A maioria das principais empresas do Brasil continua abaixo de um padrão desejável de Cibersegurança. Esse diagnóstico vem da pesquisa Panorama de Superfície de Ataque do Mercado Nacional, realizado pela GAT InfoSec, em parceria com a Open Startups. Para fazer esse levantamento, o estudo analisou a base de 1.131 empresas do 100 Open Corps – lista que inclui as maiores empresas do país participantes do ecossistema de inovação aberta.
Todos os ativos digitais dessas companhias – endereços IP, aplicativos, e-mails, redes corporativas, etc – relacionados ao domínio principal da empresa foram analisados com a plataforma GAT Security Score, que verifica a superfície de ataque de forma não-intrusiva e coleta potenciais riscos e vulnerabilidades. E, com base nessas informações, gera score de postura cibernética.
“Em uma escala de 0 a 950 pontos, o score que representa uma postura segura é acima de 800. Mas a média geral das empresas analisadas ficou em 618. As grandes empresas ficaram um pouco acima, com 647, enquanto as médias atingiram somente um score de 577”, explica Leonardo Militelli, CEO da GAT InfoSec. “Isso significa que, por mais que a cultura de segurança cibernética venha sendo incorporada nas empresas e, até mesmo, ao nível de conselho, ainda há gaps significativos, principalmente devido ao uso de protocolos inseguros e sistemas desatualizados”, completa.
O estudo levantou mais de 227 mil aplicações, 76 mil IPs e 12 mil e-mails divulgados publicamente pertencentes às empresas. Constatou, entre outros achados, que 45% das aplicações das empresas possuem ao menos uma fragilidade em suas aplicações, entre quatro tipos de problemas analisados (ausência de canal de comunicação seguro / certificado digital expirado / cookies sem a flag “expires” / cookies sem a flag “secure”).
Além disso, 7,5% dos sites ainda usam protocolos de comunicação inseguros; 7,7% dos e-mails públicos das empresas já tiveram senhas vazadas, segundo registros públicos como haveibeenpwned܂com; 1,24% dos sites pertencentes às empresas possuem serviços de banco de dados acessíveis via internet; e a média é de 3 certificados digitais expirados e 3 vazamentos de dados pessoais para cada empresa analisada.
Essas constatações são preocupantes quando se leva em consideração que a cibersegurança e a privacidade de dados são temas com impacto cada vez maior nos negócios. Na última edição do Fórum Econômico Mundial, em Davos, o cibercrime foi elencado como um dos principais riscos globais, e as perdas com incidentes de cibersegurança foram estimadas em mais de 1 trilhão de dólares.
A Comunidade Europeia já anunciou que vai passar a exigir, dos fornecedores globais, uma certificação de segurança digital. E um levantamento da plataforma de informações jurídicas JUIT detectou que, desde a entrada em vigor da LGPD, no Brasil, já houve mais de 14 mil decisões sobre o tema – a maioria ainda de primeira instância, mas cerca de 4 mil já emitidas por tribunais superiores.
A conclusão da pesquisa é que, além da conscientização dos colaboradores para os riscos cibernéticos, é preciso que as empresas brasileiras evoluam na adoção de protocolos de segurança e na implementação de sistemas automatizados para visibilidade e priorização dos riscos.
“O mais sintomático é que, das mais de mil empresas analisadas, apenas 12 tiveram um score acima dos 900. Uma única empresa, do setor financeiro, atingiu a nota máxima, de 950”, explica Militelli. “Em compensação, chegamos a encontrar outras com notas baixíssimas, de até 122 pontos. Isso expõe dois desafios críticos para os CISOs/CSOs, sendo a visibilidade adequada da superfície de ataque e da postura cibernética, e da comunicação efetiva com a alta direção para defender a necessidade e conseguir os investimentos necessários para segurança cibernética.”, conclui o executivo.
