71% dos funcionários admitem ações perigosas que colocam em risco a cibersegurança das empresas

O relatório anual 'State of the Phish 2024: Europa e Médio Oriente', da Proofpoint, representada pela Exclusive Networks em Portugal, revela que 71% dos funcionários inquiridos admitiram comportamentos e ações perigosas, como a partilha de palavras-passe, clicar em ligações desconhecidas ou o fornecimento de credenciais de fontes não seguras.

Os dados, obtidos com base num inquérito realizado a 7500 utilizadores e 1050 profissionais de segurança em 15 países, demonstram que 96% destes funcionários fizeram-no com consciência do risco.

O panorama de ameaças na Europa e no Médio Oriente

Em 2023, as burlas de Business Email Compromise (BEC) diminuíram a nível mundial. No entanto, registaram um aumento dos ataques em países de língua não inglesa. A justificar esta realidade poderá estar o aumento de ferramentas de IA generativas, como o ChatGPT, utilizadas para compor mensagens de email convincentes.

“O estudo revela que a maioria dos utilizadores na Europa e no Médio Oriente não sabe se a segurança é da sua responsabilidade ou de outra pessoa. E esta falta de clareza pode ter consequências desastrosas. Os nossos dados mostram correlações impressionantes entre atitudes e resultados em toda a região”, sublinha Elizabeth Alves, Diretora Comercial da Exclusive Networks Portugal. O estudo, alerta a Diretora, revela ainda que “quando os utilizadores têm de escolher diariamente entre segurança e conveniência, na maioria das vezes, escolhem a comodidade”.

No global, 75% das organizações inquiridas foram vítimas de, pelo menos, um ataque de phishing (em 2022 o valor era de 88%). Mais de um milhão destes ataques são lançados por mês através da infraestrutura EvilProxy com MFA, com a Microsoft a liderar a lista de marcas mais atacadas, com 68 milhões de mensagens maliciosas associadas à marca ou aos seus produtos. Em média, a Proofpoint detetou 66 milhões de ataques BEC por mês.

Conclusões principais

Entre todos os inquiridos, os utilizadores dos Emirados Árabes Unidos foram os mais propensos a correr riscos: 86% admitiram mesmo ter tomado alguma decisão perigosa. As empresas inquiridas na confederação árabe também registaram o maior número de ataques de phishing direcionados. 

Na Europa, as organizações suecas foram as que sofreram as taxas mais elevadas de tentativas de infeção por ransomware entre os inquiridos, com 92% de empresas atacadas. 82% dos funcionários chegam mesmo a ter comportamentos de risco. No caso das empresas italianas, estas registaram o maior aumento no número de infeções por ransomware bem-sucedidas, ainda que tenham enfrentado o mesmo volume de ataques que as empresas de outros países: em 2023 a percentagem foi de 71% (era de 44% em 2022).

A reutilização de palavras-passe, o download de anexos proveniente de fontes não seguras, o upload de informação para a espaços não aprovados, a partilha e a reutilização de palavras-passe e o acesso a websites inapropriados são os comportamentos de maior risco citados pelas equipas de TI. 85% dos profissionais de segurança afirmaram que a maioria dos empregados tem consciência de que a segurança é da sua responsabilidade. Porém, pouco mais de metade (59%) dos utilizadores não sabiam ou afirmaram que não tinham qualquer responsabilidade com a mesma. 58% dos utilizadores que tomaram medidas perigosas adotaram um comportamento que os tornaria mais vulneráveis a táticas comuns de engenharia social.

Quando confrontados com o que os leva a realizar ações perigosas, a resposta poupar tempo foi a mais frequente entre os utilizadores inquiridos; no Reino Unido a conveniência ficou em primeiro lugar.

Os ataques bem-sucedidos levaram a um aumento das consequências negativas nas empresas da Europa e Médio Oriente. As sanções financeiras aumentaram 122%, uma percentagem ligeiramente inferior à média global.

Fraca aposta na formação

O relatório revela que, embora a maioria das organizações tenha sofrido ataques por telefone ou TOAD, menos de um terço deu formação sobre esta tática. Na Alemanha, 78% das organizações sofreram ataques TOAD, mas apenas 21% os utilizaram como tópico de formação em segurança. 

Por outro lado, o tempo dedicado à formação em segurança é agora superior: Espanha registou o maior aumento (120%) no número de empresas que gastam três horas ou mais por ano em formação em segurança. A formação em melhores práticas e palavras-passe passou de 34% em 2022, para 30% o ano passado, a formação sobre engenharia social reduziu de 23% para 20% e a formação sobre as melhores práticas de segurança na internet caiu de 34% em 2022 para 27% em 2023.

Caminho a seguir

Do ponto de vista da Exclusive Networks e da Proofpoint, a combinação entre um conjunto de soluções de segurança completo e equipas bem informadas e formadas é essencial para garantir um maior nível de segurança. As organizações deverão investir em ferramentas que permitam aos funcionários ser mais proactivos, nomeadamente em formação em segurança informática, capacidades de prevenção, deteção e resposta de primeiro nível. 

As organizações destacam ainda a importância de um envolvimento global: aumentar o número de comunicações da administração e dos gestores de segurança para informar melhor os utilizadores das suas responsabilidades e do seu impacto na empresa é uma sugestão.