Existe uma perceção no mercado de que quanto mais pequenas forem as empresas, menos atrativas serão para os cibercriminosos. Nada está mais longe da realidade
Se esta perceção poderá ter feito sentido a dada altura – seguindo até a filosofia da criação dos “vírus”, que visavam alcançar o máximo denominador comum -, atualmente não o faz, até porque os criminosos evoluíram de forma a tornar mais eficientes as suas operações. Sigamos esta premissa: quais os custos para um criminoso de atacar uma grande organização com inúmeras defesas de segurança (ao nível de tecnologia, de recursos humanos e de processos), quando comparável com o ataque a uma PME que, na maioria das vezes, não possui sequer colaboradores especialmente dedicados a cuidar da segurança da informação? Mesmo nos casos de ataques com técnicas de ransomware, em que fará sentido pensar que será tanto maior o prémio quanto maior for a organização, de uma forma geral a relação custo/benefício sai melhorada nos ataques às organizações de menor dimensão e, na maioria dos casos, mais desprotegidas. Até porque a proporção dos danos, face à escala da própria empresa, pode fazer toda a diferença. A verdade é que os atacantes sabem isso: quem pagaria mais rapidamente um resgate? Uma pequena indústria com a produção parada e sem preparação para responder a estes ataques, ou uma grande organização que está preparada para este tipo de situações? Os atacantes escolhem os alvos que melhor servem os seus propósitos e esses alvos nem sempre serão os mais óbvios. Por exemplo, para atingir uma grande organização, poderá ser mais eficaz atacar e comprometer um dos seus fornecedores. Esta ação poderá ter um impacto tal que levará eventualmente o fornecedor a fechar o seu negócio, criando uma dificuldade significativa no seu verdadeiro alvo - mesmo que de forma indireta. De acordo com dados do Parlamento Europeu, o tecido empresarial da União Europeia (UE) é composto em 99% por micro, pequenas e médias empresas, que contribuem para mais de metade do valor acrescentado total criado pelas empresas na UE. Ou seja, não só o ataque é mais fácil, como alvos não faltam... A cultura de ocultação dos ataques, que teima em existir, transmite uma falsa perceção de normalidade, contribuído também para tornar as PME atrativas aos cibercriminosos. Seja por questões de proteção da marca, para manter os clientes ou, em última instância, para garantir que o negócio não fecha, a realidade é que - e a menos que seja estritamente necessário por questões legais -, os ataques não são comunicados. Esta perceção de que “está tudo bem”, leva as PME a negligenciar a segurança da sua informação. Apesar de tudo, progressivamente vamos assistindo a alguns bons exemplos nesta área, como aconteceu em 2019 com a Norsk-Hydro - uma empresa norueguesa que viu as suas ações subirem após sofrerem um ciberataque massivo, tudo devido à preparação que foi feita e a uma estratégia adequada de comunicação. Não sendo uma PME, esta empresa foi pioneira na forma de comunicar um ciberataque, dando o exemplo a outras organizações e abrindo o caminho para a forma correta de agir nestas circunstâncias. O que podem então fazer as PME, tendo em conta os escassos recursos que normalmente dispõem nesta área? Não existe uma fórmula que sirva a todos. Ainda assim, da mesma forma que estas organizações externalizam serviços que não fazem parte do seu core-business, poderão fazer o mesmo no que respeita à segurança da informação. Enquanto planeiam uma estratégia de ciberdefesa de longo prazo, o recurso a especialistas externos que podem monitorizar e reduzir as ameaças a que estão sujeitas é um quick-win com resultados imediatos. A utilização destes serviços dificilmente poderá resolver todos os problemas. Mas permitirá reduzir de imediato o risco a que as PME estão sujeitas e, progressivamente, introduzir uma cultura de cibersegurança como parte de um processo de melhoria contínua. Ao lidar regularmente com especialistas em cibersegurança, as próprias organizações introduzem novos processos e eliminam os antigos que as deixavam mais expostas. Tornam-se assim mais resistentes a novos ataques, compreendem a importância de comunicar e partilham a experiência com o setor, fazendo com que todo o ecossistema se torne mais resiliente. Conteúdo co-produzido pela MediaNext e pela Claranet |