Pequenas empresas não se preocupam com hackers
Uma nova pesquisa conduzida pela CNBC e pela Momentive sugere que as pequenas empresas nos Estados Unidos correm pouco risco de ser vítimas de um hack, ou estão extremamente confiantes sobre seu lugar na crescente ameaça à segurança cibernética nacional.
Para os clientes da Main Street, não saber a resposta a essa pergunta pode ser perturbador.
O CNBC | A Pesquisa Momentive Q3 Small Business inclui o que parece ser uma série de descobertas contraditórias.
Entre os proprietários de pequenas empresas da América, 56% disseram não estar preocupados em ser vítimas de um hack nos próximos 12 meses e, entre esses, 24% disseram que “não estavam nem um pouco preocupados”.
Entre os 42% que se preocupam com a rede, apenas 13% se autodenominaram “muito preocupados”.
Os proprietários de pequenas empresas também estão mais confiantes (59%) de que podem resolver rapidamente qualquer ataque cibernético. Apenas 37% não estavam confiantes e apenas 11% “não tinham nenhuma confiança”.
E, no entanto, apenas 28% das pequenas empresas disseram que, no caso de um ataque cibernético, eles têm um plano em vigor para a resposta. Quase metade (42%) disse não ter plano; 11% revelaram que “não tinham certeza” se sua empresa tinha um plano em vigor. Apenas cerca de um quarto (26%) afirma ter seguro cibernético.
Um sinal encorajador: 14% disseram que, embora atualmente não tenham um plano de resposta de segurança cibernética, um está em desenvolvimento.
O CNBC | A pesquisa Momentive Q3 2021 Small Business foi conduzida de 26 de julho a 3 de agosto entre mais de 2.000 proprietários de pequenas empresas nos Estados Unidos
“É um momento de cabeça na areia para muitos desses negócios”, disse David Kennedy, fundador da empresa de segurança cibernética TrustedSec e ele próprio um ex-hacker.
Kennedy disse que o maior grupo demográfico de resposta a incidentes para sua empresa são as pequenas e médias empresas – até 85%.
As manchetes sobre ataques de estado-nação ou apoiados por estado-nação contra grandes empresas, como os recentes ataques de frigoríficos JBS e oleodutos coloniais, podem levar pequenas empresas a concluir que são muito pequenas para serem visadas, mas existem hackers de todos os tamanhos visando todos os tamanhos de empresas, Kennedy disse.
“Vimos pizzarias familiares com uma só pessoa serem totalmente comprometidas. Vimos lojas de varejo com uma só pessoa comprometidas. Os motoristas independentes do Uber são alvejados”, disse ele.
Os vários tipos de “malfeitores” por aí incluem aqueles que estão apenas começando na construção de sua infraestrutura de hackers e realizando o equivalente a pequenos crimes de hackers antes de gerar dinheiro para investir em ataques mais sofisticados. Os níveis mais baixos de crime cibernético organizado e hacks individuais usam com sucesso esquemas de comprometimento de e-mail comercial para extrair dinheiro de pequenas empresas.
“Eles vão atrás de mamãe e papai e podem receber apenas US $ 3.000 ou US $ 5.000, mas é assim que tudo começa. Foi assim que o ransomware começou, vovó e vovô nas igrejas, e como eles investiram mais em infraestrutura de hackers”, disse Kennedy.
Ele disse que não ter um plano em vigor para responder a um ataque cibernético é o problema número um.
“Cada organização é suscetível”, disse ele, e não é apenas porque muitas não têm um plano, mas têm apenas “alguns caras de TI e ninguém dedicado à segurança”.
Derek Manky, chefe, insights de segurança e alianças de ameaças globais no FortiGuard Labs da Fortinet, disse que as pequenas empresas estão cada vez mais em uma posição vulnerável à medida que a superfície de ataque continua a crescer com IoT, trabalho remoto e a explosão de endpoints que devem ser gerenciados. E as pequenas empresas geralmente estão em uma das posições menos favoráveis com base nos recursos internos disponíveis para resolver um ataque.
“O risco nunca foi maior para as pequenas e médias empresas”, disse ele, citando um ponto de dados de 2019 que mostra que as pequenas empresas são o alvo nº 1 para os criminosos e representadas 43% de todas as violações de dados de 2019.
Até agora, muitas pequenas empresas tiveram sorte. Apenas 14% das pequenas empresas afirmam ter sido hackeadas, de acordo com os resultados do Q3 CNBC | Pesquisa Momentive Small Business. Mas os eventos recentes sugerem que isso pode aumentar no futuro, à medida que mais empresas forem forçadas a adotar plataformas digitais durante a pandemia como esteio, além de permitir que os trabalhadores operem remotamente.
Se você está fazendo negócios hoje e possui alguma pegada de TI, você deve fazer a segurança como parte dela. Basicamente, está a jogar Roleta Russa e é apenas uma questão de tempo até ser atingido.
David Kennedy, fundador da empresa de segurança cibernética TrustedSec
Os ataques de ransomware que chegaram às manchetes recentes não parecem ter atingido o setor de pequenas empresas em geral. Quando questionados se alguma vez foram vítimas de um ataque de ransomware, apenas 7% das pequenas empresas dizem à CNBC e à Momentive que foram em 2020 ou 2021. Cerca de metade delas (51%) disse que pagou o resgate – 24% pagos por conta própria; 27% disseram que o seguro cibernético o cobria.
“Depois que um ataque é bem-sucedido, o tempo médio para detectar a ameaça é de 210 dias, enquanto o tempo médio para conter / responder é de 75 dias”, disse Manky, citando dados da IBM.
O grande mal-entendido, na opinião de Kennedy, é que os proprietários de empresas e conselhos não veem a segurança cibernética como um risco central como qualquer outro risco comercial, como a cadeia de suprimentos ou contratação. E ele enfatizou que gastar mais em segurança cibernética não significa necessariamente que uma empresa está se preparando melhor. É mais sobre o processo de conscientização e planejamento.
Na pesquisa, 67% das pequenas empresas disseram que estão gastando com segurança cibernética o mesmo que gastaram no ano passado; 22% disseram que estão gastando mais.
“Se você está fazendo negócios hoje e tem alguma pegada de TI, você tem que fazer a segurança como parte disso. Você está basicamente jogando Roleta Russa e é apenas uma questão de tempo antes de ser atingido”, disse Kennedy.
Qualquer pequena empresa que pensa que patchear seu software e instalar o antivírus mais recente será suficiente para protegê-los e seus clientes não está vendo a segurança cibernética como um risco para o negócio, de acordo com Kennedy.
“Isso não vai proteger sua organização”, disse ele. “Posso garantir que dos 59% da audiência de sua pesquisa que disseram estar confiantes em responder a um ataque, mais da metade tem um programa de segurança inadequado.”
Uma pesquisa que constatou que pelo menos mostra se o seu negócio na Main Street foi hackeado, você ouvirá sobre isso: 76% das pequenas empresas dizem que deveriam ser obrigadas a divulgar um hack para os clientes.