No início deste ano, a Axis participou no maior estudo comparativo de cibersegurança do mundo, Cybersecurity Solutions for a Riskier World, realizado pela empresa de pesquisa global ThoughtLab. O estudo analisou as estratégias de cibersegurança e os resultados de 1200 grandes organizações em 14 indústrias diferentes e 16 países, destacando os riscos crescentes e, preocupantemente, a perceção entre os executivos de que estão em grande parte despreparados para o ambiente em mudança. Analisámos os dados do estudo para recolher algumas das principais aprendizagens para o sector da vigilância e segurança.
Uma das mudanças mais significativas nos riscos da cibersegurança nos últimos anos tem sido a chegada e o crescimento da chamada Internet of Things (IoT, "Internet das coisas"), onde milhares de milhões de dispositivos estão agora ligados uns aos outros e às redes corporativas. Isto tem aumentado grandemente a superfície potencial de ataque para as organizações. De facto, qualquer dispositivo ligado à rede pode traduzir-se num ponto de ataque e de entrada para cibercriminosos.
Este foi um fator destacado no estudo, com 25% dos inquiridos a concordarem com a afirmação de que a "convergência dos sistemas digitais/físicos aumentou consideravelmente o risco de cibersegurança". E é um risco que continua a aumentar. Enquanto que 27% consideraram o aumento das novas tecnologias, incluindo a IoT, como o maior risco atual de cibersegurança, a percentagem de inquiridos que o viram como o maior risco em dois anos subiu para 37%.
De forma ainda mais significativa, 44% dos inquiridos concordaram que o "crescente uso de parceiros e fornecedores os expõe a um maior risco de cibersegurança". O problema pode surgir da utilização de componentes de hardware e software de terceiros por parte de alguns vendedores - dados não revelados ao cliente. É vital fornecer soluções de segurança completas verificadas, ou de fornecedores que sejam transparentes e possam fornecer uma lista de materiais do software (SBOM).
Em geral, mais de um em cada quatro (27%) sentiu que a sua organização não está bem preparada para o cenário de risco em rápida mudança.
Necessidade crítica de focagem em TO vs. TI
Existe atualmente uma necessidade maior do que nunca de considerar os riscos tanto em tecnologia da informação (TI) - tecnologia usada principalmente para gerir os dados de uma organização - e tecnologia de operações (OT), a tecnologia usada para gerir e monitorizar equipamento industrial, bens, processos e eventos. No entanto, os dados do estudo do ThoughtLab destacam uma lacuna preocupante a nível do pessoal. Apenas 40% do pessoal de cibersegurança nas empresas inquiridas estava concentrado em TO.
Por si só, uma divisão 40/60 entre o pessoal de segurança cibernética focado em TO versus os funcionários focados em TI não parece ser muito dramática. Mas, no contexto de algumas das razões para as violações de segurança, é fácil ver porque é que esta proporção deveria ser mais uniforme.
Os inquiridos no inquérito citaram erro humano (50%), bens desconhecidos (44%), configurações erradas (44%), manutenção deficiente (43%) e reparações (31%) como a causa principal dos ciberataques, com muitos destes a aumentar. Todas estas podem ser consideradas questões de TO, enquanto que a primeira área relacionada com as TI - arquitetura de rede - só foi destacada como a origem dos ataques por 26% dos inquiridos. Dado que há mais bens de TO do que de TI na superfície de ataque da maioria das organizações, há um forte argumento de que deveria haver mais pessoal de TO focado na segurança cibernética do que pessoal de TI, e não menos.
Dá-se prioridade aos investimentos, mas serão eles eficazes?
O estudo analisou alguns pormenores das áreas onde os clientes estão a dar prioridade aos investimentos em cibersegurança, mas realçou também algumas surpresas em relação a onde estas foram consideradas eficazes.
Considere o acima descrito, relativo a TO e TI. Quase um em cada três inquiridos (30%) afirmou que já tinha investido em "dar prioridade aos bens de TI e TO para proteger bem como às vulnerabilidades para remediar", e 33% disse que esta seria a maior área de investimento nos próximos dois anos. No entanto, apenas 9% citaram esta como a medida mais eficaz.
Em contraste, a "aplicação dos princípios de confiança zero" - uma área onde um número semelhante de inquiridos já investiu (29%) - foi vista como tendo o dobro do impacto na melhoria da cibersegurança (18% vendo esta como a área de investimento mais eficaz).
Parece existir uma oportunidade para os integradores de sistemas nesta área. 18% dos inquiridos realçaram que "desenvolver e implementar um programa de gestão de risco de terceiros" como a medida mais eficaz, mas apenas 23% já investiram nele.
Uma palavra sobre estruturas de cibersegurança
O estudo pediu aos inquiridos que indicassem quais as estruturas do setor que utilizavam para aferir as suas estratégias de cibersegurança. Quase metade dos inquiridos (48%) declararam que estavam a utilizar as normas ISO 27001 e 27002, com o Centro para a Segurança da Internet (CIS) a obter uma pontuação elevada (45%) e os NIST CSF e NIST 800-53 também bastante próximos (32% e 40%, respetivamente). Embora o NIST CSF seja um quadro de gestão de risco mais recente, é interessante que com base nos resultados esteja apenas ligeiramente atrás da ISO 27001 em termos de adoção pelas empresas a nível mundial.
Abordando as questões de cibersegurança dos dispositivos conectados
É evidente no estudo do ThoughtLab que o número crescente de dispositivos de segurança física conectados está a criar um crescimento relacionado com os riscos de segurança cibernética. Apesar dos impactos negativos associados às violações de segurança - incluindo danos à reputação, disrupção e interrupção do negócio através de paragens do sistema, perdas financeiras diretas e possíveis multas - parece ser uma área que ainda não está a atrair a merecida atenção.
Como fornecedor de câmaras de vigilância conectadas e tecnologia associada, a Axis leva a sério o seu papel na cibersegurança. Inovações em funcionalidades de segurança cibernética incorporadas, como a identificação de dispositivo Axis, Edge Vault, firmware assinado, arranque seguro, entre outras, ajudam a salvaguardar a integridade dos dispositivos Axis na rede.
Também trabalhamos em conjunto com os nossos parceiros e clientes para ajudar a assegurar que as melhores práticas de cibersegurança estão a ser implementadas em toda a cadeia de valor e ciclo de vida do produto. AXIS Device Manager e AXIS Device Manager Extend continuam a ser as ferramentas ideais para gerir e manter a cibersegurança dos produtos Axis.
Mais do que nunca, a cibersegurança continua a ser uma viagem e não um destino.
