O impacto económico de um ciberataque de larga escala é semelhante ao de um desastre natural de grandes proporções, de acordo com estimativas divulgadas esta semana pela seguradora britânica Lloyd’s.[1]
Num relatório intitulado “Counting the cost: Cyber exposure decoded”[2], aquela instituição estima que o impacto económico de um ciberataque extremo seria semelhante ao provocado pelo super-furacão Sandy, que assolou os EUA em 2012 e deixou atrás de si um rasto de devastação e elevados custos materiais e humanos.
O estudo parte de dois cenários possíveis – e, infelizmente, credíveis e prováveis: um ataque dirigido aos sistemas operativos dos computadores de diversas grandes empresas em todo o mundo; e um ataque informático malicioso capaz de incapacitar uma empresa de prestação de serviços na nuvem (a qual, por sua vez, pode alojar sistemas e dados de milhares de empresas de todos os tipos).
Enquanto que, para o primeiro cenário, a seguradora estima perdas potenciais da ordem dos 30 mil milhões de dólares (28,7 mil milhões, para sermos mais precisos), os valores sobem para 53 mil milhões no segundo caso. Em termos de comparação, estima-se que o super-furacão Sandy, a segunda tempestade tropical que mais prejuízos causou, tenha provocado perdas económicas entre os 50 a 70 mil milhões de dólares.
Contudo, e segundo os autores do estudo, no caso de um ataque bem-sucedido a um provedor de serviços na nuvem, esta é uma estimativa média, “e pode oscilar entre os 15 mil milhões e os 121 mil milhões de dólares”.
Nuno Mendes, CEO da Whitehat, empresa de soluções de cibersegurança e representante em Portugal da ESET, comentou os dados deste relatório dizendo que “provam, uma vez mais, os elevados custos potenciais em que as empresas incorrem quando não procuram soluções de segurança integradas e multi-camada para os seus sistemas de informação”.
Para este especialista, “todas as empresas a nível mundial, independentemente da sua dimensão, são alvo de tentativas diárias de intrusão. A par do ransomware que acaba por ser uma ameaça de elevada visibilidade, podem existir outras que já estejam silenciosamente dentro das organizações, sem que os responsáveis se apercebam. Isto pode causar elevados danos a nível financeiro e de reputação, caso ocorra alguma fuga de dados.”
Ainda recentemente, e no campo das ameaças perigosas, os especialistas em segurança da ESET identificaram o Industroyer como uma ameaça de segurança elevada, especialmente ao nível dos sistemas de controlo industrial.[3]