Grande parte das instituições de investigação científica e infra-estruturas críticas em todo o mundo apenas tem um nível básico de cibersegurança, poucas empresas se preocupam com a segurança dos fornecedores com quem trabalham e há cada vez mais hackers a pedirem resgates — entre 2018 e 2020 os casos aumentaram 400%.

São estas as grandes conclusões do relatório de 2021 de Risco de Cibersegurança da Aon, uma das maiores corretoras do mundo que trabalha com gestão de risco.

A informação baseia-se em dados fornecidos por 996 organizações da América do Norte, Europa, Médio Oriente, África e Ásia-Pacífico. Ao todo, apenas duas em cada cinco mostram-se preparadas para enfrentar as ameaças emergentes da transformação digital, incluindo o aumento do trabalho remoto.

“Preocupante”, é a palavra escolhida por Marcos Oliveira, responsável de soluções de segurança da Aon Portugal, para descrever o cenário.

Parte do problema, é a ideia que nem todas as empresas são um alvo para os atacantes. “Os ciberataques são um negócio rentável e em expansão”, realça Marcos Oliveira ao PÚBLICO. “Cada empresa, independentemente da sua dimensão, é um alvo potencial de um ataque cibernético. Isto porque todos os negócios têm activos relevantes que os criminosos podem procurar e explorar.”

Apesar dos ganhos financeiros continuarem a ser o principal motivo de cibercrime, há outros motivos, incluindo objectivos políticos e espionagem industrial de concorrentes.

Atenção na escolha dos fornecedores

Com isto, as empresas não devem descurar a segurança dos seus fornecedores. Só que segundo dados da Aon, apenas uma em cada cinco empresas o faz. 

“Actualmente, cada empresa trabalha com pelo menos algum tipo de serviço ou produto subcontratado”, nota Oliveira. “Esta interligação de sistemas traz consigo enormes vantagens operacionais, mas também riscos associados, já que quando um sistema de uma empresa é comprometido, pode haver impactos e intrusões nos sistemas das outras empresas a quem estejam ligados.”

O pedido de resgate que a Apple recebeu este mês é exemplo disso. Um grupo de criminosos utilizou dados roubados à Quanta, uma empresa que monta vários portáteis da Apple, para exigir mais de 41 milhões de euros à empresa para não divulgar esquemas dos seus produtos novos. Outro exemplo, foi o ataque à cadeia de vestuário norte-americana Target, em 2014, que partiu de um ataque a um fornecedor de manutenção do sistema de ar condicionado que tinha credenciais dos sistemas informáticos da empresa.

“De forma a prevenir este tipo de cenários, importa às empresas adoptar uma postura de segurança face a terceiros. Um parceiro de confiança leva a sério a segurança e a privacidade”, sugere o responsável de soluções de segurança da Aon que recomenda que se analise “cuidadosamente” as suas políticas em torno de software, hardware e serviços. 

Não pagar resgates 

Em caso de ataque, porém, não se deve pagar aos criminosos qualquer resgate aos criminosos para reaver os dados.

Segundo a Aon, o ransomware cresceu 400% entre 2018 e 2020. Trata-se de um tipo de crime digital em que dados são roubados e encriptados por criminosos que exigem um resgate (ransom, em inglês). Das empresas que pagam (metade das atacadas), apenas um quarto vê os dados devolvidos.

Soma-se a possibilidade do pagamento ser utilizado para financiar grupos criminosos, terrorismo e esquemas de lavagem de dinheiro.

“O pagamento de resgate pode ser uma tentação como forma de resolver um incidente, mas não existe qualquer garantia de que o pagamento resulte na libertação dos dados”, reconhece Oliveira. “Mesmo que o pagamento do resgate seja bem-sucedido e os dados recuperados, isso será uma forma de encorajar mais ataques da mesma organização criminosa ou de outras, já que a empresa é agora conhecida por estar disposta e capaz de pagar.”