outro erro, trabalhando com uma variedade de fornecedores e parceiros, os dados das PME são tão valiosos quanto os de grandes empresas e podem oferecer uma porta de acesso para outras organizações. Se um criminoso cibernético pode violar qualquer vínculo dentro da cadeia de fornecimento, ele pode, com mais facilidade, atacar outras, e frequentemente empresas maiores dentro dela. Os dados das PME normalmente são mais fáceis de roubar. Não é nenhuma surpresa (não apenas a frequência), mas a sofisticação de ataques cibernéticos mirando neste setor está aumentando e em ritmo acelerado, incluindo os hackers operando como um grupo organizado com o objetivo compartilhado de ganho financeiro.
O cenário de ameaças em evolução para as PME
Uma nova pesquisa traz à vida a verdadeira extensão da ameaça às PME em comparação com grandes empresas. Um triste número de 65% de ataques cibernéticos às PME em 2019/2020, comparado a 46% de todos os negócios, confirma que os ataques ocorrem repetidamente. As PME que sofrem uma violação estão sendo atacadas uma média de 6 vezes cada uma dentro desse período (uma vez a cada dois meses)!
Então, quais são as principais táticas de ameaças que as PME enfrentam?
Dois principais vetores de ameaça externa vêm à minha cabeça: Phishing e engenharia social junto ao ambiente de cadeia de suprimentos. Juntando isso aos vetores de ameaças internas incluindo falta de avaliação de riscos, controle de acesso fraco, proteção de senha, dispositivo e dados, treinamento e conscientização, habilidades e cultura de higiene cibernética insuficientes, deixam uma grande vasta superfície para ataques.
1) Phishing e engenharia social: 85% dos ataques cibernéticos originam-se de tentativas de phishing, que procuram enganar os usuários para fazerem a coisa errada, como o download de malware, frequentemente através de interações por e-mail. E eles estão se tornando cada vez mais sofisticados por natureza. De fato, descobriu-se em um teste recente que a Inteligência Artificial está escrevendo os melhores e-mails de phishing! Frequentemente vinculado ao phishing, a engenharia social descreve o processo de manipular pessoas através de personificação, persuasão ou até intimidação para tomar uma atitude específica ou revelar informações confidenciais. A pandemia é um caso em questão, com criminosos cibernéticos se alimentando de nossa vulnerabilidade coletiva e tentando comprometer contas usando mensagens de WhatsApp, texto ou e-mails de phishing, com a Covid-19 como assunto principal, ou até mesmo incluindo um anexo alegando ser da Organização Mundial de Saúde (OMS). Colocando tudo isso dentro do contexto, o nível de transformação neste tipo de ameaça cibernética é revelador. Considera-se apenas o primeiro ataque cibernético já registrado chamado ‘Morris Worm' no ano de 1988. Ele impactou 6.000 computadores que na época, seria aproximadamente 10% de toda a internet. Como os tempos mudaram!
2) Cadeia de suprimentos: Se tornando o vetor de ataque favorito para criminosos cibernéticos, a maioria das violações vem de um software ao invés de uma fonte de hardware, por exemplo um malware infiltrado em atualizações regulares de software. Os ataques procuram mirar em uma PME através de sua própria cadeia de suprimentos, ou mais frequentemente comprometendo a PME para então saltar para organizações maiores. Bibliotecas de softwares de código aberto fornecem uma outra área de vulnerabilidade na cadeia de suprimentos. E olhando para a frente, as conexões IoT estão prontas para mais do que dobrar para 75 bilhões de dispositivos até 2025, isso por si só cria novos riscos cibernéticos. Um hardware de baixo custo pode estar conectado a redes, com muitos dos dispositivos que ficam dentro dele sendo vulneráveis a ataques. Se considerarmos isso de uma perspectiva de ambiente de cadeia de suprimentos e convergência de TI/TO, então a expansão da área de ameaças vem para o centro do palco.
As barreiras de risco cibernético das PME
Isso levanta uma questão central, quais são os fatores principais por trás das PME não adotarem as últimas proteções e serem mais proativas aos riscos cibernéticos? Primeiramente, é claro que há uma falta de conscientização versus atualização, como uma recente pesquisa descobriu que enquanto 93% das PME acreditam que a segurança cibernética é vital para a continuidade de seus negócios, apenas 64% realmente usa soluções de segurança cibernética. Além disso, uma pesquisa europeia descobriu uma diferente falta de conscientização e realidade, ao saber que muitas PME acreditam (incorretamente) que controles de segurança cibernética são incluídos nos produtos de TI que eles compram e que nenhuma medida de segurança adicional é necessária. A não ser que seja obrigatório pelos requerimentos ou regulações de conformidade (Enisa 2021).
A capacidade de investimento é outro desafio, a Statista (2020) descobriu que investimentos em segurança cibernética equivale a £5.100 em média, o que poderia levar as PME a acreditarem que estão na estimativa certa em termos de gastos. Mas este número é distorcido pelo volume absoluto de micro e pequenas empresas, que tem média de £3.490. Comparado com grandes organizações, que são indiscutivelmente mais preparadas - ou, pelo menos, possuem mais recursos - isso aumenta para um investimento médio de £277.000, indicando uma grande lacuna, a qual os agentes maldosos ficam felizes em explorar!
Outros fatores incluem uma cultura cibernética‘ subdesenvolvida', percepções de complexidade em excesso, preocupações e frequentes equívocos em relação à segurança da nuvem, e uma falta geral de conscientização da tecnologia e suporte que está realmente dentro do alcance das PME. E possivelmente o mais alarmante de tudo, 54% dos participantes em uma recente pesquisa disseram que seus negócios não treinam funcionários para segurança de dados e ameaças de segurança cibernética (Vodafone Business 2021).
Refutando o risco cibernético
Claramente a segurança cibernética deve estar no topo da agenda de todos, independentemente do tamanho da organização! Com o contínuo crescimento e predomínio de ameaças, garantir que seus sistemas não sejam uma porta aberta para ataques nunca foi tão importante. Isso necessita de uma cuidadosa coordenação de pessoas, processos, sistemas, redes e tecnologia que envolve uma mentalidade de responsabilidade compartilhada, uma mudança de valores e cultura para arcar com a mudança de comportamento e “buy-in” que sempre sustenta com sucesso a mudança da tecnologia. E com as PME sendo comprometidas pela tática número 1 de ameaça centrada no humano (phishing com engenharia social), isso faz com que a educação seja um facilitador estratégico e um impulsionador fundamental para esta unidade. Quanto mais consciente você é sobre as áreas de perigo, mais sólido seu nível de segurança cibernética pode ser.
Como ponto inicial de várias etapas, o foco na prevenção de perda de dados é fundamental, olhar para os dados que existem localmente com seus funcionários. Os USB criptografados podem ser muito eficientes aqui, ajudando a garantir que dados sensíveis possam ser armazenados e transferidos da forma mais segura possível.
A Kingston Technology é uma líder altamente confiável e consagrada no espaço de drives USB criptografados, e pode oferecer um suporte personalizado para os benefícios e alinhamento para suas necessidades comerciais. Além disso, a excelente equipe do “Pergunte a um especialista” da Kingston Technology pode oferecer conselhos apropriados sobre benefícios personalizados para suas necessidades e ambiente de armazenamento específicos.
E finalmente, na continuidade deste artigo, você pode explorar as 12 principais dicas para as PME que podem aumentar a postura de segurança cibernética em tecnologia, processo e abordagens com base em pessoas, em breve!
Fonte: Kingston Technology