Ciberataques contra pequenas empresas: estatísticas atuais e como preveni-los

Enquanto os proprietários de pequenas empresas lidam com problemas como inflação e incerteza econômica, é fácil perder de vista outro problema importante que pode arruinar seus negócios: os ciberataques.

De acordo com o 2023 Internet Crime Report (Relatório de Crimes na Internet de 2023), os dados mais recentes publicados pelo Internet Crime Complaint Center (IC3) do FBI revelam que, somente nos EUA, o número total de queixas de ciberataques chegou a 880.418 — um aumento de 10% em comparação com o ano anterior.

Infelizmente, a frequência dos ciberataques não é a única preocupação. Os dados também mostram que os prejuízos estimados decorrentes dos ataques relatados ultrapassam US$ 12,5 bilhões — um aumento de mais de 22% em relação ao ano anterior.

Embora os proprietários e executivos de empresas possam priorizar as operações diárias e os planos de crescimento de longo prazo, também é fundamental que reservem um espaço na agenda para se dedicar à cibersegurança, visto que tanto a probabilidade quanto a gravidade dos ataques aumentaram nos últimos anos para as PMEs.

Por que as pequenas empresas estão em risco?

Para muitos proprietários de pequenas empresas, o maior fator de risco pode ser não perceber o risco que enfrentam!

Nos últimos anos, a conscientização e a preocupação com os ciberataques têm aumentado. Dados recentes do Small Business Index (Índice de Pequenas Empresas) do primeiro trimestre de 2024, elaborado pela MetLife e pela Câmara de Comércio dos EUA, indicam que 60% das pequenas empresas consideram as ciberameaças uma das principais preocupações de seus negócios. Dito isso, muitas pequenas empresas ainda não consideram as ciberameaças uma preocupação primordial, seja porque desconhecem as ameaças ou porque acreditam que podem resolver um ataque por conta própria. 

É exatamente essa falsa sensação de segurança e confiança que os cibercriminosos aprenderam a explorar. Empresas que não percebem um risco não tomam as medidas necessárias para se proteger — e é por isso que as PMEs correm um risco particularmente elevado de sofrer um ciberataque.

Será que os cibercriminosos não têm alvos melhores para atacar?

Durante anos, muitas PMEs tiveram a falsa sensação de segurança devido ao fato de seus negócios não receberem tanto destaque. Afinal, por que um hacker atacaria um pequeno consultório médico local quando poderia se infiltrar com a mesma facilidade na rede de um grande hospital?

A resposta hoje é que, na verdade, tornou-se muito, muito mais difícil atacar com sucesso alvos grandes e importantes. Como as grandes empresas e organizações corporativas têm investido cada vez mais em ferramentas e sistemas de segurança nos últimos anos, fortalecendo suas defesas contra ataques, os hackers voltaram sua atenção para outros alvos — principalmente para o mercado de PMEs.

Muitas pequenas empresas ainda podem cair na armadilha de pensar que sua organização não é grande o suficiente ou não tem visibilidade suficiente para ser alvo de invasores. Mas a verdade é que elas se tornaram alvos fáceis, já que muitas não possuem ferramentas avançadas para proteger seus negócios, mas têm o que os hackers procuram: dados.

As PMEs precisam entender que os hackers não costumam ter motivações pessoais para os ciberataques. Eles geralmente não fazem distinção entre roubar de pequenas ou grandes empresas. No fim das contas, eles estão em busca de dados — como dados de pagamento, dados pessoais, informações de saúde ou qualquer coisa que possa ser vendida na dark web ou usada para realizar um ataque mais sofisticado.

Como muitas pequenas organizações não percebem seus riscos, podem não ter adotado medidas essenciais para proteger seus ativos e operações, como criptografar todas as transações ou fazer backup de arquivos em um banco de dados seguro. Isso facilita para os cibercriminosos executar seus planos de ataque e, uma vez que o ataque está em andamento, maximiza a interrupção das atividades da empresa.

Além disso, como muitos ataques a pequenas empresas não recebem atenção nacional ou global — ou, em alguns casos, podem não exigir comunicação imediata aos órgãos competentes ou clientes relevantes — muitos ataques passam despercebidos, permitindo que os hackers usem as mesmas táticas repetidamente contra diferentes empresas, sem serem detectados.

Quais pequenas empresas correm maior risco?

Em resumo, qualquer empresa pode ser alvo de um ciberataque. Qualquer organização que possua dados — sejam dados de clientes, propriedade intelectual (PI), dados de funcionários ou outras informações sensíveis — é um alvo potencialmente atrativo para um hacker.

Organizações de menor porte e em rápido crescimento estão particularmente vulneráveis, uma vez que pode ser difícil manter ou aprimorar a segurança durante períodos de crescimento acelerado. Além disso, à medida que a organização ganha mais funcionários e clientes e expande sua rede e presença digital para operar seus negócios, o perfil de risco da empresa também aumenta.

No final das contas, a organização que corre maior risco é qualquer organização — de qualquer porte e em qualquer setor — que não adote as medidas necessárias para se proteger. Felizmente, as PMEs têm a oportunidade de melhorar suas defesas. No mercado atual, muitos conceituados e experientes provedores de cibersegurança adaptaram seus pacotes de produtos e modelos de preços para atender às necessidades e aos orçamentos das PMEs.

A implementação de um conjunto de ferramentas abrangente e sofisticado, que inclua soluções avançadas, como antivírus de próxima geração (NGAV) e detecção e resposta de endpoint (EDR), pode contribuir significativamente para a proteção da empresa, de seus ativos e de clientes. Além disso, o acesso a serviços de remediação e recuperação pode reduzir significativamente a duração de um ataque e a extensão dos danos causados, para que as PMEs possam voltar a fazer o que fazem de melhor: atender os clientes.

Quais são os ataques mais comuns?

Embora os cibercriminosos utilizem uma variedade de técnicas e métodos de ataque, os ataques mais comuns incluem:

Malware

Malware — ou software malicioso — é qualquer programa ou código que seja criado com a intenção de causar danos a um computador, servidor ou rede. Em ataques de malware, os hackers podem empregar técnicas de phishing para induzir os usuários, incluindo funcionários e clientes, a fornecer informações confidenciais, como credenciais de contas, que podem ser usadas para avançar um ataque em andamento ou iniciar um novo ataque.

Ransomware

Ransomware é um tipo de malware que impede que usuários legítimos acessem seus sistemas, exigindo o pagamento de um resgate para restaurar o acesso. Uma vez que um sistema é infectado, o hacker bloqueia o acesso do usuário ao dispositivo ou sistema, ou criptografa os arquivos, o que praticamente os inutiliza para o proprietário.

Phishing

Phishing é um tipo de ciberataque que usa e-mail, SMS, telefone ou redes sociais para induzir a vítima a compartilhar informações pessoais — como senhas ou números de conta — ou a baixar um arquivo malicioso que vai instalar malware no seu computador ou telefone.

Ataques man-in-the-middle (MITM)

Um ataque man-in-the-middle (MITM) é um tipo de ciber ataque no qual um ator malicioso escuta uma conversa entre um usuário da rede e uma aplicação da Web. O objetivo desses ataques é coletar secretamente informações, como dados pessoais, senhas ou dados bancários, e/ou se passar por uma parte para solicitar mais informações ou estimular uma ação.

Ataques de negação de serviços (DoS)

Um ataque de negação de serviços (DoS) é um ataque malicioso e direcionado que inunda uma rede com solicitações falsas, a fim de interromper as operações comerciais. Em um ataque de DoS, os usuários não conseguem executar tarefas rotineiras e necessárias, como acessar e-mails, websites, contas on-line ou outros recursos que são operados por um computador ou rede comprometidos.

O custo de um ciberataque

Caso o ritmo atual de crescimento dos ciberataques continue, os danos decorrentes desses eventos atingirão um valor estimado de US$ 13,82 trilhões até 2028.

Para as vítimas de um ciberataque, os prejuízos e danos podem assumir muitas formas. Custos diretos, como a necessidade de pagar um resgate ou contratar uma empresa de cibersegurança para remediar o ataque, podem ser relativamente simples de calcular, enquanto outros custos, como danos à reputação, são muito mais difíceis de mensurar.

Independentemente disso, quando as PMEs avaliam suas opções de cobertura de cibersegurança, é importante que considerem não apenas os custos de serviços e ferramentas, mas também o custo potencial de não fazer nada. Em muitos casos, ser alvo de uma violação de segurança ou outro tipo de ataque pode facilmente ultrapassar o custo de contratar os serviços de um provedor de cibersegurança com boa reputação.

Estimativas do custo de um ciberataque

Embora o custo exato de um ciberataque varie de acordo com o tipo e a duração do ataque, muitos ataques resultam em custos diretos e indiretos para a empresa. A seguir, descrevemos algumas das despesas mais comuns associadas a um ataque:

Resgates: com o aumento da frequência de ataques de ransomware, um dos custos mais significativos associados às violações de segurança é a necessidade de pagar um resgate para restaurar o acesso ao sistema. As exigências chegam a milhões de dólares, até mesmo para pequenas e médias empresas. De fato, o Relatório Global de Ameaças da CrowdStrike de 2024 mostra que, embora a exigência de resgate tenha sido menor em 2023 em comparação a 2022, seu valor permanece consistentemente alto. É difícil mensurar esses valores com precisão, pois os atores de ameaças e as vítimas vêm implementando medidas de privacidade mais rigorosas em relação às exigências e aos pagamentos de resgate. Isso significa que o custo médio de um ataque de ransomware pode ser imprevisível, mas ainda representa uma ameaça muito real para todas as empresas, incluindo as PMEs.

Restauração do sistema: além de pagar um resgate para restaurar um sistema afetado, a maioria das empresas precisará substituir completamente uma rede ou conjunto de ferramentas corrompido. Isso é extremamente caro, pois envolve custos potencialmente elevados de tecnologia, além do tempo da equipe de TI. Em muitos casos, também é necessário contratar um fornecedor externo para reconstruir ou integrar novos sistemas ou ferramentas.

Investigações forenses: a organização que é vítima de um ataque de segurança deve agir rapidamente para identificar e categorizar o ataque, avaliar os danos e limpar e restaurar todas as áreas afetadas. Na maioria dos casos, esses serviços exigem habilidades altamente especializadas que não são baratas para as empresas, independentemente do porte delas.

Assessoria jurídica: no caso de um ataque, as organizações geralmente precisam contratar advogados para garantir o cumprimento dos requisitos legais, que podem variar de acordo com o país, a região ou até mesmo o estado. É essencial que as PMEs trabalhem com um parceiro de confiança para definir quais medidas são obrigadas a adotar, por lei, após um ataque ou um ciberataque — caso contrário, posteriormente elas correm o risco de sofrer penalidades e multas por descumprimento.

Notificações: em caso de um ciberataque, as organizações também assumem a responsabilidade de identificar e notificar as vítimas para informá-las de que suas informações pessoais estão em risco. Isso pode incluir roubo ou exposição de informações pessoais, como números de CPF de clientes ou funcionários, endereços, dados bancários, números de cartão de crédito, números de carteira de motorista, registros de saúde e muito mais. A organização também será responsável por notificar as autoridades e agências governamentais relevantes sobre tal ataque e fornecer qualquer documentação necessária ou solicitada posteriormente.

Monitoramento de crédito da vítima: em alguns estados, a organização também pode ser responsável por cobrir o custo do monitoramento de crédito dos clientes afetados ou ajudá-los a restaurar suas identidades no caso de um ataque.

Recuperação de dados, interrupção de negócios e perda de receita: muitos grandes ciberataques resultam na interrupção de atividades críticas dos negócios do cliente, além da perda de dados que, por sua vez, leva à perda de receita. Lembre-se: quando seu sistema está fora do ar, você não consegue fazer negócios. Portanto, você não só corre o risco de perder vendas, como seus funcionários também perdem tempo devido à interrupção do trabalho e ao processo de restauração.

Danos à reputação: após um ataque, muitas empresas têm a imagem prejudicada, já que clientes, parceiros e outros consumidores podem acreditar que a empresa não tomou as medidas adequadas para proteger sua rede. Em alguns casos, as organizações precisam investir em marketing e relações públicas, por exemplo, oferecendo descontos ou outras promoções, para incentivar os clientes a voltarem.

Como prevenir um ciberataque a pequenas empresas

Já demonstramos a necessidade de as PMEs protegerem seus negócios e os tipos de ataques aos quais devem estar atentas. Agora vem a parte mais importante: o que fazer para prevenir um ciberataque.

A seguir, descrevemos as ações mais importantes que as empresas podem adotar para reduzir o risco de um ataque e também limitar os danos em caso de violação de segurança.

Etapa 1: Treinar os funcionários

Etapa 2: Contratar um parceiro de cibersegurança

Etapa 3: Adotar uma cultura de segurança

Leve sua segurança para o próximo nível com a CrowdStrike

Pequenas empresas podem obter uma cobertura completa e de alta qualidade. O CrowdStrike Falcon® Go é uma solução fácil de gerenciar, acessível e desenvolvida sob medida para pequenas empresas. Ela previne ataques de ransomware, malware e as mais recentes ciberameaças, ajudando as PMEs a detectar e responder a essas ciberameaças a um preço acessível.

• Proteja sua empresa com o melhor antivírus de última geração do setor, comprovadamente eficaz na interrupção de ataques avançados.
• Utilize o controle de dispositivos para monitorar e gerenciar dispositivos USB que possam colocar sua rede em risco.
• Implemente um sensor leve e comece a proteger sua empresa instantaneamente, independentemente de onde seus dispositivos estejam.
• Utilize uma solução de gerenciamento de firewall de ponta para proteger a rede e os dispositivos da sua empresa — e também as pessoas que os utilizam.