Um estudo recente da Kaspersky – “The State of Industrial Cybersecurity 2019” – revela que dois terços das empresas industriais (67%) não reporta os incidentes de cibersegurança às entidades reguladoras.
Numa altura em que os cibercriminosos recorrem a ataques cada vez mais sofisticados para atingir empresas do sector industrial, há factores que assumem uma importância como nunca antes tinham tido:
são exemplo a definição de políticas sólidas de cibersegurança e o cumprimento das normas.
DoRGPD às regras estabelecidas pela Comissão Eletrotécnica Internacional (IEC), há cada vez mais procedimentos e requisitos que as empresas devem cumprir.
Contudo, o relatório da Kaspersky que analisa o estado da cibersegurança industrial em 2019, revela que muitas organizações não estão a cumprir as directrizes no que respeita à apresentação dos relatórios de incidentes, possivelmente para evitar sanções e exposição pública, dois aspectos que podem prejudicar a sua reputação. Neste sentido, os inquiridos no estudo afirmaram que mais de metade destes incidentes implicaram a transgressão de requisitos obrigatórios por lei.
Para 63% dos inquiridos, a perda de confiança dos clientes em casos de infracção é a principal preocupação.
À parte do registo de incidentes – e olhando agora para o cumprimento efectivo das normas – os resultados mostram que as empresas industriais encaram com seriedade o respeito pelas regras de cibersegurança, sendo que apenas 21% admite que actualmente os seus procedimentos estão em falta com a legislação obrigatória, aplicada ao scetor da Indústria.
Pois bem, é crucial que as entidades estejam conscientes que a regulação existe para ser cumprida, ainda que estas não sejam um exemplo na elaboração e envio dos relatórios.
De facto, o cumprimento dos procedimentos é o factor orçamental mais importante numa estratégia de investimento em cibersegurança, para 55% dos inquiridos.
No entanto, quando o foco nos procedimentos é excessivo, isso pode levar a que as empresas, ao estarem satisfeitas com a qualidade das soluções de cibersegurança, não tenham em conta as ameaças reais que surgem em novos contextos: apenas 28% dos inquiridos identificou o panorama das ameaças como um fator-chave para a elaboração dos seus orçamentos em cibersegurança.
“A regulação industrial e o cumprimento das normas não devem ser encarados de ânimo leve pelos gestores, mas também é muito importante que as empresas percebam que o panorama das ciberameaças muda constantemente. Uma solução de segurança eficaz, combinada com uma política clara de actuação, deverá ajudar estas estruturas a alcançarem um nível de protecção que esteja de acordo com os requisitos legais”, refere Georgy Shebuldaev, diretor da área de Business Development da Kaspersky Industrial Cybersecurity, acrescentando que “numa empresa, as soluções de cibersegurança devem incluir medidas orientadas para a tecnologia, avaliação de vulnerabilidades e acções de resposta a incidentes, bem como iniciativas de consciencialização sobre cibersegurança direccionadas aos colaboradores que trabalham com sistemas de automação industrial”.
