Aprendizado e descoberta 6min de Leitura - 01 de abril de 2024

Cibersegurança em PME´s – Reflexões e desafios

Um homem andando pelo escritório e outro sentado em sua mesa em uma reunião virtual.

This post is also available in: Português

Recentemente, a Sophos lançou um relatório que apresenta uma realidade alarmante: as pequenas e médias empresas (PME´s – empresas com até 500 funcionários), estão sofrendo cada vez mais com ataques cibernéticos, particularmente, aqueles com objetivo de sequestro de dados (ransomware).

Antes de promovermos reflexões sobre o relatório em questão, é importante fazer algumas ponderações sobre a pesquisa realizada.

  • Sobre a Sophos: A Sophos é uma empresa de segurança da informação que opera como subsidiária da Thoma Bravo, uma empresa de private equity, com sede nos Estados Unidos, que é detentora de várias marcas renomadas de produtos de cibersegurança;
  • Nos dados, disponibilizados pela Sophos, não foi evidenciada a quantidade de empresas que participaram da pesquisa;
  • As empresas que fizeram parte da pesquisa são Norte Americanas, por isso, é importante ajustar a reflexão para o cenário brasileiro.
  • A definição de PME está baseada em padrões americanos;

As PME´s americanas representam aproximadamente 40% da atividade econômica no país, número bastante representativo.

As organizações oficiais brasileiras dividem as empresas de forma um pouco diferente, o que dificulta a comparação com os dados norte-americanos. No Brasil, a classificação das empresas agrupa dados de Micro e Pequenas empresas.

De acordo com o Mapa de Empresas do Governo Federal brasileiro, no ano de 2023, as micro e pequenas empresas representavam 93,7% das organizações ativas no país, com impacto bastante representativo na economia nacional.

A contextualização inicial é necessária para que haja entendimento sobre as particularidades do público pesquisado e as diferenças entre o cenário das empresas Brasileiras e Americanas.

Continue a leitura deste conteúdo e saiba um pouco mais sobre o cenário de segurança da informação em clientes Sophos, caracterizados como PME´s.

Ponto de partida para os ataques virtuais

As estratégias utilizadas por cibercriminosos são conhecidas por boa parte dos profissionais de tecnologia, contudo, algumas evoluções, conciliadas com a menor maturidade em segurança, das PME´s, tornam estes ambientes um terreno fértil para a ação dos criminosos. De acordo com a pesquisa, as principais ameaças cibernéticas que atingem as PME´s são:

  • Malwares: com o objetivo de captura de credenciais, cookies de navegador, pressionamento de teclas (keyloggers) e spywares representam quase metade das detecções. A disseminação de malwares é potencializada com o uso de técnicas de SEO para promover conteúdos maliciosos em resultados de pesquisa;
  • Phishing: Campanhas de phishing cada vez mais personalizadas e com uso de engenharia social, para aumentar a eficiência dos golpes;
  • Shadow IT e BYOD: Computadores e softwares não gerenciados e muitas vezes desconhecidos pela empresa, acabam sendo ponto de entrada das ameaças virtuais.

O relatório destaca a evolução das táticas dos cibercriminosos, incluindo o aumento do uso de criptografia remota e a diversificação dos sistemas operacionais atingidos, como macOS e Linux. Isso demonstra a importância de manter uma postura proativa em relação à segurança cibernética, independentemente do sistema operacional utilizado pela empresa.

Além disso, a constatação de que muitos ataques visam o roubo de dados e credenciais, ressalta a necessidade de uma abordagem consistente sobre a gestão dos acessos. Recursos de segurança de perímetro e end-point, adaptados à realidade das PME´s, também são essenciais.

A capacidade de investimento, e maturidade em segurança, certamente são dois pontos que devem ser considerados, ao comparar o cenário americano com o cenário brasileiro. O acesso a produtos e serviços de segurança, bem como a capacidade de investimento destas empresas, tende a ser maior do que a realidade das empresas brasileiras.

Para boa parte dos negócios, incluindo as PME´s, os dados não são apenas informações digitais; são ativos valiosos que, se caírem nas mãos erradas, podem ser utilizados para fins maliciosos, incluindo fraudes financeiras, chantagem entre outros.

E caso o incidente gere vazamento de dados pessoais, as empresas estarão sujeitas a sanções previstas pela Lei, o que pode gerar um problema legal e financeiro, sério para o negócio.

Três em cada quatro vítimas de ransomware são PME´s

O ransomware não apenas prejudica a operação diária, mas também pode ter repercussões financeiras e de reputação significativas. A perda de dados pode resultar em interrupções no negócio, perda de confiança dos clientes e, em casos extremos, até mesmo falência.

De acordo com o relatório publicado pela Sophos, em 2023, mais de 75% dos casos de resposta a incidentes de clientes tratados pelo serviço X-Ops Incident Response estavam associados a pequenas empresas.

Uma PME, com menor maturidade em segurança da informação, que tenha sido vítima de ransomware, tende a sofrer mais com os reflexos de um ataque de sequestro de dados. Essa situação pode resultar em interrupções operacionais significativas, perda de confiança dos clientes e, em casos extremos, até mesmo falência. A recuperação desses dados pode ser difícil e extremamente custosa, principalmente se backups e estruturas de restauração não estiverem disponíveis.

O Ransomware continua sendo um grande vilão para as PME´s

Em se tratando de volume de ocorrências, o Ransomware não é o malware mais percebido em incidentes cibernéticos com PME´s, ficando apenas na quinta colocação. O que chama atenção é que, é que pesquisas paralelas mostram que 70% dos ataques ransomware são direcionados a PME´s.

Segundo a pesquisa desenvolvida pela Sophos, o LockBit é a ameaça com maior número de ocorrências, em torno de 27,5%, seguido de Akira, com 15,5%, BlackCat com 13,7% e Play com 10,3%.

O LockBit é um ransomware como serviço, com a maior cadeia de afiliados atualmente, o que justifica sua maior penetração.

O sucesso de um ataque ransomware, de acordo com a pesquisa, normalmente está atrelado a exploração de um ativo tecnológico, não gerenciado pelas soluções de segurança, implementadas na empresa. Este ponto é bastante conveniente, em se tratando de uma pesquisa promovida por um fabricante de soluções de segurança, cuja fonte de dados é sua própria base de clientes. A colocação apresenta coerência, apesar da possibilidade de possuir algum viés comercial.

Outro dado complementar foi apresentado na Pesquisa Global sobre Ransomware OpenText™ Cybersecurity 2023.

De acordo com a pesquisa, cerca de 90% das PME´s, manifestam preocupação quando o assunto são os ataques ramsomware. Contudo, apesar das preocupações, 65% destas empresas não acreditam ou não têm certeza de que são alvos de ransomware.

Tudo isso mediante um cenário onde 46% das PME´s afirmam ter sofrido um ataque deste tipo em 2023.

Vulnerabilidades de segurança da informação

Alguns softwares, amplamente utilizados por PME´s americanas, foram comprometidos, através da exploração de vulnerabilidades de segurança de dia zero e outras vulnerabilidades.

Em se tratando de PME´s, e trazendo este cenário para o mercado brasileiro, fica evidente a dificuldade de implementar uma estratégia de segurança viável, que combata efetivamente vulnerabilidades e que tenha uma percepção de valor adequada, levando em conta a capacidade de investimento destas empresas.

Este é um desafio que deve ser perseguido e contextualizado, para que cada vez mais empresas possam contar com produtos e serviços que proporcionem este tipo de blindagem, com preços compatíveis com a realidade das PME´s.

Phishing e engenharia social profunda

De acordo com o relatório da Sophos, a engenharia social, combinada com estratégia aprimoradas de Phishing causam grandes danos às PME´s. Os criminosos criam contextos cada vez mais convincentes, o que eleva as chances de sucesso de cada investida.

O conceito de BEC (Business e-mail compromisse), que é a técnica de se passar por um funcionário da empresa e solicitar alguma informação ou ação, que cause prejuízo ao negócio, evoluíram. As estratégias atuais são muito eficientes em ambientes onde as pessoas normalmente não recebem treinamento e conscientização em cibersegurança.

Infelizmente, poucas pequenas empresas brasileiras, implementam estratégias de conscientização, consistentes. Os motivos para tal negligência são muitos e variam de acordo com cada negócio. Contudo, a falta de entendimento sobre a importância de ações deste tipo, assim como a inexistência de percepção de valor, principalmente da alta gestão, colaboram para que não haja o fortalecimento deste importante pilar de uma estratégia de segurança, que é o fator humano.

Independentemente das diferenças entre as PME´s norte-americanas e brasileiras é primordial que estas empresas reconheçam suas vulnerabilidades e tomem medidas proativas para fortalecer suas estratégias de segurança. Isso inclui investir em produtos, processos e pessoas.

A terceirização de serviços associados a segurança da informação pode ser um caminho relevante para as PME´s. A terceirização tende a ser menos custosa do que a contratação de profissionais internos para tratar os aspectos de segurança. Além disso a experiência de profissionais de mercado agrega alto valor para a composição da estratégia de segurança.

outsourcing

This post is also available in: Português