Até 2024, 75% dos CEOs serão responsabilizados pessoalmente pelas consequências dos incidentes de segurança ciber-físicos, indica estudo da Gartner. Segundo aponta, a responsabilidade por estes incidentes irá passar a barreira corporativa até chegar à responsabilidade pessoal.
“Devido à natureza dos sistemas ciber-físicos, os incidentes podem conduzir rapidamente a danos físicos a pessoas, destruição da propriedade ou desastres ambientais”. Estes incidentes “irão aumentar rapidamente nos próximos anos, devido a uma falta de foco na segurança e aos investimentos actualmente alinhados a esses activos”.
A Gartner define os sistemas ciberfísicos como sistemas concebidos para orquestrar a detecção, computação, controlo, ligação em rede e análise para interagir com o mundo físico (incluindo humanos). Estão subjacentes a todos os esforços de TI, tecnologia operacional (OT) e Internet das Coisas (IoT) ligados entre si, onde as considerações de segurança abrangem tanto o mundo cibernético como o físico, tais como infra-estruturas intensivas de bens, infra-estruturas críticas e ambientes clínicos de saúde.
“Os reguladores e governos reagirão prontamente a um aumento de incidentes graves resultantes da falta de segurança dos sistemas ciber-físicos, aumentando drasticamente as regras e regulamentos que os regem”, aponta Katell Thielemann, vice-presidente de investigação da Gartner. “Nos EUA, o FBI, NSA e CISA já aumentaram a frequência e os detalhes fornecidos relativamente às ameaças aos sistemas relacionados com infra-estruturas críticas, a maioria dos quais são propriedade da indústria privada. Em breve, os CEO não poderão alegar ignorância ou recuar atrás de apólices de seguro”.
A Gartner preve que o impacto financeiros dos ataques a sistemas ciber-físicos, resultando em baixas fatais, atingirá mais de 50.000 milhões de dólares até 2023. Mesmo sem levar em conta o valor real de uma vida humana, os custos para as organizações em termos de indemnização, litígio, multas e perda de reputação serão significativos.
“Os líderes tecnológicos precisam ajudar os CEO a compreender os riscos que os sistemas ciber-físicos representam e a necessidade de dedicar mais atenção e investimento à sua segurança”, sendo que “quanto mais ligados estiverem estes sistemas maior será a probabilidade de ocorrência de um incidente”.
Edifícios inteligentes, cidades inteligentes, carros conectados, veículos autónomos, entre outros, colocam grande destaque a estes incidentes. “Os incidentes no mundo digital terão um efeito muito maior do que no mundo físico, uma vez que os riscos, ameaças e vulnerabilidades existem agora num espectro bidireccional, ciberfísico. Contudo, muitas empresas não estão conscientes dos sistemas já implementados na sua organização, quer devido a sistemas herdados ligados a redes empresariais por equipas fora das TI, quer devido a novos esforços de automatização e modernização impulsionados pelo próprio negócio”.
Como conclui, “é extremamente necessário um foco na gestão da resiliência operacional para além da cibersegurança centrada na informação”.