Empresas do Reino Unido buscam resiliência cibernética

Neste ano, o foco do Cyber United Kingdom (Reino Unido) é ajudar os clientes a “garantir um futuro digital aberto e resiliente”2. Ele destaca um período de avanço sem precedentes no desenvolvimento digital e de novas tecnologias, que também está sendo acompanhado por um aumento no risco cibernético. Sobre esse tema, o Brexit gerou preocupações com a cibersegurança em diversas frentes. Primeiro com a falta de profissionais qualificados, já que os estrangeiros estão voltando para casa3. E também com a saída do Reino Unido do Europol, do qual já foi líder, comprometendo a tomada de decisões cibernéticas de alto nível e a cooperação policial internacional contra crimes desse tipo.4

O risco cibernético é uma grande preocupação das empresas em todo o Reino Unido. Segundo a Pesquisa Global em Gerenciamento de Riscos da Aon5, o risco cibernético e de interrupção dos negócios aparecem em primeiro e em segundo lugar, respectivamente, no Reino Unido. Seguidos por danos à reputação ou à marca e, em sétimo lugar, por falhas na cadeia de fornecimento ou distribuição. A segurança cibernética abrange todas essas áreas de risco.

Entretanto, mesmo que as empresas do Reino Unido estejam cientes dos riscos, isso não significa que elas estejam preparadas. De acordo com informações de referência extraídas da CyQu, houve uma pequena queda na maturidade de risco cibernético dos clientes no Reino Unido. Mesmo assim, uma análise subjacente revelou que houve uma grande melhoria em alguns domínios de segurança apesar do enfraquecimento ou piora em outros.

As áreas mais notáveis de melhora na pontuação CyQu entre 2020 e 2022 incluíram a implantação de autenticação multifator (MFA), o monitoramento de vulnerabilidade de dispositivos e treinamento de conscientização de segurança cibernética para funcionários. Essa mudança pode ser uma consequência direta do surgimento do trabalho remoto durante a pandemia, com a potencial superfície de ataque se expandindo e as empresas precisando urgentemente lidar com vulnerabilidades nessas áreas de controle.

Também houve queda na pontuação da CyQu em outras áreas de controle críticas, o que demonstra os desafios contínuos que os clientes enfrentam ao lidar com as táticas e técnicas dinâmicas dos ataques cibernéticos. A queda mais aparente na maturidade de risco aconteceu na continuidade dos negócios/recuperação de desastres, testes de penetração de rede e classificação de dados. Um possível motivo para isso seriam as mudanças no orçamento para promover melhorias em outros domínios.

Embora a piora do nível de maturidade de risco tenha resultado na queda da pontuação da maioria dos setores, houve um aumento notável, na casa de dois dígitos, na pontuação da CyQu de resiliência e maturidade de risco em manufatura e transporte e armazenamento. Os dados sobre os controles complementares de alerta de ransomware (Ransomware Supplemental Red Flag Controls Data) mostraram que houve uma melhoria notável nos controles de tecnologia operacional (OT), embora as organizações ainda tenham reportado grandes falhas. Por exemplo, as empresas do setor de manufatura indicaram falha em 45% dos controles de OT.

Enquanto isso, as ameaças de extorsão por meio de ransomware e o sucesso em usar esquemas de phishing para iniciar ataques continuam representando um grande risco de interrupção dos negócios. Embora os vazamentos de dados por ransomware tenham caído 16% no terceiro trimestre e quarto trimestre de 20226, os dados do mercado de seguros cibernéticos e de erros e omissões mostram que, no primeiro trimestre de 2023, houve um aumento de 49% na frequência de eventos de ransomware7. Os ataques contra organizações dos EUA caíram 51% de um ano para outro, do pico em 2021 até 2022, mas aumentaram no Reino Unido (20%), EMEA (38%) e APAC (56%), o que indica que os invasores estão mudando o foco para outras regiões.

Quase 40% dos clientes do Reino Unido que completaram a avaliação Ransomware Supplemental Red Flag Controls da Aon para fins de underwriting informaram que houve falha nos controles em 33 áreas críticas. Os setores de construção, serviços de hospedagem e alimentação e manufatura apresentaram o menor nível de conformidade. Mais especificamente, as empresas de construção apresentaram a menor maturidade em segurança de backups, resiliência empresarial e segurança de endpoints. O gerenciamento de software, a MFA e a segurança de rede e dados foram os maiores desafios para as empresas de serviços de hospedagem e alimentação. Os clientes do setor de manufatura também relataram dificuldade em estabelecer a eficácia dos controles de OT, indicando que 45% desses controles têm falhas.

Ao examinar os resultados de acordo com os níveis de receita, as organizações multinacionais e corporativas de maior porte se saíram um pouco melhor que as de menor porte, indicando falhas em apenas 31% dos controles. As as vulnerabilidades mais significativas apareceram nos controles de segurança de backups, segurança de endpoints e gerenciamento de software. As empresas de médio porte e as micro, pequenas e médias empresas declararam que houve falha em 42% dos principais controles, especialmente em segurança de rede e dados, resiliência empresarial e segurança de backups.

Maturidade por domínio de segurança: Reino Unido

Olhando mais de perto, os dados da CyQu revelam uma grande variação entre setores e um nível significativo de aumento e queda da resiliência. Os setores de serviços profissionais, científicos e técnicos tiveram a maior pontuação em controle de acesso, e o comércio atacadista, a menor. A melhoria mais expressiva (+23%) foi no setor de transporte e armazenamento.

No domínio de segurança de aplicativos, os clientes indicaram uma melhoria geral de 3% em maturidade. Mesmo assim, dos nove domínios de segurança da avaliação CyQu, essa foi uma das menores pontuações, estando 15% abaixo da média de todos os domínios de segurança. O setor de saúde teve o aumento mais significativo (+16%), enquanto que os serviços profissionais demonstraram uma grande queda (-14%) em relação à base de referência de 2020.

As pontuações médias, em geral, dos clientes caíram 2% em resiliência empresarial, mas isso não reflete algumas mudanças muito importantes em cada setor. Os setores financeiro e de seguros tiveram uma queda de 18%. O cenário foi muito mais positivo nos setores de transporte e armazenamento (+23%) e manufatura (+14%).

As pontuações médias em segurança de dados se mantiveram estáveis, em geral, em relação à base de referência de 2020, com uma sólida melhoria relatada em transporte e armazenamento (+29%) e artes, entretenimento e recreação (+18%). Entretanto, uma grande queda na pontuação dos setores de serviços públicos, financeiros e de seguros abaixou a média geral de maturidade nesse domínio.

Os sistemas de endpoint e segurança, transporte e armazenamento relataram a melhoria mais notável nas pontuações comparado a 2020 (+23%), e o setor de manufatura também teve um aumento de 16%. Os setores financeiros, de seguros e de comércio atacadista informaram as quedas mais significativas.

O domínio de rede e segurança apresentou uma queda geral de 2% na média de pontuações, mas continuou sendo o domínio com a média mais alta no índice de maturidade de risco da CyQu. Os setores de serviços públicos e de transporte e armazenamento tiveram uma melhoria significativa, mas os clientes das áreas de saúde, financeira e de seguros informaram uma queda de dois dígitos na pontuação.

A segurança física continuou sendo um dos domínios com pontuação mais alta, apesar da queda de 3% na média. As organizações de tecnologia da informação e software relataram as pontuações mais altas e a queda mais acentuada ocorreu no comércio atacadista (-17%).

As pontuações de trabalho remoto, um domínio novo adicionado em 2020 em resposta à rápida migração para o trabalho remoto, permaneceram próximas da base de referência. Entretanto, as empresas do setor público reportaram uma queda de 20% na maturidade. O gerenciamento de terceiros teve a menor pontuação de todos os domínios e, em 2022, a média geral caiu mais 3%. Esse domínio continua sendo uma área de exposição e vulnerabilidade que requer uma atenção especial.

E agora? Ações sugeridas para líderes do Reino Unido

Cada empresa sofrerá o impacto dos incidentes cibernéticos de maneira diferente. Da mesma forma, o apetite por risco das organizações irá variarconforme o setor e o segmento, o que significa que elas terão níveis diferentes de maturidade nos domínios de segurança. No entanto, a queda da maturidade média e o aumento da frequência dos ataques de ransomware sugerem que as organizações do Reino Unido não entendem bem o risco nem como lidar com ele. É importante que as empresas adotem uma abordagem ponderada e embasada ao tomar decisões sobre o gerenciamento de risco cibernético.

1. Entenda e avalie o impacto operacional e financeiro que os incidentes cibernéticos podem causar na sua empresa.
2. Com base na análise do cenário e do caminho do ataque, identifique os domínios de segurança e os controles mais importantes que exercem o maior impacto na mitigação dos danos de um incidente cibernético.
3. Concentre seu investimento e sua estratégia na mitigação e transferência de risco para maximizar a resiliência cibernética.