Indústria desportiva é cada vez mais alvo de ciberataques

De acordo com o estudo “O Adversário Oculto: Ameaças Cibernéticas no Desporto”, da NCC Group, em parceria com a Phoenix Sport & Media Group (PSMG) e a Universidade de Oxford, a indústria global desportiva está a tornar-se um alvo cada vez mais atrativo para os cibercriminosos, muito devido à sua rápida transformação digital e às suas enormes receitas, que se prevê que superem os 700 mil milhões de dólares em 2026.

Os investigadores consideram que, desde as tecnologias de monitorização da saúde dos atletas à integração de tecnologia inteligente nos estádios, a rápida transformação digital no setor de desporto está a levar a um aumento significativo da sua vulnerabilidade a ciberataques. 

Neste sentido, e tendo em conta que muitas organizações não têm os conhecimentos e recursos necessários para contra-atacar estas ameaças, refere o estudo, a indústria desportiva necessita de adotar medidas de cibersegurança para assegurar a sua longevidade numa era cada vez mais digital.

“Vimos a indústria desportiva tornar-se um alvo cada vez mais atrativo para ataques de cibersegurança nos últimos anos. A partir das conversas com profissionais da indústria como parte desta pesquisa, está claro que há um desfasamento entre a perceção e a realidade do risco atual da indústria”, afirma Matt Lewis, Global Head of Research da NCC Group. “Esperamos que o relatório forneça tanto clareza sobre as vulnerabilidades enfrentadas pela indústria, quanto soluções práticas que podem ser implementadas para melhorar a forma como a indústria previne e se prepara para potenciais ciberataques. Implementar as estratégias e recursos delineados no relatório pode ajudar a preservar a reputação da marca, confidencialidade da informação e integridade dos jogadores e organizações da indústria”.

Quando comparado a outros setores, particularmente aos que são altamente regulados, a indústria desportiva encontra-se numa fase inicial de maturidade cibernética, estando numa luta para acompanhar o ritmo dos avanços tecnológicos, o atual panorama de ciberameaças e a natureza dinâmica do próprio setor de desporto, de acordo com a investigação.

Os profissionais da indústria entrevistados no âmbito do estudo identificaram as suas principais preocupações associadas à cibersegurança. Em geral, constatam-se baixos níveis de maturidade em cibersegurança e abordagens desatualizadas entre equipas e clubes, segundo a NCC Group. Além disto, os investigadores revelam a existência de uma forte preocupação com a falta de funções de TI e cibersegurança na indústria, que se dediquem à proteção contra ciberataques, sendo o cargo de Chief Information Security Officers (CISO) pouco comum no setor.

O relatório recente verificou também a escassez de recursos financeiros. Os indivíduos entrevistados afirmam que é desafiador convencer os conselhos de administração a investir na área de cibersegurança, mesmo nos casos em que tivessem sido identificados riscos específicos. Os investigadores acreditam que isto representa um contraste profundo entre o elevado desempenho destas estruturas e a sua baixa maturidade em cibersegurança.

Segundo a investigação da NCC Group, estes profissionais do setor desportivo mostraram-se apreensivos no que diz respeito às potenciais ciberameaças contra as suas organizações, bem como aos consequentes dados financeiros e reputação. Algumas das principais preocupações indicadas pelos entrevistados foram: ransomware; furto de dados; ataques contra estádios e locais conectados, assim como o seu impacto na segurança dos jogadores e espectadores; ameaças internas devido a procedimentos de verificação limitados; e espionagem rival.

Fora das preocupações organizacionais, alguns entrevistados receiam que a grande presença online de desportistas de alto nível pode aumentar o risco de exposição a diversas ameaças, como o sequestro de contas de redes sociais, cyberbullying e comprometimento geral de contas de email ou portáteis, visando obter dados confidenciais, pessoais, de saúde e financeiros.

Neste sentido, de acordo com alguns destes profissionais, as organizações de desporto poderão ter um dever cibernético de cuidar dos seus desportistas, considerando que a formação e a orientação são essenciais para os ajudar na melhoria da sua segurança e proteção online.

O relatório revela que “são frequentes as administrações que pensam que um software antivírus básico e algumas firewalls são suficientes para a defesa das suas organizações, realçando uma compreensão desatualizada das necessidades modernas de segurança”.

“O poder financeiro do setor desportivo torna-o um alvo principal para criminosos cibernéticos. Estamos orgulhosos por termos trabalhado em conjunto com a NCC Group e a Oxford Researchers Strategy Consultancy (Universidade de Oxford) para produzir este estudo único e valioso”, acrescenta Carly Barnes, CEO do Phoenix Sport & Media Group. “A força da experiência global em cibersegurança da NCC Group, a excelência em pesquisa da Oxford Researchers Strategy Consultancy e o profundo conhecimento e experiência global no desporto da Phoenix Sport & Media Group estão combinados para fomentar a troca de conhecimento no mais alto nível e, juntos, ajudar a construir a resiliência cibernética no setor”.

Desta forma, a NCC Group indica dez recomendações para assegurar a cibersegurança nas organizações da indústria desportiva:

1. Limitações de recursos e consciencialização da administração: é necessário transmitir a importância da cibersegurança ao conselho de administração e assegurar uma alocação adequada de orçamento para combater os riscos;
2. Sobredependência no seguro cibernético: os clubes não devem negligenciar a implementação de medidas de cibersegurança, uma vez que, apesar de o seguro ser importante, a exclusiva dependência deste não irá impedir ataques e proteger a reputação;
3. Benchmarking da indústria: as organizações desportivas têm em falta um benchmark padrão para práticas de cibersegurança, o que dificulta a avaliação da sua própria maturidade de segurança;
4. Evolução das tecnologias e do contexto de ameaças: a rapidez dos avanços tecnológicos pode ser um desafio para a infraestrutura de segurança e, por isso, são necessárias avaliação e adaptação contínuas;
5. Avaliação de parceiros e fornecedores: tendo em conta que muitos clubes estão dependentes de terceiros, a mitigação de potenciais vulnerabilidades pode passar pelo estabelecimento de critérios claros para garantir a segurança;
6. Preocupações com ransomware: devido ao significativo receio de ransomware, sobretudo de ataques de phishing, no setor, pode ser essencial implementar práticas seguras em ambientes de BYOD (Bring Your Own Device) ou outras defesas robustas;
7. Governança e normas de segurança cibernética: Implementar estruturas reconhecidas de governança de cibersegurança, como um Sistema de Gestão de Segurança da Informação, é fundamental. O cumprimento de normas internacionais, como a ISO-27001, pode guiar esses esforços.
8. Formação: os colaboradores de desporto necessitam de uma formação intensiva e frequente sobre cibersegurança, incluindo simulações de ataques para os preparar para cenários reais e para aumentar a consciencialização, nomeadamente na gestão de topo;
9. Capacidade de resposta a incidentes: as organizações devem estar preparadas com procedimentos e rápido acesso a suporte qualificado de entidades externas no caso de violações de segurança, sendo crucial ter um plano de resposta a incidentes e realizar testes com frequência;
10. Integração da segurança física e cibernética: é importante assegurar a integração da segurança física e cibernética em locais desportivos e proteger todos os sistemas conectados, incluindo os de terceiros.