Pequenas e médias empresas precisam se preocupar com a cibersegurança

Qual é a situação da segurança cibernética em pequenas e médias empresas? Numerosos estudos mostram que poderia ser melhor. Mas há um raio de esperança: a consciência do problema está crescendo. Este artigo explica por que e o que as pequenas e médias empresas podem fazer para se protegerem de riscos cibernéticos. 

Segundo relatos da imprensa, o ataque veio do nada. Em fevereiro de 2020, hackers aparentemente penetraram na rede de computadores da Technische Werke Ludwigshafen, uma empresa de serviços públicos municipal no sudoeste da Alemanha, e conseguiram 500 gigabytes de dados que incluíam informações sobre todos os seus clientes, funcionários e parceiros de negócios, incluindo detalhes de contas. Como a empresa não pagou o resgate horrível que foi exigido, em maio os criminosos começaram a publicar as informações roubadas na darknet, onde os dados podem ser usados por outros hackers para novas tentativas de chantagem. A empresa informou seus clientes como eles podem se proteger contra o uso indevido de seus dados.

Bilhões em danos

O incidente em Ludwigshafen é apenas a ponta do iceberg. Todos os dias, as empresas são vítimas de criminosos cibernéticos que roubam dados confidenciais e incapacitam os sistemas de TI. Embora poucos casos apareçam, o número de casos não notificados é alto, porque as empresas não querem que os danos se tornem amplamente conhecidos. A resseguradora Munich RE estima os danos mundiais causados por ataques cibernéticos em 2018 em US$ 600 bilhões. Nas menores empresas, esses ataques são bem-sucedidos em uma taxa acima da média, de acordo com o estudo de 2018 “Cyberrisiken im Mittelstand” (“Riscos cibernéticos em empresas de médio porte”) conduzido pela Forsa em nome da Associação Alemã de Seguros. No entanto, é incrível como muitas empresas são relaxadas (e ingênuas?) Sobre o assunto. Na Alemanha, por exemplo, 71% das pequenas e médias empresas (PMEs) consideram seu risco baixo.

Pequenas empresas, grande perigo

Essa discrepância entre a ameaça percebida e a real é assustadora. As desculpas mais comuns são “Somos muito pequenos” ou “Não temos dados valiosos”. Em primeiro lugar, o tamanho ou valor do alvo é de importância secundária para os hackers. Ataques cibernéticos podem ser como chumbo grosso: você simplesmente dá um tiro aleatório e espera ter acertado em algo. E a munição é potente. No ano passado, o Escritório Federal Alemão de Segurança da Informação (BSI) contabilizou até 400.000 novos programas de malware por dia. Tanto as grandes como as pequenas empresas, mais cedo ou mais tarde, serão atingidas por um fragmento - e sofrerão ferimentos dolorosos se não houver medidas de segurança em vigor.

O medo cresce

A boa notícia é que as PMEs estão cada vez mais conscientes dos riscos, pelo menos na Alemanha. Em uma pesquisa de 2019 feita pela seguradora Gothaer Versicherung, 43% das PMEs com até 500 funcionários consideraram os ataques cibernéticos a maior ameaça às suas empresas. Esse número era de apenas 32% dois anos antes. Isso agrada o grupo segurador, que reconheceu que as políticas cibernéticas que protegem contra danos de hackers são um "gigante adormecido".

Nas empresas menores, os ataques cibernéticos são bem-sucedidos a uma taxa acima da média.

Aprendendo com os erros

A má notícia é que as medidas para aumentar a segurança cibernética são como as resoluções de ano novo. Sabemos que devemos nos exercitar mais, mas a preguiça sempre vence - ou o descuido, no caso da cibersegurança. O amplo conhecimento da ameaça raramente resulta em medidas de precaução concretas, como prova o estudo da Forsa para a indústria de seguros: 73% das empresas acreditam que estão suficientemente protegidas contra riscos cibernéticos sem tomar outras medidas. Mas a experiência mostra que, quando percebem seu erro, muitas vezes é tarde demais e, acima de tudo, caro. Quando se trata de segurança cibernética, é melhor não confiar no “princípio de São Floriano”: torcer para que seja sempre a casa do vizinho que pegue fogo.

Prevenção necessária

Markus Schliess conhece bem essa atitude. O advogado especializado em direito de TI em Stuttgart, Alemanha, aconselha empresas sobre como elas podem se proteger dos riscos cibernéticos e dos riscos legais associados. Ele enfatiza a prevenção. Atuando na gestão da empresa, ele desenvolve diretrizes sobre como os colaboradores devem se comportar e ministra essas medidas em treinamentos. “O Regulamento Europeu de Proteção de Dados, por exemplo, define diretrizes rígidas”, avisa Schliess. Quem não o cumpre e perde dados pessoais pode acabar tendo que pagar duas vezes: o dinheiro do resgate aos hackers ou por danos à TI, por um lado, e penalidades severas, por outro. “A autoridade reguladora analisa atentamente se tudo foi feito para evitar a perda de dados”. Por exemplo, as empresas que podem demonstrar evidências de que forneceram treinamento a seus funcionários geralmente estão no lado seguro, de acordo com Schliess.

Mantenha a calma e peça ajuda

“Muitas PMEs precisam de ajuda com o planejamento e implementação de medidas de prevenção, detecção e resposta”, disse Arne Schönbohm, presidente do Escritório Federal Alemão de Segurança da Informação (BSI). Hoje, há toda uma gama de recursos disponíveis para PMEs, incluindo o cartão de emergência de TI do BSI, que pode ser conectado ao monitor de cada funcionário para informá-los sobre o que fazer se suspeitarem de um ataque. Regra nº 1: Mantenha a calma. Regra nº 2: Ligue para o número de telefone fornecido e obtenha ajuda. Outra fonte de assistência rápida é o pacote de serviços de emergência de TI desenvolvido pela BSI em colaboração com vários parceiros, incluindo a Charter of Trust e seu membro fundador Siemens. A Charter of Trust também desenvolveu um plano de três fases sobre como as PMEs podem se armar contra ameaças.

Do problema à solução

A digitalização é muitas vezes difamada como a verdadeira causa dos ataques cibernéticos por aqueles que negam os riscos, mas esse não é o problema. Pelo contrário, ela faz parte da solução, como prova o estudo alemão da Bitkom. Mesmo assim, ela muitas vezes ainda deixa a desejar.

 

A Siemens desenvolveu uma abordagem holística para a segurança cibernética, que ajuda a empresa não apenas a proteger sua infraestrutura, mas também os produtos, soluções e serviços para seus clientes, tanto quanto possível. Além disso, a empresa uniu forças com empresas líderes de todo o mundo para formar o Charter of Trust com seus dez princípios.

 

Se você deseja saber mais sobre os riscos cibernéticos aos quais as empresas estão sujeitas e o que exatamente você pode fazer sobre eles, também com a ajuda da Siemens, clique aqui.

Este é o primeiro de nossa série de cinco artigos que explicam por que e o que as pequenas e médias empresas podem fazer para se protegerem de riscos cibernéticos. Os artigos exploram a questão de por que empresas menores são atacadas com mais frequência e que papel os funcionários desempenham. Eles também fornecem dicas sobre como as empresas podem se proteger de ataques a um custo administrável e podem tornar isso parte de sua estratégia de negócios - por exemplo, com suporte específico da Siemens. Assim que o próximo artigo for publicado, ele terá um link aqui:

 

Parte 1: espaço para melhorias

Parte 2: Frutas muito baixas

Parte 3: Seres humanos: a fenda na armadura

Bernd Müller

Inscreva-se na Newsletter

Fique sempre atualizado: tudo o que você precisa saber sobre eletrificação, automação e digitalização.