Maioria dos ciberataques visam PME

As PME representam cerca de 99% do tecido empresarial da UE. Embora a grande maioria das empresas seja classificada como PME, muitas delas ainda estão no processo de digitalização e implementação de medidas de segurança. 90% das PME não implementaram novas medidas de segurança para proteger as novas tecnologias que estão a adotar, resultado da sua transformação digital, segundo um estudo realizado pela Agência da União Europeia para a Cibersegurança (ENISA). No entanto, em 2022, 61% de todos os ciberataques visaram especificamente as PME, de acordo com um estudo recente da CheckPoint, um parceiro da Fibratel. 

“Estes dados demonstram a necessidade de implementar medidas de cibersegurança em empresas de todos os setores e dimensões. Os cibercriminosos estão à procura da maior rentabilidade, mas também dos alvos mais fáceis para lançar os seus ataques. Estes ataques podem ter consequências devastadoras, incluindo custos financeiros significativos e danos à reputação. É crucial que as PME tomem medidas proativas para melhorar a sua cibersegurança e proteger os seus ativos digitais”, afirma Jordi Rubió da fsafe.

Assim, a unidade de cibersegurança da fibratel, fsafe, identificou os ciberataques mais comuns entre as PME como sendo o phishing. De acordo com a ENISA, 41% das PME afirmam ter sido vítimas de um ataque de phishing. Embora a sensibilização dos utilizadores seja importante em todos os ciberataques, é ainda mais importante no caso do phishing. O modus operandi consiste em enganar os colaboradores para obter informações confidenciais - cartões de crédito ou credenciais - e lucrar com elas. Ao fazê-lo, os cibercriminosos podem obter acesso a todos os dados da empresa, o que pode resultar na perda dessas informações e ter um impacto negativo na imagem da empresa e na confiança do consumidor final.

Também entre os mais comuns encontram-se os ataques baseados na Web. Depois do phishing, estes são os ciberataques mais comuns às PME (40%), de acordo com o estudo da ENISA. Podem ter diferentes vetores de ataque: downloads drive-by, ataques watering hole, formjacking e um URL malicioso. Todos eles têm o objetivo comum de obter acesso aos sistemas da empresa para roubar informações confidenciais ou comprometer a segurança dos dados. Para evitar que isso aconteça, além de dar formação adequada de sensibilização para a segurança à equipa, é necessário implementar um bom antivírus e sistemas de backup, que, embora não possam evitar ataques, ajudam na sua recuperação se forem devidamente mantidos.

Por outro lado, o malware constitui um risco para 80% das PME, de acordo com o mesmo estudo da CheckPoint. Existem diferentes tipos de ataques: trojan, spyware, botnets, malware gerado por IA, etc. Estes ataques estão a tornar-se cada vez mais diversificados e eficazes, razão pela qual é importante manter o software empresarial atualizado, fazer cópias de segurança, encriptar dados sensíveis e monitorizar a rede para detetar possíveis vulnerabilidades. Neste sentido, ferramentas como a Crowdstrike podem ser eficazes para todo o tipo de organizações, adaptando sempre os serviços às exigências e dimensão de cada empresa em particular.

Finalmente, os ataques DDoS, cujo objetivo é interromper o serviço da empresa e 12% das PME afirmam ter sido vítimas, é também dos mais comuns. Estes ataques aumentam especialmente em alturas que geram um elevado volume de negócios, como as vendas, o que pode resultar em grandes perdas financeiras para estas empresas. Para evitar estes ataques, podem ser implementadas soluções de proteção de rede, como firewalls com diferentes graus de mitigação, adequadas a todos os tipos de empresas, independentemente da sua dimensão e setor.

“O utilizador é o elo mais fraco da cadeia, pelo que é importante formar as equipas em cibersegurança para eliminar as vulnerabilidades e manter as soluções de cibersegurança atualizadas”, acrescentou Jordi Rubió da fsafe, finalizando que “é importante sensibilizar as PME para dedicarem uma parte do seu orçamento à cibersegurança, o que pode ajudar a garantir a continuidade da atividade, proteger a reputação e até poupar custos em caso de ciberataque”.