A maioria dos líderes empresariais do mundo acreditam que as ameaças cibernéticas irão aumentar no próximo ano, com ransomware, comprometimento de e-mail comercial (BEC), nuvem e ataques à cadeia de suprimentos impulsionando o crescimento, de acordo com a Pesquisa Global Digital Trust Insights 2022 da PwC.
Embora a maioria (69%) dos entrevistados disse esperar que os orçamentos de segurança aumentem no próximo ano, 60% preveem que haverá um aumento dos crimes cibernéticos, enquanto 53% afirmam que os ataques apoiados por Estados-nações também tendem a crescer. Dispositivos móveis, internet das coisas (IoT) e nuvem estão no topo da lista dos alvos preferenciais. Os ataques a serviços de nuvem (22%) devem superar ligeiramente o ransomware (21%) e a mineração de criptomoedas (21%) — os mais prováveis de registrar aumentos significativos. Além disso, 56% esperam um aumento nas violações por meio de sua cadeia de suprimentos de software, com 19% vislumbrando aumentos significativos.
As organizações sabem que os riscos estão aumentando. Mais de 50% esperam um aumento nos incidentes no próximo ano, acima dos níveis de 2021, ano que já vem sendo considerado como um dos piores já registrados para a segurança cibernética. Ataques cada vez mais sofisticados estão sendo desfechados a sistemas e redes, buscando encontrar vulnerabilidades.
Qualquer que seja o calcanhar de Aquiles digital de uma organização — um servidor desprotegido contendo 50 milhões de registros, por exemplo, ou uma falha no código que controla o acesso a carteiras criptográficas — os invasores usarão todos os meios à sua disposição, tanto tradicionais quanto ultrasofisticados, para explorá-los. As consequências de um ataque aumentam à medida que as interdependências dos sistemas ficam cada vez mais complexas. As infraestruturas críticas são especialmente vulneráveis. No entanto, segundo o relatório, muitas das violações são evitáveis com práticas cibernéticas sólidas e controles fortes.
O estudo destaca que conforme as conexões digitais se multiplicam, elas formam teias cada vez mais complexas que se tornam mais intrincadas com cada nova tecnologia. Ter um smartphone significa carregar no bolso uma variedade de “dispositivos” — telefone, câmera, calendário, TV, rastreador de saúde, uma biblioteca inteira de livros e muito mais. Mas os processos necessários para gerenciar e manter todas essas conexões — incluindo a segurança cibernética — também estão ficando mais complicados.
O mundo dos negócios agora é complexo demais para ser protegido? Os líderes estão soando o alarme, diz a PwC. Cerca de 75% dos entrevistados afirmam que muita complexidade organizacional desnecessária e evitável representa riscos cibernéticos e de privacidade “preocupantes”.
Segundo o estudo, em uma organização excessivamente complexa, é fácil para “a mão esquerda não saber o que a mão direita está fazendo”, e as consequências para a segurança cibernética e a privacidade podem ser terríveis. Setenta e cinco por cento dos C-suite entrevistados, incluindo CISOs, dizem que suas empresas são muito complexas, de forma evitável e desnecessária, e quase o mesmo percentual diz que a complexidade representa riscos cibernéticos e de privacidade “preocupantes” para suas organizações em 11 áreas principais.
Os dados parecem ser o principal motivo de preocupação, especialmente entre as grandes empresas — com receita de US$ 1 bilhão ou mais. A governança de dados (77%) e a infraestrutura de dados (77%) foram classificadas em primeiro lugar entre as áreas de complexidade “desnecessária e evitável”. Redes e dispositivos de tecnologia também são altamente complexos, principalmente em grandes empresas e empresas norte-americanas.
Empresas nativas digitais — aquelas que já nasceram inteiramente online — tendem a usar as tecnologias mais recentes, que são projetadas para se conectar e operar juntas. A maioria das arquiteturas de tecnologia de outras empresas, que incluem sistemas legados, são mais complicadas. As fusões com outras organizações podem multiplicar os riscos ao conectar redes e sistemas já complexos.
Veja isso
CISOs acham medidas usuais de segurança ineficazes
CISOs devem se concentrar na equipe e na cultura de segurança da empresa
Os mais preocupados com toda essa complexidade são os CEOs. Eles atribuem uma complexidade de nível dez em sete das 11 áreas de suas organizações. Os CEOs tendem a se preocupar mais com os riscos cibernéticos e de privacidade decorrentes dessa complexidade no ambiente de nuvem, governança de investimentos em tecnologia e passagem de TI para tecnologia operacional (OT).
O relatório da PwC faz a ressalva de que a complexidade não é ruim por si só. Frequentemente, é um subproduto do crescimento do negócio. Quanto maior uma organização, mais complexa ela será naturalmente, precisando de mais pessoas e tecnologias para atender a uma base de clientes crescente.
Os custos de criar complexidade desnecessária não são óbvios e é difícil criar urgência em torno do combate à complexidade — isto é, até que ocorra um ataque. O estudo cita como exemplo uma empresa manteve desnecessariamente os dados confidenciais de pessoas com as quais não fazia mais negócios, disponibilizando esses dados para que os hackers roubassem.
Como exemplo de simplificação o relatório cita o caso de uma organização de varejo global em que seis fornecedores gerenciavam contatos com clientes. Dois desses sistemas dos fornecedores foram violados no passado. Depois de consultar o CEO e o conselho, o novo diretor de operações reduziu a lista de fornecedores para dois. Essa simplificação melhorou a segurança: monitorar dois fornecedores é mais fácil do que controlar seis, tornando o acesso às informações mais fácil de controlar, e o varejista pode fazer backup mais prontamente do cache menor de dados do cliente.
Solicitados a citar as principais consequências da complexidade operacional os entrevistados mencionaram:
- Perdas financeiras devido a violações de dados ou ataques cibernéticos bem-sucedidos;
2. Incapacidade de inovar tão rapidamente quanto as oportunidades de mercado permitem;
3. Falta de resiliência operacional ou capacidade de se recuperar de um ataque cibernético ou falha de tecnologia.
Ou seja, a complexidade não ameaça apenas a “sorte de hoje”, na visão dos executivos. Também evita que as organizações criem oportunidades rapidamente e busquem oportunidades futuras.