A Associação Brasileira das Companhias Abertas (Abrasca) divulgou na tarde desta quarta-feira (13) a primeira pesquisa setorial em cibersegurança que mostra como as empresas lidam com com ataques hackers. O levantamento apontou que 42% das companhias de capital aberto listadas na B3 não possuem um plano de resposta a incidentes cibernéticos e não contam com executivos responsáveis pela segurança da informação.
A pesquisa contou com a participação de 109 empresas do mercado de capitais de 12 setores, entre eles, agronegócio, educação, energia, engenharia, financeiro, indústria, óleo & gás, saúde, serviços, tecnologia, telecomunicações e varejo.
Os ataques cibernéticos têm gerado enorme preocupação entre investidores e executivos de empresas que podem ter desde a sua reputação afetadas até interrupção das suas funções.
“A importância do tema no mercado de capitais é crescente e sem volta. Deixou de ser um problema de TI e se transformou em um problema para todas as companhias, abertas ou não.”
Pablo Cesário, presidente-executivo da Abrasca
De acordo com os dados apresentados, 93% das companhias possuem mecanismos para detectar ataques cibernéticos, mas 42% não sabem como agir imediatamente para impedir a invasão da segurança da informação.
E 65% das companhias não orientam as equipes para lidar com um ataque hacker, no entanto, se dizem capazes de identificar e agir para assegurar a continuidade do negócio.
A pesquisa avaliou o Cyber Score, uma metodologia que as companhias meçam o nível de maturidade e risco em cibersegurança, que teve uma média de 49%, próximo ao nível mundial.
João Pedro do Nascimento, presidente da Comissão de Valores Mobiliários (CVM), o órgão regulatório não pode definir padrões de segurança de informação para as empresas antes de analisar o impacto financeiro das empresas.
“Criar regras em cima de regras e obrigações em cima de obrigações importar em tornar o custo de observância da atividade regulatória pelos entes regulados muito alto, e isso acaba afastando os participantes do mercado. Então essa não é a abordagem da CVM no Brasil.”
João Pedro do Nascimento, presidente da CVM
Ele cita que nos Estados Unidos, o SEC, a agência reguladora americana, é mais “incisivo” nas questões sobre a segurança da informação, mas ressalta que o mercado nos EUA é mais maduro e exemplifica que 10 dias de trading do mercado americano representa o volume que é movimentado anualmente na bolsa de valores brasileira.
“Se a gente fizer muitas intervenções regulatórias, a gente não vai gerar os incentivos necessários para que as companhias e empreendedores financiem seus negócios por meio do mercado de capitais”, argumenta.
Ransomware
Os ataques de ransomware, que são um tipo de malware de extorsão que pode bloquear o computador e criptografar dados pessoas de vítimas e que exige um resgate pela sua liberação, são as principais maneiras que os invasores acessam uma corporação.
Nos primeiros 5 meses de 2023, o ransomware teve um crescimento superior a 48% em comparação ao período correspondente do ano passado.
E 74% de todas as violações deste tipo incluem o elemento humano, com pessoas sendo envolvidas através de erros, usos indevidos de credenciais privilegiadas, roubo de credenciais ou engenharia social.
As três principais maneiras pelas quais invasores acessam uma organização são:
- Credenciais roubadas;
- Phishing; e
- Exploração de vulnerabilidades.
