Pouco mais de um terço (34,7%) das indústrias em São Paulo sofreu ataques cibernéticos em 2024. Em quase metade (42,2%) dos casos, os invasores tiveram êxito, e em 67,4% houve tentativa de extorsão, com um terço das vítimas tendo cedido à chantagem. Os dados são da 3ª edição da Pesquisa de Maturidade da Indústria em Cibersegurança, divulgada no VII Congresso de Segurança Cibernética, Proteção de Dados e Governança de Inteligência Artificial, promovido pela Fiesp.
O levantamento com 294 indústrias paulistas mostra que os criminosos priorizaram interromper o negócio com o objetivo de explorar pânico e imediatismo. Entre os ataques bem-sucedidos, 4,7% envolveram violação de propriedade industrial ou extração de segredos de negócio. O vazamento de dados pessoais ocorreu em 9,3% dos incidentes. Ambos os casos exigem respostas mais estratégicas, inclusive com obrigatoriedade de notificação pública. Contudo, a ação dos criminosos em 65,1% dos ataques resultou em impactos como paralisação de operações. “Proteger os dados pessoais e confidenciais é vital. Mas não são apenas esses riscos (cujos incidentes têm maior visibilidade) que são explorados”, alertou Rony Vainzof, diretor do Departamento de Defesa e Segurança da Fiesp.
Mesmo empresas que tenham adotado corretamente as medidas de backup e criptografia dos dados podem ter prejuízos com o tempo de recuperação. Ainda assim, a negociação é sempre o pior negócio. “Pagar extorsão significa ingressar na lista de bons pagadores”, resumiu Vainzof.
Desigualdade e riscos sistêmicos
Mais do que as diferenças de capacidade de investimento, a desproporção do tratamento ao tema de cibersegurança aparece como foco de preocupação. “Os números indicam discrepâncias de maturidade. A prioridade escala conforme o porte da empresa”, observou Vainzof.
Os dados confirmam que empresas maiores tratam a cibersegurança de forma mais estratégica. Enquanto apenas 22,6% das pequenas e médias empresas (PMEs) consideram o tema prioridade, o índice sobe para 75% nas organizações com faturamento entre R$ 300 milhões e R$ 1 bilhão, e para 80% entre as que superam esse valor. Em relação à edição anterior, houve aumento de 2,7 pontos percentuais na percepção da cibersegurança como prioridade estratégica, mas a maioria (77,1%) ainda destina menos de 1% da receita à área.
Marta Helena Schuh, diretora do Departamento de Defesa e Segurança (Deseg) da Fiesp, destacou que os problemas relacionados à cibersegurança podem travar as agendas de eficiência operacional e competitividade. “Sem cibersegurança, a inovação para”, resumiu.
Em termos de estrutura técnica, a proteção digital da indústria ainda é baseada em medidas tradicionais. As ferramentas mais utilizadas são anti-spam e filtros de e-mails (85%), firewalls tradicionais (72,3% entre PMEs e 91,7% nas grandes) e antivírus/antimalware atualizados (84%). Já soluções mais avançadas, como VPNs (26,3% nas PMEs e 91,7% nas grandes) e EDR, sistemas de detecção e resposta a incidentes (apenas 2,2% nas PMEs contra 41,7% nas grandes), ainda têm baixa adesão entre empresas menores.
A pesquisa identifica a falha humana como a principal causa dos ataques, citada em 45,5% das entrevistas. Em seguida aparecem vulnerabilidades em serviços em nuvem ou softwares de terceiros (14,7%), ações dolosas internas (12%), erros sistêmicos (11,6%) e credenciais comprometidas (7,2%).
Para Vainzof, mesmo sem orçamento robusto, é possível reduzir riscos com ações simples: “Se as pequenas empresas tiverem software lícito e atualizado, já mitigam os riscos básicos”, constatou
Cristine Hoepers, gerente-geral do CERT.br, contou que na preparação de um material sobre ransomware para PMEs, se verificou que não se praticavam os cuidados básicos “Aplicamos a ‘regra de Pareto’ (80% dos ataques exploram 20% das vulnerabilidades) para que as empresas comecem pelo que é mais simples e efetivo”.
As fraquezas das empresas menores nas cadeias de valor representam uma lacuna de governança para todo o setor. Segundo a pesquisa, 52,7% das empresas não avaliam a segurança de fornecedores ou parceiros. “Constatamos pouca gestão de terceiros”, afirmou Vainzof.
A vulnerabilidade das PMEs é uma preocupação global. André Luiz Bandeira Molina, secretário de Segurança da Informação e Cibernética do GSI/PR, lembrou que a “desigualdade cibernética” está entre os maiores riscos apontados pelo Fórum Econômico Mundial. “As PMEs são os elos fracos. Houve a criação de uma linha de crédito do BID para investimentos em segurança que tem funcionado bem na Europa”, disse.
Riscos da Inteligência Artificial
O estudo incluiu pela primeira vez uma análise sobre riscos de Inteligência Artificial. O uso indevido de dados pessoais foi o mais citado (41,8%), seguido por ameaças à segurança cibernética (38,4%) e violação de propriedade intelectual (35,4%). Rafael Cervoni, vice-presidente da Fiesp, mencionou que quase todas as empresas que sofreram ataques via IA não tinham políticas específicas. “A má notícia é que a maior parte dos problemas não será resolvida com IA”, advertiu Cristine Hoepers.
Durante o evento, foi lançada a Cartilha de governança para o uso de IA generativa. O guia aborda os conceitos-chave, riscos, medidas de mitigação e destaca ameaças como alucinações, vieses, violações de direitos autorais, falhas de segurança e desinformação, com orientações de avaliação e prevenção. Também trata de recomendações para avaliação e contratação de fornecedores, incluindo cláusulas contratuais essenciais, e orienta a criação de políticas internas que definam objetivos, usos permitidos, responsabilidades, treinamentos e gestão de incidentes. O material inclui ainda um checklist de ações para implementação com segurança e conformidade, o que reforça a necessidade de transparência, supervisão e proteção de dados.
