7% das empresas industriais só lidam com falhas quando necessário

Um inquérito recente conduzido pela VDC Research em parceria com a Kaspersky, intitulado “Securing OT with Purpose-built Solutions”, revela uma realidade preocupante no setor industrial: 7% das empresas apenas lidam com vulnerabilidades quando estas se tornam inevitáveis. Esta abordagem reativa deixa as organizações vulneráveis a períodos de inatividade não planeada, perdas de produção, danos financeiros significativos e prejuízos reputacionais causados por falhas de cibersegurança.

O estudo traça um retrato do cenário em evolução da cibersegurança no setor industrial, com foco em áreas críticas como energia, serviços públicos, indústria transformadora e transportes. Mais de 250 decisores foram inquiridos, fornecendo uma visão abrangente das tendências e desafios enfrentados pelas organizações na proteção dos seus ambientes industriais contra ameaças cibernéticas.

Segundo o relatório, uma estratégia eficaz de cibersegurança começa com uma visibilidade total dos ativos da organização, permitindo que os responsáveis identifiquem os recursos que necessitam de proteção e avaliem as zonas de maior risco.

No entanto, os resultados de outro inquérito revelam uma tendência alarmante: muitas empresas não realizam, de forma regular, testes de penetração nem avaliações de vulnerabilidades. Apenas 27,1% dos inquiridos indicaram realizar estas avaliações críticas mensalmente. A maioria (48,4%) fá-lo esporadicamente, de poucos em poucos meses, enquanto 16,7% admitem fazê-lo apenas uma ou duas vezes por ano. 7,4% só abordam estas questões quando estritamente necessário.

Adicionalmente, a gestão de riscos continua a ser um grande obstáculo. Muitas organizações lutam para encontrar o tempo e os recursos necessários para interromper operações e implementar atualizações cruciais. Estudos apontam que apenas 31,4% das empresas aplicam correções de segurança mensalmente. Outros 46,9% optam por fazê-lo em intervalos mais espaçados e 12,4% limitam-se a atualizar uma ou duas vezes por ano.

A complexidade da manutenção da cibersegurança agrava-se em ambientes OT, onde a visibilidade limitada dos dispositivos, a escassez de patches fornecidos pelos fabricantes, a necessidade de conhecimentos técnicos especializados e os requisitos de conformidade regulatória dificultam a gestão eficaz dos riscos.

Com a crescente convergência entre os sistemas de IT e OT, impõe-se a necessidade urgente de harmonizar estas infraestruturas tradicionalmente distintas. Muitos destes sistemas baseiam-se ainda em tecnologias proprietárias, em vez de normas abertas, o que torna mais difícil a integração e a proteção.

A situação é ainda mais crítica com a proliferação acelerada de dispositivos IoT, desde câmaras e sensores inteligentes para rastreamento de ativos e monitorização da saúde, até sistemas avançados de controlo climático. Esta expansão massiva de dispositivos conectados amplia drasticamente a superfície de ataque, tornando imperativo o reforço das medidas de cibersegurança no setor industrial.