O estudo Hiscox Cyber Readiness Report 2020 inqueriu 5.569 organizações de oito países.
Nos últimos 12 meses o custo médio para restabelecer a atividade após um incidente, ou de uma quebra de segurança, foi superior a US $ 57.000 €.
Impacto do COVID19 nos próximos 12 meses: decréscimo da confiança das empresas; impacto nos recursos de cibersegurança; trabalho remoto e comércio eletrónico continuam a ser o objetivo principal dos cibercriminosos.
As perdas cibernéticas entre as empresas atacadas em 2019 aumentaram quase seis vezes, de uma média de US $ 10.000 por empresa para US $ 57.000. Mas há sinais de que as empresas estão a responder com medidas de segurança mais rigorosas e investimentos mais altos em termos de segurança, que resultou num aumento de 39%.
Estes estão entre alguns dos principais resultados do inquérito a 5.569 empresas em oito países, encomendado pela seguradora Hiscox, representada em Portugal pela Innovarisk, à Forrester Consulting. De forma encorajadora, se por um lado as perdas aumentaram, por outro a proporção de negócios visados caiu de 61% para 39%.
A quarta edição do Hiscox Cyber Readiness Report entrevistou uma amostra representativa de organizações do setor público e privado nos EUA, Reino Unido, Bélgica, França, Alemanha, Espanha, Holanda e República da Irlanda. Cada empresa foi avaliada pela sua estratégia e execução de segurança cibernética e classificada em conformidade. Os resultados mostraram uma melhoria acentuada na prontidão da segurança cibernética, duplicando a percentagem de inqueridos que se qualificaram como “especialistas” em segurança cibernética (18% em 2020 versus 10% em 2019).
Principais conclusões:
Aumento das perdas cibernéticas: o total de perdas cibernéticas aumentou de US $ 1,2 bilhão para quase US $ 1,8 mil milhões. A maior perda reportada foi de uma empresa de serviços financeiros do Reino Unido, com US $ 87,9 milhões. A maior perda resultante de um evento cibernético foi de US $ 15,8 milhões, envolvendo uma empresa de serviços profissionais, também no Reino Unido. Os setores mais afetados foram os serviços financeiros, produção e tecnologia, media e telecomunicações. As empresas irlandesas sofreram os maiores custos médios, com mais de US $ 103.000.
Pedidos de resgate: Mais de 6% do total de entrevistados – ou um em cada seis dos atacados – pagou um resgate após um ataque de malware. A maior perda relatada por uma única empresa alvo de ransomware – e que pode incluir outros eventos cibernéticos – foi de US $ 50 milhões.
Melhoria da capacidade de resposta: o número de empresas que se qualificaram como “especialista” na nossa avaliação de capacidade de resposta em segurança cibernética aumentou de 10% para 18%. As empresas norte-americanas e irlandesas obtiveram o melhor resultado, com 24% a qualificarem-se como especialistas.
A França foi o país com melhores indicadores de melhoria, com 18% das empresas qualificadas como especialistas (2019: 6%). Este ano, globalmente duas vezes mais empresas responderam a uma violação ao aumentarem a sua segurança e gastando mais na formação de colaboradores.
Aumento dos custos cibernéticos: o custo médio em segurança cibernética aumentou 39%, de US $ 1,47 milhão para US $ 2,05 milhões. As empresas francesas foram quem mais gastou, com uma média de US $ 3,1 milhões. As empresas espanholas e americanas não ficaram muito atrás, com US $ 2,6 milhões e US $ 2,4 milhões, respetivamente. O Reino Unido começou a recuperar o atraso: os gastos médios aumentaram de pouco menos de US $ 900.000 para US $ 1,5 milhão.
Gareth Wharton, Hiscox Cyber CEO, afirmou que “embora o número de empresas que denunciam uma violação cibernética tenha diminuído este ano, o custo da atividade criminosa nesta área parece ser impressionantemente mais elevado. O número de empresas que pagaram um resgate após uma infeção por malware é assustador. Há, no entanto, uma mensagem muito positiva do relatório deste ano. Há evidências claras de uma mudança radical na preparação cibernética, com elevados níveis de atividade e investimentos. A adoção de um seguro cibernético autónomo mantem-se irregular, mas este relatório é um lembrete de que as empresas têm muitas vezes mais hipóteses de sofrer um incidente cibernético do que um incêndio ou um roubo – pelo qual o segurador mais automaticamente assegura.
Outros indicadores:
Grandes empresas debaixo da linha de fogo: mais da metade das empresas com mais de 1.000 funcionários (51%) relataram pelo menos um incidente cibernético, bem como foram alvo da maioria dos incidentes (cerca de 100) e violações de segurança (80).
Custos na aquisição de conhecimento: as empresas “especialistas” no modelo de prontidão de resposta cibernética gastaram uma média de US $ 4,2 milhões em 12 meses em segurança cibernética. Do lado oposto da escala, dentro do que se classifica como “novatos”, o gasto foi em média de US $ 1,3 milhões.
A defesa compensa: se um resgate foi pago ou não, as perdas médias para empresas sujeitas a um ataque de ransomware foram quase o dobro das empresas que enfrentaram um ataque de malware: US $ 927.000 em comparação com US $ 492.000. Os números, que incluem perdas relacionadas com todos os tipos de eventos cibernéticos, sublinham a importância de um bom sistema de deteção e de backups.
Sinais de uma nova urgência: o relatório deste ano mostra que aproximadamente o dobro de empresas que sofreram um evento cibernético, tomaram medidas adicionais para combater os hackers. Um exemplo: 25% aumentaram os custos com a formação de funcionários após um ataque, em comparação com 11% em 2019. Muitos outros estão a priorizar iniciativas chave para o próximo ano e quase três quartos dos inqueridos (72%) planeiam aumentar os seus orçamentos de segurança cibernética em 5% ou mais no próximo ano, versus 67% no ano passado.
Mais aquisição de seguros de riscos cibernéticos após um evento: A proporção de inqueridos que afirmaram ter adquirido um seguro de riscos cibernéticos como resultado de um ataque tem vindo a aumentar nos últimos três relatórios, de 9% para 20%. Pouco mais de um quarto das empresas (26%) disse ter uma apólice riscos cibernéticos autónoma, enquanto que 18% disseram que planeavam comprar uma cobertura autónoma ou adicioná-la como cobertura às suas apólices. As empresas classificadas como “especialistas” estão na linha da frente: quase metade (45%) afirmou ter um seguro de riscos cibernéticos.
Sobre o estudo The Hiscox Cyber Readiness Report 2020
A Hiscox encomendou este estudo à Forrester Consulting para avaliar a capacidade de resposta cibernética das organizações. No total foram contactados 5.569 profissionais responsáveis pela estratégia de segurança cibernética das suas organizações (cerca de 1.000 do Reino Unido, EUA e Alemanha, mais de 500 da Bélgica, França, Espanha e Holanda, e cerca de 300 da República da Irlanda). Fazendo uma análise representativa das organizações por tamanho e setor, estas são as pessoas na linha de frente na batalha contra o crime cibernético. Os entrevistados completaram o inquérito online entre dezembro 2019 e fevereiro 2020. Cópia integral do estudo disponível em www.hiscox.co.uk/cyberreadiness.
Sobre a Innovarisk
Fundada em 2013, a Innovarisk é uma empresa portuguesa independente a operar enquanto agência de subscrição, com dois eixos de atuação: representar o Grupo Hiscox em Portugal e atuar enquanto Lloyd’s Coverholder. Ambos têm em vista a disponibilização, através de um serviço de qualidade para o mercado português de Mediação de Seguros, de apólices de seguro desenhadas para responder, a preços acessíveis, às necessidades de proteção de nichos de mercado.
Mais informações em https://innovarisk.pt.