Relatório de Resiliência Cibernética 2023

Esta é a parte 14 de 16 neste relatório.

October 11, 2023

Empresas do Reino Unido buscam resiliência cibernética

Entre 2020 e 2022, houve uma pequena queda na maturidade de segurança cibernético das organizações do Reino Unido. Mesmo que em alguns domínios de segurança elas tenham se saído muito bem, em outros elas sofreram retrocessos.

Principais conclusões

  1. Mesmo com os riscos em alta, a maturidade cibernética dos clientes diminuiu.
  2. Embora a maturidade tenha diminuído, a pontuação melhorou em alguns domínios de segurança, o que sugere que houve um aumento de investimento em algumas áreas em detrimento de outras.
  3. As tendências globais indicam um aumento do número de ataques de ransomware 1 e uma reação das seguradoras, exigindo um foco maior nos controles que são uma parte essencial do processo de underwriting.

* “Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon.” Report. Aon. May 2023.

Neste ano, o foco do Cyber United Kingdom (Reino Unido) é ajudar os clientes a “garantir um futuro digital aberto e resiliente”2. Ele destaca um período de avanço sem precedentes no desenvolvimento digital e de novas tecnologias, que também está sendo acompanhado por um aumento no risco cibernético. Sobre esse tema, o Brexit gerou preocupações com a cibersegurança em diversas frentes. Primeiro com a falta de profissionais qualificados, já que os estrangeiros estão voltando para casa3. E também com a saída do Reino Unido do Europol, do qual já foi líder, comprometendo a tomada de decisões cibernéticas de alto nível e a cooperação policial internacional contra crimes desse tipo.4

O risco cibernético é uma grande preocupação das empresas em todo o Reino Unido. Segundo a Pesquisa Global em Gerenciamento de Riscos da Aon5, o risco cibernético e de interrupção dos negócios aparecem em primeiro e em segundo lugar, respectivamente, no Reino Unido. Seguidos por danos à reputação ou à marca e, em sétimo lugar, por falhas na cadeia de fornecimento ou distribuição. A segurança cibernética abrange todas essas áreas de risco.

Entretanto, mesmo que as empresas do Reino Unido estejam cientes dos riscos, isso não significa que elas estejam preparadas. De acordo com informações de referência extraídas da CyQu, houve uma pequena queda na maturidade de risco cibernético dos clientes no Reino Unido. Mesmo assim, uma análise subjacente revelou que houve uma grande melhoria em alguns domínios de segurança apesar do enfraquecimento ou piora em outros.

As áreas mais notáveis de melhora na pontuação CyQu entre 2020 e 2022 incluíram a implantação de autenticação multifator (MFA), o monitoramento de vulnerabilidade de dispositivos e treinamento de conscientização de segurança cibernética para funcionários. Essa mudança pode ser uma consequência direta do surgimento do trabalho remoto durante a pandemia, com a potencial superfície de ataque se expandindo e as empresas precisando urgentemente lidar com vulnerabilidades nessas áreas de controle.

Também houve queda na pontuação da CyQu em outras áreas de controle críticas, o que demonstra os desafios contínuos que os clientes enfrentam ao lidar com as táticas e técnicas dinâmicas dos ataques cibernéticos. A queda mais aparente na maturidade de risco aconteceu na continuidade dos negócios/recuperação de desastres, testes de penetração de rede e classificação de dados. Um possível motivo para isso seriam as mudanças no orçamento para promover melhorias em outros domínios.

Embora a piora do nível de maturidade de risco tenha resultado na queda da pontuação da maioria dos setores, houve um aumento notável, na casa de dois dígitos, na pontuação da CyQu de resiliência e maturidade de risco em manufatura e transporte e armazenamento. Os dados sobre os controles complementares de alerta de ransomware (Ransomware Supplemental Red Flag Controls Data) mostraram que houve uma melhoria notável nos controles de tecnologia operacional (OT), embora as organizações ainda tenham reportado grandes falhas. Por exemplo, as empresas do setor de manufatura indicaram falha em 45% dos controles de OT.


Porcentagem de falta de controles de TO para determinada indústria no Reino Unido


Enquanto isso, as ameaças de extorsão por meio de ransomware e o sucesso em usar esquemas de phishing para iniciar ataques continuam representando um grande risco de interrupção dos negócios. Embora os vazamentos de dados por ransomware tenham caído 16% no terceiro trimestre e quarto trimestre de 20226, os dados do mercado de seguros cibernéticos e de erros e omissões mostram que, no primeiro trimestre de 2023, houve um aumento de 49% na frequência de eventos de ransomware7. Os ataques contra organizações dos EUA caíram 51% de um ano para outro, do pico em 2021 até 2022, mas aumentaram no Reino Unido (20%), EMEA (38%) e APAC (56%), o que indica que os invasores estão mudando o foco para outras regiões.

Quase 40% dos clientes do Reino Unido que completaram a avaliação Ransomware Supplemental Red Flag Controls da Aon para fins de underwriting informaram que houve falha nos controles em 33 áreas críticas. Os setores de construção, serviços de hospedagem e alimentação e manufatura apresentaram o menor nível de conformidade. Mais especificamente, as empresas de construção apresentaram a menor maturidade em segurança de backups, resiliência empresarial e segurança de endpoints. O gerenciamento de software, a MFA e a segurança de rede e dados foram os maiores desafios para as empresas de serviços de hospedagem e alimentação. Os clientes do setor de manufatura também relataram dificuldade em estabelecer a eficácia dos controles de OT, indicando que 45% desses controles têm falhas.

Ao examinar os resultados de acordo com os níveis de receita, as organizações multinacionais e corporativas de maior porte se saíram um pouco melhor que as de menor porte, indicando falhas em apenas 31% dos controles. As as vulnerabilidades mais significativas apareceram nos controles de segurança de backups, segurança de endpoints e gerenciamento de software. As empresas de médio porte e as micro, pequenas e médias empresas declararam que houve falha em 42% dos principais controles, especialmente em segurança de rede e dados, resiliência empresarial e segurança de backups.


Percentage of lack of critical IT controls’ for given UK client segment (‘red flags’)

Global: >$5B
Enterprise: $5B-$2B
Mid-Market: $100M-$2B
Small Medium Entity: <$100M


Maturidade por domínio de segurança: Reino Unido

Olhando mais de perto, os dados da CyQu revelam uma grande variação entre setores e um nível significativo de aumento e queda da resiliência. Os setores de serviços profissionais, científicos e técnicos tiveram a maior pontuação em controle de acesso, e o comércio atacadista, a menor. A melhoria mais expressiva (+23%) foi no setor de transporte e armazenamento.

No domínio de segurança de aplicativos, os clientes indicaram uma melhoria geral de 3% em maturidade. Mesmo assim, dos nove domínios de segurança da avaliação CyQu, essa foi uma das menores pontuações, estando 15% abaixo da média de todos os domínios de segurança. O setor de saúde teve o aumento mais significativo (+16%), enquanto que os serviços profissionais demonstraram uma grande queda (-14%) em relação à base de referência de 2020.

As pontuações médias, em geral, dos clientes caíram 2% em resiliência empresarial, mas isso não reflete algumas mudanças muito importantes em cada setor. Os setores financeiro e de seguros tiveram uma queda de 18%. O cenário foi muito mais positivo nos setores de transporte e armazenamento (+23%) e manufatura (+14%).

As pontuações médias em segurança de dados se mantiveram estáveis, em geral, em relação à base de referência de 2020, com uma sólida melhoria relatada em transporte e armazenamento (+29%) e artes, entretenimento e recreação (+18%). Entretanto, uma grande queda na pontuação dos setores de serviços públicos, financeiros e de seguros abaixou a média geral de maturidade nesse domínio.

Os sistemas de endpoint e segurança, transporte e armazenamento relataram a melhoria mais notável nas pontuações comparado a 2020 (+23%), e o setor de manufatura também teve um aumento de 16%. Os setores financeiros, de seguros e de comércio atacadista informaram as quedas mais significativas.

O domínio de rede e segurança apresentou uma queda geral de 2% na média de pontuações, mas continuou sendo o domínio com a média mais alta no índice de maturidade de risco da CyQu. Os setores de serviços públicos e de transporte e armazenamento tiveram uma melhoria significativa, mas os clientes das áreas de saúde, financeira e de seguros informaram uma queda de dois dígitos na pontuação.

A segurança física continuou sendo um dos domínios com pontuação mais alta, apesar da queda de 3% na média. As organizações de tecnologia da informação e software relataram as pontuações mais altas e a queda mais acentuada ocorreu no comércio atacadista (-17%).

As pontuações de trabalho remoto, um domínio novo adicionado em 2020 em resposta à rápida migração para o trabalho remoto, permaneceram próximas da base de referência. Entretanto, as empresas do setor público reportaram uma queda de 20% na maturidade. O gerenciamento de terceiros teve a menor pontuação de todos os domínios e, em 2022, a média geral caiu mais 3%. Esse domínio continua sendo uma área de exposição e vulnerabilidade que requer uma atenção especial.

E agora? Ações sugeridas para líderes do Reino Unido

Cada empresa sofrerá o impacto dos incidentes cibernéticos de maneira diferente. Da mesma forma, o apetite por risco das organizações irá variarconforme o setor e o segmento, o que significa que elas terão níveis diferentes de maturidade nos domínios de segurança. No entanto, a queda da maturidade média e o aumento da frequência dos ataques de ransomware sugerem que as organizações do Reino Unido não entendem bem o risco nem como lidar com ele. É importante que as empresas adotem uma abordagem ponderada e embasada ao tomar decisões sobre o gerenciamento de risco cibernético.

  1. Entenda e avalie o impacto operacional e financeiro que os incidentes cibernéticos podem causar na sua empresa.
  2. Com base na análise do cenário e do caminho do ataque, identifique os domínios de segurança e os controles mais importantes que exercem o maior impacto na mitigação dos danos de um incidente cibernético.
  3. Concentre seu investimento e sua estratégia na mitigação e transferência de risco para maximizar a resiliência cibernética.

Referências

1 “Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon.” Relatório. Aon. Maio de 2023.

2 “Aon 2021 Global Risk Management Survey.” Aon. Relatório. 2021. 2021 Global Risk Management Survey – Reino Unido (aon.com)

3 “Aon 2021 Global Risk Management Survey.” Aon. Relatório. 2021. 2021 Global Risk Management Survey – Reino Unido (aon.com)

4 “Brexit and Beyond: Cyber Security.” Stevens, Dr. Tim. Kings College London. Artigo. 5 de fevereiro de 2021.

5 “Aon 2021 Global Risk Management Survey.” Aon. Relatório. 2021. 2021 Global Risk Management Survey – Reino Unido (aon.com)

6 “Buyer-Friendly Cyber and E&O Market: How to Take Advantage.” Aon. Artigo. Maio de 2023. Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon

7 “Buyer-Friendly Cyber and E&O Market: How to Take Advantage.” Aon. Artigo. Maio de 2023. Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon


Produtos e serviços de seguros são oferecidos pela Aon Risk Insurance Services West, Inc., Aon Risk Services Central, Inc., Aon Risk Services Northeast, Inc., Aon Risk Services Southwest, Inc. e Aon Risk Services, Inc. da Flórida, e suas afiliadas licenciadas.

As informações contidas aqui e as declarações expressas têm caráter geral, não se destinam a abordar as circunstâncias de qualquer indivíduo ou entidade em particular e são fornecidas “apenas para fins informativos. Essas informações não substituem a orientação de um advogado ou de um profissional de segurança cibernética e não devem ser usadas para esse fim. Embora nos esforcemos para fornecer informações precisas e oportunas e usemos fontes que acreditamos serem confiáveis, não há garantia de que essas informações sejam precisas na data em que foram recebidas ou que continuarão a ser precisas no futuro.” como nas demais páginas.