Cibercriminosos direcionam golpes para fornecedores e evidenciam a importância das empresas estarem cientes dos desafios que existem no ambiente digital
A edição mais recente do relatório anual de Economia da segurança de TI da Kaspersky revela a gravidade cada vez maior dos incidentes de cibersegurança que afetam empresas por meio de fornecedores com quem elas compartilham dados. O impacto financeiro médio desses eventos em grandes corporações chegou a US$ 2 milhões em 2021, sendo o tipo de incidente mais custoso, mesmo não fazendo parte dos cinco principais pontos de atenção do último ano. A ordem geral dos prejuízos de diferentes tipos de ciberataque também mudou significativamente desde 2020.
Ataques em que empresas internacionais são afetadas por meio de seus prestadores de serviços tornaram-se uma tendência. Tipicamente, os dados de negócios são distribuídos por vários terceiros, incluindo provedores de serviços, parceiros, fornecedores e subsidiárias. Assim sendo, as organizações precisam considerar não apenas os riscos de cibersegurança que afetam sua infraestrutura de TI, mas também aqueles que chegam de fora.
Segundo a pesquisa, quase um terço (28%) das grandes organizações sofreram ataques envolvendo dados compartilhados com fornecedores. Esse número quase não mudou desde o relatório de 2020 (quando era 29%). O impacto financeiro desse formato também continua o mesmo do ano passado: US$ 2 milhão. Contudo, naquele momento, estava em 13º lugar na classificação dos prejuízos médios de todas as formas de ataque.
A maioria dos outros tipos de ataque demonstram menos impacto financeiro nas empresas da região, ataques a serviços bancários online (US$ 938,000 dólares); infecção por malware em dispositivos de funcionários (US$ 871,000 dólares) e ataques dirigidos (US$ 788,000 dólares). Como resultado, o impacto financeiro médio de qualquer ataque também diminuiu. Houve uma redução notável de 15% em relação aos resultados do ano passado: US$ 686.000 em 2021 vs. US$ 1 milhão em 2020, e caiu ainda mais em comparação com o número de 2017 (US$ 558 mil).
Possivelmente, isso se deve ao sucesso dos investimentos anteriores em medidas de prevenção e atenuação para as empresas latino-americanas. Outra opção é que o custo médio pode ter sido afetado pelo fato de as empresas estarem menos propensas a informar violações de dados neste ano; 37% conseguiram evitar fazê-lo, em comparação com apenas 21% em 2020. Empresas financeiramente vulneráveis podem relutar em alocar tempo e despesas em uma investigação criminosa ou arriscar danos a sua reputação caso uma violação se torne pública.
"A gravidade dos ataques de cibersegurança destaca a necessidade de as organizações considerarem o risco de violações envolvendo dados compartilhados com fornecedores ao avaliar os requisitos de cibersegurança de suas empresas. A pandemia mudou o cenário das ameaças, e as organizações devem estar preparadas para se adaptar. As empresas devem classificar os fornecedores com base no tipo de trabalho que fazem e na complexidade do acesso que recebem (se lidam ou não com dados sigilosos e infraestrutura), e aplicar requisitos de segurança correspondentes. As empresas devem garantir que compartilham dados apenas com terceiros confiáveis e estender os requisitos de segurança existentes aos fornecedores. Em caso de transferências de dados ou informações confidenciais, isso significa que devem ser solicitadas documentação e certificações (como SOC 2) dos fornecedores para confirmar que podem trabalhar nesse nível. Em casos de extremo sigilo, recomendamos realizar uma auditoria preliminar de conformidade do fornecedor antes de firmar qualquer contrato", comenta Evgeniya Naumova, vice-presidente executiva de negócios corporativos da Kaspersky.
Para minimizar o risco de ataques e violações de dados a empresas, deve ser usada uma proteção de endpoints eficaz, com funcionalidades de detecção e resposta a ameaças. Além disso, serviços gerenciados de proteção ajudarão as organizações com a investigação e resposta especializada a ataques. Esse nível essencial de proteção de endpoints está incluído na estrutura Kaspersky Optimum Security. Para organizações com função de segurança de TI desenvolvida, a estrutura Kaspersky Expert Security oferece adicionalmente anti-APTs, a mais recente inteligência de ameaças e treinamento de profissionais dedicados.
Para receber mais insights sobre custos e orçamentos de segurança de TI nas empresas em 2021, visite a IT Security Calculator interativa da Kaspersky. O relatório completo "Economia da segurança de TI de 2021: administrando a tendência de crescente complexidade da TI" está disponível para download aqui.
Sobre a Kaspersky
A Kaspersky é uma empresa internacional de cibersegurança e privacidade digital fundada em 1997. Seu conhecimento detalhado de Threat Intelligence e especialização em segurança se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas industriais, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky e ela ajuda 240.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais no site da empresa.
