Em quase todo o mundo, os ataques informáticos são detetados, em média, num período de 146 dias (cerca de quatro meses). Na Europa, contudo, esse valor aumenta para valores acima do triplo, demorando, em média, 469 dias (cerca de 15 meses) para serem detetados, segundo o relatório “Cyber Threats: A Perfect Storm to Hit Europe?” da Marsh, empresa especialista em consultoria de risco, em parceria com a FireEye.
Ana Marques, responsável pela área de Cyber Risks da Marsh Portugal, explica que, “de acordo com os resultados do “Continental European Cyber Risk Survey: 2016 Report”, apenas 40% das empresas europeias têm um plano de contingência para responder a ataques cibernéticos. “Esta falta de preparação aliada às “técnicas desajustadas, às tradicionais metodologias forenses utilizadas pelas empresas e à ausência de notificações externas – contrariamente ao que sucede nos EUA – contribuem também para esta demora”, acrescenta a especialista.
Ana Marques, responsável pela área de Cyber Risks da Marsh Portugal
Estes dados divulgados no relatório permitem concluir que existe a possibilidade de uma (ou mais) empresas ter sofrido um ataque cibernético em 2015 e ainda não ter detetado que tal tenha acontecido. A situação torna-se ainda mais preocupante sabendo que entre as indústrias mais atacadas estão a área financeira e a política.
Regulamento Geral sobre a Proteção de Dados da União Europeia
↓ Mostrar
↑ Esconder
O novo regulamento obriga a que as empresas notifiquem uma violação de dados pessoais à Autoridade de Supervisão e, quando a ameaça ou as perdas de informação forem substanciais, as entidades têm também de informar os indivíduos afetados. O incumprimento poderá resultar na aplicação de multas, que podem atingir até 20 milhões de euros ou 4% do volume anual de negócios consolidado.
“Um ataque cibernético não detetado pode implicar o comprometimento contínuo de informação pessoal e comercial, sendo que, no primeiro caso, com a entrada em vigor do Novo Regulamento de Proteção de Dados Pessoais, o cenário assume contornos mais drásticos”, alerta Ana Marques.
As três grandes eleições deste ano (na Holanda, no passado mês de Março, em França, no final de Abril, e na Alemanha, no próximo mês de Outubro) estão a ser uma grande atração para os hackers devido ao interesse na obtenção destes dados e à influência mundial que podem vir a ter. No entanto, não é só o roubo de informação que está em causa, também o ransomware – ataques com o intuito de se apoderarem da máquina a fim de obter um resgate – aumentou em 2016 e deve continuar a crescer.
O relatório divulgado pela Marsh destaca ainda que nenhum setor está livre de sofrer um ataque e cerca de 40% dos dados obtidos através de ataques cibernéticos, na Europa, estavam relacionados com os sistemas de controlo industrial das empresas, projetos ou segredos comerciais.
Como explica ao Observador Ana Marques, “os partidos políticos e os sistemas eleitorais são considerados parte integrante das infraestruturas críticas nacionais, pelo que o interesse dos atacantes pode passar, entre outros aspetos, pela integridade do processo eleitoral, manipulação e/ou divulgação de informação confidencial, assim como por questões monetárias.”
No caso concreto de Portugal, 53% das empresas identificaram que podiam ser afetadas diretamente caso sofressem uma perda de dados informáticos, no entanto, 55% afirmou não ter estimado o respetivo impacto que tal ação iria ter na companhia.
Ana Marques revela que “69% das empresas portuguesas têm um conhecimento limitado desta tipologia de riscos“, porque muitas dessas organizações consideram que o departamento de IT (departamento informático) é o principal responsável pela cibersegurança “quando esta deve ser também uma preocupação dos administradores financeiros, dos administradores das empresas, dos gestores de riscos, dos juristas, do compliance, das operações, dos recursos humanos, dos colaboradores”, ou seja, de todos os membros da empresa, conclui a responsável pela área de cibersegurança da Marsh Portugal.
