Um aumento acentuado no número e no custo dos ataques cibernéticos é a principal conclusão do estudo encomendado pela seguradora especializada Hiscox, representada em Portugal pela Innovarisk, à Forrester Consulting que inquiriu cerca de 5.400 organizações em sete países.
O Hiscox Cyber Readiness Report 2019 entrevistou uma amostra representativa de organizações dos sectores público e privado nos EUA, Reino Unido, Bélgica, França, Alemanha, Espanha e Holanda. Cada empresa foi avaliada pela sua estratégia e execução de segurança cibernética e classificada em conformidade. Apenas 10% alcançaram uma pontuação suficientemente alta em ambas as áreas para se qualificarem como “especialistas” em segurança cibernética.
De acordo com Laura Tavares, responsável pela subscrição de Riscos cibernéticos da Innovarisk, “a evolução e mudança do foco dos ataques dos hackers, que passaram também a atacar as empresas de menor dimensão, vem comprovar que o risco é real e transversal. Apesar de lenta, a consciencialização para as ameaças que se avizinham tem aumentado. No entanto o fosso entre a perceção e a defesa ainda é desproporcional. As empresas devem investir de forma abrangente, tanto em formação especializada como em recursos tecnológicos e humanos para que, num momento de crise, a continuidade da atividade não seja posta em causa”.
61% das organizações inquiridas reportaram terem sofrido pelo menos um ataque cibernético o ano passado, em comparação com 45% no relatório de 2018. A frequência dos ataques também aumentou, sendo que as empresas belgas foram as mais visadas.
Além disso, o documento aponta para um aumento dos ataques a PME’s, enquanto as grandes organizações ainda são as mais propensas a sofrer um ataque cibernético, a proporção das pequenas empresas (com menos de 50 funcionários) a reportar um incidente subiu de 33% para 47%. Entre as empresas médias (50 a 249 empregados), a proporção aumentou de 36% para 63%.
O estudo indica ainda um aumento dos custos por ataque. Entre as organizações atacadas o ano passado, o custo médio de todos os incidentes aumentou 61% de 229.000 dólares para 369.000 dólares. Para as empresas com entre 250 e 999 funcionários, o custo médio foi de 700 mil dólares, em comparação com 162 mil no ano anterior. As empresas alemãs sofreram mais sendo o custo do seu maior incidente cibernético de 48 milhões.
Mais empresas falham teste de resposta
Usando um modelo quantitativo para avaliar a capacidade de resposta cibernética das organizações, apenas uma empresa em dez (10%) foi considerada “especialista” este ano, ligeiramente abaixo dos 11% do estudo de 2018. Quase três quartos (74 %) das empresas foram classificadas como “principiantes” e houve uma queda acentuada do número de empresas americanas e alemãs de maior dimensão a alcançarem a categoria de “especialistas”.
O estudo aponta para um aumento das despesas de segurança cibernética. Hoje o gasto médio em segurança cibernética é de 1,45 milhões de dólares, um aumento de 24% em relação ao indicado em 2018. O gasto total das 5.400 empresas inquiridas chegou aos 7,9 mil milhões. Dois terços dos entrevistados (67%) planeiam aumentar os seus orçamentos de segurança cibernética em 5% ou mais no próximo ano.
Gareth Wharton, Hiscox Cyber CEO, afirmou que “este é o terceiro estudo Hiscox Cyber Readiness e pela primeira vez uma maioria significativa das organizações inquiridas reportou um ou mais ataques cibernéticos nos últimos 12 meses. Onde os hackers antigamente se concentravam nas organizações de maior dimensão, agora as pequenas e médias empresas parecem ser igualmente vulneráveis. A ameaça cibernética tornou-se o inevitável preço a pagar para fazer negócios. Positivo é o facto de que observamos mais empresas a adotar uma abordagem estruturada perante o problema, com uma função definida na gestão da estratégia cibernética e uma maior capacidade de
resposta para transferir o risco para uma seguradora através de uma apólice de ciber”.
Entre as restantes conclusões, importa salientar a disparidade na pontuação dada à capacidade de resposta. Em geral, as empresas dos EUA, Alemanha e Bélgica têm uma pontuação superior na capacidade de resposta, enquanto mais de quatro quintos das empresas francesas (81%) estão na categoria de “principiante”. Com apenas 9% a França, juntamente com os Países
Baixos, tem a menor proporção de grandes organizações classificadas como “especialista”.
Entre as empresas que foram alvo de hackers tem havido um aumento acentuado no custo do maior incidente isolado relatado no ano passado. O custo médio aumentou de 34.000 dólares para cerca de 200.000.
Quase dois terços das empresas (65%) tiveram o ano passado problemas de ciber na sua cadeia de distribuição. As mais afetadas foram as empresas de tecnologia, media e telecomunicações (TMT) e de transporte. A maioria das empresas (54%) avalia agora a segurança das suas cadeias de distribuição pelo menos uma vez por trimestre ou numa base ad hoc.
O documento indica que a proporção de empresas sem uma estratégia definida de segurança cibernética caiu para metade no ano passado – de 32% para 16% – e houve uma queda acentuada no número de entrevistados que afirmaram não terem mudado nada após um incidente de ciber (de 47% para 32%). A nova regulamentação também provocou a tomada de acção com 84% das empresas da Europa Continental a assinalar a implementação de mudanças após o advento do Regulamento Geral de Proteção de Dados (GDPR). O valor para as empresas do Reino Unido é de 80%.
Por fim, mais de duas em cada cinco empresas (41%) afirmam terem feito um seguro de riscos cibernéticos o ano passado (33% em 2018) e 30% planeiam contratar um seguro no próximo ano. Actualmente mais da metade das grandes organizações tem agora uma apólice contra apenas 27% das pequenas empresas.