ataques cibernéticos na indústria paulista Imagem gerada por Inteligência Artificial

Continuidade da operação é foco de ataques cibernéticos na indústria

3 minutos de leitura

Pesquisa da Fiesp mostra que respostas não acompanham os riscos, com um cenário mais preocupante entre pequenas e médias empresas.



Por Vanderlei Campos em 14/08/2025

Pouco mais de um terço (34,7%) das indústrias em São Paulo sofreu ataques cibernéticos em 2024. Em quase metade (42,2%) dos casos, os invasores tiveram êxito, e em 67,4% houve tentativa de extorsão, com um terço das vítimas tendo cedido à chantagem. Os dados são da 3ª edição da Pesquisa de Maturidade da Indústria em Cibersegurança, divulgada no VII Congresso de Segurança Cibernética, Proteção de Dados e Governança de Inteligência Artificial, promovido pela Fiesp.

O levantamento com 294 indústrias paulistas mostra que os criminosos priorizaram interromper o negócio com o objetivo de explorar pânico e imediatismo. Entre os ataques bem-sucedidos, 4,7% envolveram violação de propriedade industrial ou extração de segredos de negócio. O vazamento de dados pessoais ocorreu em 9,3% dos incidentes. Ambos os casos exigem respostas mais estratégicas, inclusive com obrigatoriedade de notificação pública. Contudo, a ação dos criminosos em 65,1% dos ataques resultou em impactos como paralisação de operações. “Proteger os dados pessoais e confidenciais é vital. Mas não são apenas esses riscos (cujos incidentes têm maior visibilidade) que são explorados”, alertou Rony Vainzof, diretor do Departamento de Defesa e Segurança da Fiesp.

Rony Vainzof (Foto: Ayrton Vignola/ Fiesp)

Mesmo empresas que tenham adotado corretamente as medidas de backup e criptografia dos dados podem ter prejuízos com o tempo de recuperação. Ainda assim, a negociação é sempre o pior negócio. “Pagar extorsão significa ingressar na lista de bons pagadores”, resumiu Vainzof.

Desigualdade e riscos sistêmicos

Mais do que as diferenças de capacidade de investimento, a desproporção do tratamento ao tema de cibersegurança aparece como foco de preocupação. “Os números indicam discrepâncias de maturidade. A prioridade escala conforme o porte da empresa”, observou Vainzof.

Os dados confirmam que empresas maiores tratam a cibersegurança de forma mais estratégica. Enquanto apenas 22,6% das pequenas e médias empresas (PMEs) consideram o tema prioridade, o índice sobe para 75% nas organizações com faturamento entre R$ 300 milhões e R$ 1 bilhão, e para 80% entre as que superam esse valor. Em relação à edição anterior, houve aumento de 2,7 pontos percentuais na percepção da cibersegurança como prioridade estratégica, mas a maioria (77,1%) ainda destina menos de 1% da receita à área. 

Marta Helena Schuh (Foto: Ayrton Vignola/ Fiesp)

Marta Helena Schuh, diretora do Departamento de Defesa e Segurança (Deseg) da Fiesp, destacou que os problemas relacionados à cibersegurança podem travar as agendas de eficiência operacional e competitividade. “Sem cibersegurança, a inovação para”, resumiu.

Em termos de estrutura técnica, a proteção digital da indústria ainda é baseada em medidas tradicionais. As ferramentas mais utilizadas são anti-spam e filtros de e-mails (85%), firewalls tradicionais (72,3% entre PMEs e 91,7% nas grandes) e antivírus/antimalware atualizados (84%). Já soluções mais avançadas, como VPNs (26,3% nas PMEs e 91,7% nas grandes) e EDR, sistemas de detecção e resposta a incidentes (apenas 2,2% nas PMEs contra 41,7% nas grandes), ainda têm baixa adesão entre empresas menores.

A pesquisa identifica a falha humana como a principal causa dos ataques, citada em 45,5% das entrevistas. Em seguida aparecem vulnerabilidades em serviços em nuvem ou softwares de terceiros (14,7%), ações dolosas internas (12%), erros sistêmicos (11,6%) e credenciais comprometidas (7,2%).

Para Vainzof, mesmo sem orçamento robusto, é possível reduzir riscos com ações simples: “Se as pequenas empresas tiverem software lícito e atualizado, já mitigam os riscos básicos”, constatou

Cristine Hoepers (Foto: Ayrton Vignola/ Fiesp)

Cristine Hoepers, gerente-geral do CERT.br, contou que na preparação de um material sobre ransomware para PMEs, se verificou que não se praticavam os cuidados básicos “Aplicamos a ‘regra de Pareto’ (80% dos ataques exploram 20% das vulnerabilidades) para que as empresas comecem pelo que é mais simples e efetivo”.

As fraquezas das empresas menores nas cadeias de valor representam uma lacuna de governança para todo o setor. Segundo a pesquisa, 52,7% das empresas não avaliam a segurança de fornecedores ou parceiros. “Constatamos pouca gestão de terceiros”, afirmou Vainzof.

André Luiz Bandeira Molina (Foto: Ayrton Vignola/ Fiesp)

A vulnerabilidade das PMEs é uma preocupação global. André Luiz Bandeira Molina, secretário de Segurança da Informação e Cibernética do GSI/PR, lembrou que a “desigualdade cibernética” está entre os maiores riscos apontados pelo Fórum Econômico Mundial. “As PMEs são os elos fracos. Houve a criação de uma linha de crédito do BID para investimentos em segurança que tem funcionado bem na Europa”, disse. 

Riscos da Inteligência Artificial

O estudo incluiu pela primeira vez uma análise sobre riscos de Inteligência Artificial. O uso indevido de dados pessoais foi o mais citado (41,8%), seguido por ameaças à segurança cibernética (38,4%) e violação de propriedade intelectual (35,4%). Rafael Cervoni, vice-presidente da Fiesp, mencionou que quase todas as empresas que sofreram ataques via IA não tinham políticas específicas. “A má notícia é que a maior parte dos problemas não será resolvida com IA”, advertiu Cristine Hoepers.

Durante o evento, foi lançada a Cartilha de governança para o uso de IA generativa. O guia aborda os conceitos-chave, riscos, medidas de mitigação e destaca ameaças como alucinações, vieses, violações de direitos autorais, falhas de segurança e desinformação, com orientações de avaliação e prevenção. Também trata de recomendações para avaliação e contratação de fornecedores, incluindo cláusulas contratuais essenciais, e orienta a criação de políticas internas que definam objetivos, usos permitidos, responsabilidades, treinamentos e gestão de incidentes. O material inclui ainda um checklist de ações para implementação com segurança e conformidade, o que reforça a necessidade de transparência, supervisão e proteção de dados.



Matérias relacionadas

self-checkout Estratégia

Self-checkout deve envolver cada vez mais IA para reduzir perdas

Preferência por autoatendimento no varejo faz com que empresas invistam cada vez mais em tecnologias capazes de identificar e eliminar furtos na jornada de compra

julgamento ético Estratégia

OCDE não recomenda uso de IA em julgamento ético e raciocínio crítico

Relatório aponta que ferramentas não atingem nível de desempenho humano nessas duas capacidades

aulas IA generativa Estratégia

IA Generativa transforma experiência de docentes e alunos em sala de aula

Novo assistente para professores, utilizado pela Somos Educação, otimiza a rotina e impulsiona o ensino básico no Brasil

arquitetura de cibersegurança IA Estratégia

Empresas adaptam arquitetura de cibersegurança pós-IA

Relatório da Netwrix também apresenta as perdas financeiras e de valor de marca decorrentes de ataques cibernéticos

    Embratel agora é Claro empresas Saiba mais