A proporção das empresas alvo de ataques por cibercriminosos aumentou de 38% para 43% no ano passado, de acordo com o relatório Hiscox Cyber Readiness 2021, com mais de um quarto (28%) a sofrer cinco ataques ou mais. Estes ataques estão a impactar profundamente as empresas, com ataques a uma em cada seis (17%), o que em muitos casos ameaça o futuro financeiro das mesmas.
Estas são algumas das conclusões do estudo que abrangeu 6.042 empresas de oito países, encomendado pela seguradora especialista Hiscox, representada em Portugal pela Innovarisk. De forma encorajadora, o relatório mostra que as empresas estão a responder ao desafio cibernético: o gasto médio por empresa em segurança cibernética mais do que duplicou nos últimos dois anos.
No seu quinto ano, o Hiscox Cyber Readiness Report analisou uma amostra representativa de organizações nos Estados Unidos, Reino Unido, Bélgica, França, Alemanha, Espanha, Holanda e Irlanda.
A peça central do relatório é um novo modelo de preparação cibernética que avalia os pontos fortes das empresas em seis áreas-chave de segurança cibernética que inclui pessoas, processos e tecnologia. Foi desenvolvido para ser interativo, permitindo que as empresas verifiquem e comparem a sua maturidade cibernética com a dos seus pares, aproveitem as melhores práticas de cada área e desenvolvam a resiliência cibernética.
A pontuação dos inquiridos em relação ao modelo de preparação cibernética destacou o número de empresas sem verdadeira resiliência cibernética. Um em cada cinco (20%) qualificou-se como ‘especialista’, mais de um quarto (27%) foi classificado como ‘principiante’.
Algumas da principais conclusões:
- Variação de resultados financeiros: o relatório deste ano é notável pela variação e imprevisibilidade dos custos dos ataques cibernéticos. Para as microempresas com menos de dez funcionários, o custo médio foi de US $ 8.000. No entanto, 5% dos atacados sofreram custos na ordem dos US $ 300.000 ou mais. Para as empresas médias, grandes e sociedades anónimas/comerciais a variação foi semelhante.
- A transversalidade da ameaça de extorsão: cerca de uma em cada seis empresas atacadas (16%) foi alvo de ameaça de extorsão e mais da metade (58%) pagou. Nos Estados Unidos, a proporção que pagou o resgate foi de 71%. Os custos de recuperação de um ataque de ameaça de extorsão eram geralmente quase tão altos quanto qualquer resgate pago (representando uma média de 45% do custo geral). Emails de phishing foram a principal forma de extorsão, visando sobretudo as pequenas empresas.
- Empresas classificadas como ‘especialistas’ com melhores resultados: as empresas que melhor se qualificaram como ‘especialistas’ no modelo de preparação cibernética da Hiscox sofreram menos ataques de ameaças de extorsão, tiveram menos probabilidade de pagar e recuperaram mais rapidamente. Os EUA têm a maior proporção de ‘especialistas’ cibernéticos (25%) e um dos menores custos médios de ataques. O Reino Unido ficou em segundo lugar, com 23% das empresas classificadas como ‘especialistas’. As empresas do Reino Unido tiveram menor probabilidade de sofrerem um ataque cibernético (apenas 36%) e maior probabilidade de o defendido com sucesso.
- Aumento nos gastos com a segurança cibernética: uma empresa média dedica agora mais de um quinto (21%) do seu orçamento de TI à segurança cibernética – um aumento de 63% num ano. O gasto médio por empresa com o cyber mais do que duplicou em dois anos – de US $ 1,45 milhão para US $ 3,25 milhões. As empresas alemãs são as que mais gastam, com uma média de US $ 5,5 milhões. As empresas belgas são as que gastam menos (US $ 1,9 milhão em média).
Gareth Wharton, CEO da Hiscox Cyber, afirmou que “uma das grandes conclusões deste relatório é a preocupante variação de impactos financeiros que os ataques cibernéticos podem ter. O risco da inação é que o próximo ataque seja o suficiente para afundar o negócio. O cyber é um problema complexo, mas isso não significa que seja ingerível. Com uma boa gestão de risco e um seguro cibernético adequado, as empresas podem conter o impacto de um ataque e limitar os danos.”
Outros indicadores:
- Disparidade na perceção dos perigos da Covid-19: menos da metade das empresas (47%) afirmaram que se tornaram mais vulneráveis aos ataques cibernéticos desde o início da pandemia, embora dois terços das empresas grandes e sociedades anónimas/comerciais (67% e 68%, respetivamente) declararam que reforçaram as suas defesas cibernéticas para lidar com o teletrabalho. Mas as pequenas empresas estão a ficar para trás – apenas 35% com menos de dez funcionários afirmaram ter feito o mesmo.
- Empresas alemãs mais atingidas: as empresas alemãs foram responsáveis por mais de um terço do total de perdas de todo o estudo, com US $ 48 milhões. Também lideram a tabela do custo médio de todos os ataques (US $ 23.700) e do maior ataque individual (US $ 5,1 milhões).
- Três setores alvo: Tecnologia, média e telecomunicações (56%), serviços financeiros (55%) e energia (54%) foram os mais visados. Em 2020 a percentagem destes setores era de 44%, 44% e 40%, respetivamente.
- Aceitação irregular dos Seguros: a adoção de uma cobertura cibernética autónoma aumentou de 26% para 27% ao longo do ano. A aceitação foi maior entre as grandes empresas e aquelas classificadas como ‘especialistas’. As pequenas empresas continuam resistentes ao seguro: quase metade (44%) das que têm menos de dez funcionários afirmou não ter intenção de comprar um seguro. Isso é preocupante, dadas as evidências no relatório de que as pequenas empresas são vulneráveis a ataques de phishing e a roubo de identidade.
Sobre o estudo The Hiscox Cyber Readiness Report 2021
Este relatório foi encomendado pela Hiscox à Forrester Consulting para avaliar a capacidade de resposta cibernética das organizações. No total foram contactados 6.042 profissionais responsáveis pela estratégia de segurança cibernética das suas organizações (cerca de 1.000 do Reino Unido, EUA e Alemanha, mais de 500 da Bélgica, França, Espanha e Holanda, e 300 da República da Irlanda). Fazendo uma análise representativa das organizações por tamanho e setor, estas são as pessoas na linha de frente na batalha contra o crime cibernético. Os entrevistados completaram o inquérito online entre novembro 2020 e janeiro 2021.
Fonte: Hiscox Group
Cópia integral do estudo disponível em www.hiscoxgroup.com/cyber-readiness