Previsões de Segurança Cibernética para 2018©ticas-de-2018-AON.pdf · espionagem cibernética...

Previsões de Segurança Cibernética para 2018O Crescente Impacto de Ataques Cibernéticos em Organizações

Publicado em: janeiro de 2018

Aon’s Cyber Solutions

Cyber Solutions 12 Previsões de Segurança Cibernética 2018

Prefácio

Preparação dos profissionais de segurança e líderes de negócios para mudar seu pensamento em como lidar com a cibertecnologia como um risco empresarial em 2018.

Desde que fizemos nossas previsões para 2017, vimos um aumento dramático na sofisticação, escala e impacto de ataques cibernéticos. Conforme as empresas buscam enriquecer as experiências de seus clientes através de uma gama de parâmetros, desde dispositivos móveis até automóveis, o leque de ataques tem aumentado dramaticamente. Junto desse cenário de ameaça constantemente crescente surge um aumento proporcional no impacto que os ataques cibernéticos têm nas empresas e em seus clientes. Este relatório mostra nossa experiência trabalhando com conselhos e executivos, bem como profissionais de segurança e risco para planejar, mitigar e gerenciar o impacto crescente dos ataques cibernéticos por toda a empresa.

Introdução

Prefácio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Scorecard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Previsões

Previsão 1: Despertar para a responsabilidade cibernética . . . . . . . . . . . . 6

Previsão 2: Gestão da cibernética como um risco empresarial . . . . . . . . 8

Previsão 3: Expansão do foco regulatório . . . . . . . . . . . . . . . . . . . . . . . . . 10

Previsão 4: Criminosos atacam empresas que adotam a IoT . . . . . . . . . . 12

Previsão 5: Empresas implementam a autenticação multi-fator . . . . . . . . 14

Previsão 6: Popularização dos programas de identificação de bugs . . . . 16

Previsão 7: Foco nos ataques de ransomware . . . . . . . . . . . . . . . . . . . . . . 18

Previsão 8: Ataques internos não detectáveis . . . . . . . . . . . . . . . . . . . . . 20

Contatos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

Referências . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

Índice

Em nossas previsões para 2018, examinamos como essas e outras dinâmicas irão fazer com que as empresas alterem suas abordagens em relação ao gerenciamento de risco cibernético. A crescente confiança das empresas em tecnologia, o foco do regulador em proteger os dados do consumidor e o valor dos ativos não físicos estão causando uma convergência de exposições cibernéticas que irão exigir que a segurança seja integrada tanto na cultura de negócios quanto nas estruturas de gerenciamento de risco.

As pressões regulatórias em todo o mundo continuarão a se intensificar em 2018 com a renovada aplicação da conformidade e das necessidades de certificado de auditoria, à medida em que os reguladores de vanguarda correm atrás de suas missões para se protegerem contra o impacto dos ataques cibernéticos . A complexidade reguladora crescente provocará pedidos para harmonizar esse cenário .

Enquanto as reclamações de responsabilidade de antigos conselheiros e diretores (D&Os) quanto a incidentes cibernéticos foram amplamente dispensadas, esperamos ver mais queixas trazidas com sucesso contra os D&Os, mantendo-os pessoalmente responsáveis por lidar com de incidentes cibernéticos . Em nossas predições, examinamos como os eventos de 2017 mudaram esse cenário . Com os eventos cibernéticos agora classificados entre os três maiores gatilhos para ações derivativas dos D&Os6, esperamos uma intensificação dessas queixas em 2018 . Preocupação aumentada entre executivos sobre responsabilidade e o impacto financeiro e operacional de risco cibernético irão orientar as mudanças no mercado de seguros . Conforme os negócios demandem uma cobertura cibernética mais ampla, essa cobertura alcançará além das provisões em outras políticas, como políticas de propriedade, erros e omissões, e responsabilidade geral .

Também antecipamos que 2018 será um ano de maior responsabilização quanto à ataques cibernéticos . Organizações que enfrentam riscos de ameaças internas,

segurança de IoT, ataques de ransonware e outros, terão que demonstrar que seguiram as melhores práticas para proteger consumidores e funcionários . Isso levará a um foco maior em medidas proativas, como uma melhor higiene de dados, programas de recompensa para bugs e com a autenticação multifator (MFA) passando a ser uma prática padrão para um conjunto mais amplo e diverso de empresas .

A abordagem atual orientada por silo para o gerenciamento de risco cibernético começará a sumir em 2018, substituída por uma abordagem executiva direcionada e coordenada, conforme as empresas líderes começam a perceber o impacto, holisticamente, do risco cibernético por todas as funções da empresa .

Esperamos que as previsões deste ano sirvam como um bom início para mudar o pensamento e tomar ações para mitigar e gerenciar os riscos cibernéticos.

Jason J. Hogg Diretor Executivo, Aon Cyber Solutions

Nossas previsões de 2017: Um ano de ataques cibernéticos de larga escala com impacto significante para organizações em diversos setores

Nossas previsões para 2018: Uma mudança para lidar com cibernética como um risco empresarial

Os ataques cibernéticos rápidos, públicos e amplos em 2017 mostraram como o risco cibernético não pode ser gerenciado de forma eficaz somente como um problema da tecnologia da informação (TI) O ataque do ransomware WannaCry atingiu mais de 200 mil computadores em 150 países,1 desconectan-do empresas da internet, afetando vendas e operações. Indiscutivelmente, a falha de dados mais signifi-cante na história dos EUA atingiu a Equifax, expondo dados confidenciais de 143 milhões de pessoas,2 o que submeteu a empresa a ações judiciais resultando em uma perda dramática de seu valor acionário e demissões de executivos.3

Além disso, conforme previmos, criminosos invadiram centenas de milhares de dispositivos da Internet das Coisas (IoT) por todo o mundo para atacar terceiros, e também aprimoraram sua engenharia social e táticas de spear-phishing .

Além das interrupções de larga escala ao comércio mundial,4 o ano de 2017 testemunhou a influência dos ataques cibernéticos sobre os políticos e a política . Hackers russos tentaram influenciar o resultado das eleições em todo o mundo, e grupos de hackers chineses, conhecidos por atacarem empresas as agências aeroespaciais e de defesa dos EUA, chamaram atenção para infraestrutura crítica na Ásia .5

Ataques à integridade de dados, nos quais os criminosos buscam disseminar a dúvida sobre a exatidão e confiabilidade das informações, tornaram-se um grande problema nas esferas públicas e privadas conforme golpistas (bad actors) atacam com falsos relatos de mídia e outras

campanhas de desinformação . As principais empresas de tecnologia e mídias sociais viraram alvo como facilitadoras que desconheciam ou relutam esses ataques .

Conforme antecipamos, a pressão regulatória para instituições de serviços financeiros para conduzir testes de equipes de emergências aumentaram nos principais mercados, incluindo Hong Kong, União Europeia (UE) e outros . Em nossa própria experiência trabalhando com clientes, enquanto algumas empresas começaram a tomar medidas proativas para testar e remediar a exposição, nós continuamos vendo uma deficiência significativa em relação à condução da devida diligência quanto à segurança cibernética, especialmente em operações de fusões e aquisições .

"A atual abordagem de gestão de risco cibernético, baseada em um plano local, deverá decair em 2018, sendo gradativamente substituída por uma abordagem executiva e coordenada na medida em que as empresas líderes perceberem o impacto do risco cibernético de forma holística em todas as atividades corporativas."


Scorecard 2017

1. Uso de dispositivos IoT como botnets para ataques a infraestruturas

4. Evolução das táticas de spear phishing e engenharia social, tornando-se mais direcionadas e mais avançadas

2. Impacto político global causado por atos de espionagem cibernética e guerra de informações.

5. Pressões normativas tornam a estratégia de "equipe vermelha" o padrão de excelência global, reconhecendo o desenvolvimento de talentos em segurança cibernética como um dos principais desafios

6. Líderes da Indústria adotam diligência em segurança cibernética pré-M&A

3. Aumento dos ataques contra a integridade de dados

Uso de dispositivos IoT como botnets, causando maior preocupação sobre um possível ataque de DDoS na infraestrutura crítica Pesquisadores de segurança identificaram o crescimento rápido de novos botnets que invadiram milhões de dispositivos, entre eles, o "Hajime” e o “IoT_reaper” . A operação “Hidden Cobra”, da Coréia do Norte, teve como objetivo utilizar redes de dispositivos para atacar a infraestrutura dos EUA .

Criminosos empregam novas táticas de spear phishing contra organizações em vários setores, incluindo grandes empresas de tecnologia e agências governamentais. Hackers enganaram funcionários de empresas multinacionais de energia para acessar documentos e nomes de usuários e senhas, bem como circuitos eletrônicos e redes de computadores . Também abordaram estudantes do Reino Unido com um email fraudulento para roubar informações pessoais e bancárias .

Hackers atacam processos eleitorais e infraestruturas críticas, além de realizar espionagem cibernética, impactando políticas internas e relações internacionais. A investigação dos EUA sobre a interferência russa na eleição de 2016 continua . O Catar alegou publicações falsas por parte de Abu Dabi em seu site estatal de notícias, por motivações políticas . Os EUA iniciou um estudo formal sobre a espionagem cibernética do governo chinês .

Reguladores globais em centros financeiros de todo o mundo adotaram regulamentos para testes de equipe vermelha, causando escassez de talentos de segurança. As infraestruturas do mercado financeiro da União Europeia serão testadas por meio de testes de equipe vermelha da União Europeia . A Autoridade Monetária de Hong Kong implantou a Iniciativa de Fortificação da Segurança Cibernética (CFI), incluindo o programa de testes de simulação de ataque cibernético de seu Departamento de Inteligência .

O processo de diligência de segurança cibernética pré-M&A é reconhecido como a melhor prática em todas as indústrias, mas adotado apenas pelas principais empresas. A American Bar Association e outras empresas publicaram orientações para ajudar as comunidades jurídicas e empresariais a compreender os principais requisitos de diligência em segurança cibernética, que deveriam ser parte de todas as transações de M&A .

Continua a propagação de informações falsas; aumento de ataques à integridade de dados. A divulgação de informações imprecisas e não confirmadas sobre catástrofes naturais impactou o valor de mercado das empresas e influenciou a opinião pública . Criminosos cibernéticos armaram plataformas tecnológicas e de mídia, o que levou as empresas de tecnologia a tratar, de forma ativa, o problema de postagens, bots e anúncios manipulados .

FalsoVerdadeiro Misto


1. As empresas devem adquirir apólices de seguro cibernéticas independentes conforme os conselhos e executivos despertam para a responsabilidade cibernética.Conforme os conselhos e executivos testemunham o impacto material de ataques cibernéticos, incluindo redução de ganhos, interrupção operacional e reclamações contra conselheiros e diretores, as empresas irão apólices de seguros cibernéticas personalizadas para sua empresa. Ao mesmo tempo, as seguradoras limitarão sua cobertura de perdas relacionadas a cibernética em propriedade tradicional, casualidade e outras apólices relacionadas a negócios.

Em 2017, os negócios vivenciaram impacto financeiro e material significante causado por ataques cibernéticos com, pelo menos, seis ataques exigindo que fossem divulgados de acordo com as diretrizes da Comissão de Valores Mobiliários e Câmbio dos EUA .7 Executivos pediram demissão e as capitalizações do mercado caíram após grandes roubos de dados de consumidores . Empresas enfrentaram ações judiciais e investigações regulatórias sobre o tratamento dado às violações,8 agora, com os eventos cibernéticos classificados entre os três maiores desencadeadores para ações derivativas dos D&Os .9 Os ataques do ransomware WannaCry e do malware NotPetya fizeram com que diversas empresas e indústrias relatassem uma diminuição das receitas e lucros devidos a problemas operacionais .10 Essas tendências enfatizaram a responsabilidade dos conselhos e executivos em assegurar que controles de segurança cibernética eficazes estejam implantados .

Conclusão: Em resposta ao impacto crescente dos riscos cibernéticos nos negócios em diversos setores e regiões e ao aumento da preocupação de executivos com em relação à responsabilidade, a indústria de seguros desenvolverá novas apólices cibernéticas enquanto restringirá “silenciosamente” a cobertura cibernética de outras apólices. Além disso, tanto seguradoras, quanto resseguradoras procurarão um maior escrutínio e melhor adequação para entender melhor o potencial correlacionado e os perigos cibernéticos sistêmicos que podem agregar perdas catastróficas em diversas indústrias e regiões.

CEO

C-Suites Management

Officers

CEO

Em 2018, mais empresas divulgarão graves perdas cibernéticas em relatórios financeiros ou em análises, uma vez que as empresas enfrentam maior escrutínio sobre o tratamento dos incidentes cibernéticos . Conforme os ataques cibernéticos derrubam os ganhos, interrompem as operações, expõem dados e atingem os preços das ações, os reguladores, acionistas e público ficarão mais satisfeitos e irão exigir que um diretor executivo (CEO) ou membro do conselho seja responsabilizado por conta de um compromisso maior com a empresa . Ações judiciais e reivindicando a responsabilidade terão sucesso contra os D&Os, que serão tidos como responsáveis por falharem em manter sua responsabilidade fiduciária de proteger os acionistas e consumidores dos efeitos de uma violação .

O mercado de seguro cibernético responderá as preocupações dos conselhos e executivos, por meio da oferta de apólices que reflitam o crescente impacto dos ataques . Uma pesquisa de 2017 do Instituto Ponemon descobriu que apenas 24% dos profissionais de gerenciamento de risco afirmaram que suas empresas possuem segurança cibernética, apesar dos 87% que veem a responsabilidade cibernética como um dos dez principais riscos ao negócio .11 As empresas citaram a cobertura inadequada entre as principais razões para não adquirir um seguro de segurança cibernética, bem como por terem apólices de seguro de propriedade e ramos elementares, que sempre fornecem elementos limitados da proteção de transferência de risco de exposições cibernéticas como um componente “silencioso” .

Isso mudará em 2018 conforme as empresas demandarem uma cobertura completa para risco cibernético, e os seguradores explicitamente excluírem a cobertura de perdas cibernéticas em outras apólices de seguros de negócios . Como resultado, os seguradores criarão apólices de seguro cibernético empresariais que cobrirão uma ampla gama de exposições cibernéticas . A adoção irá se espalhar para além dos compradores tradicionais de segurança cibernética, como os setores de varejo, financeiro e serviços de saúde, e chegarem em outros negócios vulneráveis à interrupção do negócio cibernético, especialmente porque veremos importantes incidentes cibernéticos causados por falhas de sistema e quedas de energia impactando aeroportos, companhias aéreas, redes elétricas, fábricas, empresas de petróleo e gás, empresas de serviços públicos e outros . Ataques cibernéticos em escala mundial como o WannaCry impulsionarão uma maior adoção, geralmente entre os primeiros compradores, na América Latina, Europa e outras regiões fora dos EUA, onde a maior parte da cobertura é tradicionalmente comprada .12

2 0 1 8 P R E D I C T I O N S

Em 2017, executivos de alto nível pediram

demissão após violações maciças de

dados.

24%dos profissionais de gestão de risco disseram que suas empresas possuíam seguro

contra ataques cibernéticos

87%dos profissionais de gestão

de risco consideram a responsabilidade cibernética como um dos dez principais

riscos empresariais


2. À medida que os mundos físico e cibernético colidem, os principais diretores de riscos tomam as rédeas para gerenciar a área cibernética como um risco da empresa.

Uma vez que os ataques cibernéticos sofisticados geram consequências no mundo real que impactam cada vez mais as operações de negócios, os executivos serão surpreendidos pela natureza empresarial do risco cibernético. Os Diretores de Risco (CROs) tomarão as rédeas, trabalhando com as equipes de segurança de informação, tesoureiros, diretores financeiros (CFOs) e a assessoria jurídica geral (GCs) para aprimorar o modelo de risco e criar uma imagem mais holística da exposição do negócio.

Em 2017, os ataques cibernéticos em larga escala alertaram as empresas sobre os impactos operacionais das vulnerabilidades técnicas, que vão além das violações de dados . As empresas fabricantes foram fechadas, hospitais extorquidos por golpistas (bad actors) pediram resgate por sistemas e colocaram as vidas de pacientes em perigo; e os criminosos cibernéticos conseguiram causar um apagão na energia elétrica dos EUA .13 Esses e outros ataques aconteceram apesar do fato do gasto com segurança ter aumentado em 7% ($86,4 bilhões) em 2017 .14 Apesar do impacto do risco cibernético se estender aos departamentos de conformidade, técnico, financeiro, recursos humanos, jurídico e outros, as organizações continuaram a gerenciar como se fosse apenas um problema de TI . Os silos estavam com abundância em gerenciamento de risco de segurança cibernética e os criminosos exploravam as falhas .

IEm 2018, os executivos das indústrias, além dos de varejo, serviços financeiros e do setor de saúde reagirão ao impacto que as vulnerabilidades cibernéticas exploradas podem ter na habilidade operacional de seus negócios, implantando segurança cibernética em todas as áreas de risco de negócio e isolando a administração de risco organizacional . Por exemplo, sistemas de rede conectados, infraestrutura, controle de supervisão e de aquisição de dados (SCADA) e sistemas de controle industrial expandiram as exposições cibernéticas além dos riscos de informações de identificação pessoal (PII) em praticamente as indústrias . Os executivos de organizações mais antigos darão poder ao Diretor de Risco para entrar no foco da segurança cibernética, alinhando-os de perto com as equipes de segurança da informação . Em 2018, os Diretores de Riscos e os Diretores de Segurança da Informação (CISOs) se tornarão colaboradores de risco para melhor entender as exposições de risco cibernético de suas empresas e potenciais consequências operacionais no “mundo real” . Por exemplo, empresas de logística globais reunirão equipes multidisciplinares para antecipar vulnerabilidades cibernéticas em aplicativos nos celulares dos motoristas; empresas de serviços de marketing

globais perceberão como as vulnerabilidades cibernéticas afetam o gerenciamento de crises e o planejamento de continuidade dos negócios; empresas de transporte abordarão como a área cibernética impacta nas operações, como petroleiros e mercadorias sendo remotamente desviados . Empresas de transporte continuarão a avaliar os potenciais benefícios de contratos inteligentes e a bloquear as principais tecnologias em relação ao rastreamento de mercadorias e rastreio de inventário e verificação de manifesto .

Conforme o impacto do risco digital e as vulnerabilidades técnicas nos resultados das empresas crescem através de vendas perdidas, tempo de inatividade do negócio ou preocupações com a segurança do produto, a visibilidade dos Diretores de Segurança de Informação na postura da segurança cibernética da empresa se tornará um componente importante na forma como os Diretores de Risco trabalham com Diretores Financeiros e a Assessoria Jurídica Geral para avaliar o risco e alocar recursos para soluções de seguros . Em 2018, será esperado que os Diretores de Risco articulem como as operações digitais dos negócios afetarão a exposição financeira . Usando o conhecimento especializado dos Diretores de Segurança de Informação sobre a postura de segurança da informação de uma empresa, em conjunto com ferramentas de modelagem sofisticadas aproveitando grandes dados, os Diretores de Risco melhorarão a capacidade de uma organização de modelar como o risco cibernético pode se propagar em toda a empresa . Isso também fornecerá aos executivos e conselhos uma visão mais ampla do impacto do risco nos negócios como um todo .

Conclusão: Em 2018, o papel do Diretor de Risco será redefinido, conforme trabalham mais próximos com os Diretores de Segurança de Informação para ajudar a liderança da empresa a entender o impacto holístico do risco cibernético no negócio. Essa perspectiva única fará do Diretor de Risco um dos ativos mais valiosos do Diretor Executivo, uma vez que fornecem um histórico do risco mais significativo para os conselhos e as lideranças executivas, permitindo investimento mais eficaz em medidas de segurança cibernética e seguro cibernético.Haviam vários sistemas locais não

integrados na gestão de risco de segurança cibernética, e os criminosos exploravam as falhas.

Consultor/ Diretor Jurídico

Segurança

IT

Financeiro

$86.4Biforam gastos com segurança

em 2017, 7% a mais que no ano anterior

Consultor/ Diretor Jurídico

ConformidadeSegurançaComunicação

ITHR

OperaçõesFinanceiro


3. Foco regulatório se amplia e se torna mais complexo, provocando harmonização. A UE mantém uma empresa global responsável por violação GDPR; grandes agregadores de dados sob escrutínio nos EUA.

Em 2018, os reguladores nos níveis internacional, nacional e local farão cumprir com mais rigor os regulamentos de segurança cibernética existentes e aumentarão as pressões por conformidade ao introduzir novos regulamentos. As empresas, sobrecarregadas por diversas regras e regulamentos, irão montar uma campanha para harmonizar o cenário regulatório complexo de segurança cibernética.

Em 2017, novas regulamentações cibernéticas foram introduzidas para abordar o amplo impacto do risco cibernético nas atividades de negócios, setores e jurisdições . O foco da UE em estabelecer um padrão universal para privacidade de dados do consumidor, hoje em dia, tem significância mundial com o Regulamento Global de Proteção de Dados (GDPR), que rege todas as empresas que coletam dados de cidadãos da UE . Governos da região Ásia-Pacífico, como Austrália, Japão e Coreia do Sul estão amplamente alinhados com a abordagem da UE, ainda que com aplicabilidade e penalidades mais moderadas . Nos EUA, as regulamentações de segurança cibernética do Departamento de Serviços Financeiros de Nova York (NYDFS) tiveram grandes implicações para a indústria de serviços financeiros em todo o mundo .

Em 2018, esperamos que a Comissão Europeia responsabilize as principais empresas dos EUA e mundiais por violação ao GDPR, por meio de uma ou mais ações grandes de executabilidade demonstrando sua seriedade

ao reforçar a regulamentação internacionalmente, incluindo através de multas – um máximo de 4% da receita anual global ou €20 milhões (US$23,8 milhões)15 – que são valores não seguráveis perante as leis da maioria dos países . Enquanto historicamente há menos litígio fora dos EUA, os negócios do consumidor, especialmente, também podem enfrentar o prospecto de ações judiciais relacionadas ao GDPR e outros impactos como danos à reputação .

Nos EUA, enquanto o resultado da Comissão de Comércio Federal (FTC) em relação ao litígio da LabMD irá impactar se o escopo da autoridade da Comissão se estender até a aplicabilidade dos padrões de segurança cibernética16, em 2018, veremos outros órgãos regulatórios, como o NYDFS, aplicando as regulamentações existentes e lançando intervenções almejadas em resposta a preocupações sobre as principais violações . Por exemplo, as organizações de grandes dados (agregadores e revendedores) serão submetidas a uma nova avaliação sobre a forma como estão coletando, usando e protegendo os dados . Novas regulamentações significarão

que as empresas em setores além de varejo, serviços financeiros e serviços de saúde— por exemplo, educação—serão obrigadas a abordar as exigências de segurança cibernética .

Sob o ônus de pressões reguladoras significativas e sempre crescentes, as organizações da indústria irão repelir os reguladores, pedindo o alinhamento das regulamentações cibernéticas . Órgãos de negócios, como a Câmara de Comércio dos EUA, já começaram a pressionar o governo dos EUA para que harmonizem as regulamentações com o quadro voluntário desenvolvido em colaboração público-privada no Instituto Nacional de Padrões e Estruturas de Tecnologia de Segurança Cibernética (NIST CSF) .17 A associação comercial DigitalEurope também solicitou “total consistência” entre o GDPR e outras legislações na Europa .18 Entretanto, no geral, o ônus da conformidade para empresas pelos setores ficará mais difícil em 2018 antes de melhorar .

As empresas entre os diversos setores precisarão, portanto, aperfeiçoar seus programas de conformidade aproveitando experts externos, automação, análises e outras ferramentas para gerar melhorias se segurança cibernética baseadas em riscos reais .

Conclusão: À medida que os reguladores procuram se proteger contra o impacto de falhas de dados e ataques ciber-néticos de larga escala, com a implementação do GDPR, nós veremos aplicação rigorosa das regulamenta-ções existentes e multas, bem como novas regras e diretrizes introduzidas. As empresas, entre os diversos setores são forçadas a examinar os controles atuais implantados para estar em conformidade com as diversas regulamentações, solicitarão maior alinhamento para facilitar o ônus regulatório.

GDPR

4%da receita anual

mundial ou € 20 milhões (US$ 23,8 milhões) - multa máxima

por não-cumprimento do GDPR


4. Os criminosos buscam atacar empresas que adotam a IoT, focando em uma empresa de pequeno a médio porte que esteja fornecendo serviços para uma organização global.

Em 2018, as organizações globais terão de incluir na gestão de riscos de terceiros as complexidades crescentes relacionadas a como seus parceiros de negócios estão utilizando a IoT. No entanto, não veremos isso acontecer, e consequentemente, prevemos que uma empresa grande será derrubada por um ataque realizado em um fornecedor ou contratada de pequeno porte, cujo foco é a IoT, como uma via de acesso aos mesmos. Isso irá despertar as organizações de grande porte, que passarão a atualizar sua abordagem voltada para a gestão de riscos de terceiros, e as empresas de pequeno e médio porte (SMBs), que passarão a implementar medidas de segurança mais eficientes ou investir em atividades que evitam perdas em decorrência de riscos.

As empresas continuam a interconectar fins, objetos e plataformas a suas redes, eliminando perímetros tradicionais de redes, convergindo os mundos digital e físico, e criando novos desafios de segurança . Espera-se que as empresas tenham empregado 3,1 bilhões de recursos conectados em 201719 . Além de dispositivos, as empresas estão associando mais processos empresariais a Internet para coletar dados, proporcionar mais eficiência e automatizar, monitorar e controlar operações .

Essa expansão no uso pode gerar até $11,1 trilhões por ano em valor econômico por volta de 2025 .20 Ainda assim, os dispositivos de IoT são, como todos sabem, desprotegidos, e programas adequados de gestão de patches continuarão a ser ignorados em 2018 . As vulnerabilidades de segurança introduzidas pela forma como as empresas estão utilizando a IoT, portanto, representam riscos consideráveis, e mesmo que o ecossistema de IoT da própria empresa seja relativamente seguro, o impacto na forma como terceiros estão implantando a IoT é negligenciado . Em um estudo da Ponemon em 201721, apenas 25% dos participantes afirmaram que a diretoria pede garantias de que os riscos de IoT entre terceiros estão sendo avaliados, gerenciados e monitorados corretamente .

Isso constitui uma preocupação específica para organizações de grande porte que estão atuando com SMBs, visto que a segurança cibernética é muito pouco priorizada por essas empresas . Outro estudo recente da Ponemon identificou que 55% das empresas de pequeno porte informaram que foram atacadas em um período de 12 meses, entre 2015 e 201622, ainda assim, uma minoria, afirmou que esse é o problema mais crítico que elas enfrentam .23 As empresas pretendem gerar mais eficiência a partir da atuação com SMBs em 2018, o que significa que os hackers irão localizar empresas de pequeno porte que utilizam plataformas e dispositivos de IoT, para acessar empresas de grande porte . Por exemplo, é muito provável que vejamos criminosos focando em fabricantes ATM e fornecedores de serviços de manutenção que atuam em conjunto com bancos grandes . Além disso, as organizações enfrentam riscos oriundos de prestadores de serviços de pequeno porte relacionados a impressoras ou copiadoras, sistemas que fazem uso de câmeras de segurança e outros pontos de acesso conectados, através dos quais, as informações de clientes podem ser expostas, caso sofram ataques de hackers . Consequentemente, a demanda por visualizar a segurança de terceiros irá aumentar, e fornecedores menores que buscarem propostas de contratos serão forçados a demonstrarem a implementação de medidas de segurança mais eficientes, no que diz respeito a IoT .

Conclusão: Em 2018, testemunharemos ataques em SMBs que não tenham integrado corretamente medidas de segurança em seus ecossistemas de IoT, e esses ataques irão se expandir para a rede de organizações de grande porte, causando mais danos exponencialmente. Em resposta a isso, as organizações de grande porte irão ampliar os programas de gestão de riscos de terceiros e processos de devida diligência, para que seja possível levar em consideração as deficiências existentes na segurança de IoT de fornecedores. As SMBs que buscarem atuar em conjunto com essas organizações serão forçadas a melhorar e documentar suas medidas de segurança cibernética implementadas.

As vulnerabilidades de segurança geradas pela maneira como as empresas utilizam a IoT apresentam riscos significativos. Mesmo que o próprio ecossistema de IoT de uma empresa seja relativamente seguro, o impacto da forma como terceiros implantam a IoT é negligenciado.

55%das pequenas empresas

relataram casos de violação em um período de 12 meses

entre 2015 e 2016

... no entanto, uma pequena

minoria afirmou ser esta a questão

mais crítica que enfrentaram.


Embora o uso de senhas, por si só, não proporcione níveis de segurança adequados, sua conveniência faz com que ainda sejam amplamente utilizadas. Embora elas não sejam mais utilizadas como o principal método de autentica-ção em dispositivos móveis e de IoT em 2018, é improvável que elas desapareçam completamente. Uma vez que as empresas implementam o uso de biometria para autenticar a identidade, os criminosos irão encontrar formas de aprimorar seus ataques, visando superar essas novas tecnologias. Em 2018, à medida que mais credenciais de acesso são comprometidas, e o uso de biometria é superado pelos hackers, testemunharemos a ascensão do MFA.

Em 2017, vimos empresas sendo vítimas de força bruta e ataques de phishing . Um estudo recente identificou que 81% das infrações relacionadas a ataques de hackers ocorreram devido a senhas roubadas ou de baixo nível de segurança .24 A medida que os hackers continuam a quebrar senhas, empresas inovadoras, tais como fabricantes de dispositivos móveis e de IoT, estão implantando o uso de biometria, como uma forma alternativa de autenticar a identidade . Por exemplo, o iPhone X da Apple utiliza tecnologia de reconhecimento facial ao invés do uso de senhas e os bancos de centros financeiros, incluindo o do Reino Unido e Hong Kong, estão implantando o uso de biometria em situações específicas, tais como reconhecimento de voz para autenticar ligações de atendimento ao cliente, no caso de usuários importantes que utilizam as redes .

Em 2018, esses métodos de autenticação, que antes eram apenas requisito obrigatório para usuários que possuíam permissões de segurança, serão ampliados para o público geral . O uso de biometria física, tal como para reconhecimento facial, de padrões da íris ou de impressões digitais será ampliado para além dos dispositivos móveis de uso diário, por exemplo, substituindo o uso de crachás de acesso a escritórios . No entanto, mesmo o uso de biometria avançada não será completamente invulnerável, caso seja utilizado como o único nível de autenticação . Mesmo o uso de impressões digitais em um dispositivo pode ser superado por hackers, que podem utilizar cópias físicas forjadas de uma impressão digital para atacar sistemas . Em 2018, testemunharemos o roubo de informações de biometria que irá expor consumidores, trazendo à tona os desafios intrínsecos existentes na biometria, que não podem ser redefinidos .

Para combater ataques de hackers a senhas e instituições financeiras que fazem uso de biometria, além das empresas

de FinTech, outros passarão a adotar tecnologias de MFA o quanto antes, por exemplo, utilizando reconhecimento de voz mais um PIN ou senha para autenticar todas as ligações de atendimento ao cliente . As pessoas deverão informar, pelo menos, duas das informações a seguir para realizar a autenticação em um instrumento: conhecimento (alguma informação que seja de conhecimento delas), posse (algo que elas possuem), e inerência (algo que elas são) . Os bancos irão executar tecnologias de autenticação de biometria comportamental como processos secundários em sites de transações bancárias, coletando continuamente informações a respeito de interações de um usuário, tais como a digitação e o movimento do mouse, para criar um modelo de usuário exclusivo nesse dispositivo - e solicitar mais informações, caso o comportamento identificado não corresponda ao modelo, provedores de serviços na nuvem irão exigir que os usuários de suas plataformas coloquem em prática o MFA .

Mesmo que as empresas adotem o MFA, os hackers irão elaborar novas técnicas para superar novas tecnologias de autenticação, assim como eles elaboraram formas de quebrar a autenticação de dois fatores, por meio de ataques de “troca de SIM” . Em 2018, testemunharemos novos malwares, cujo foco são smartphones, visando atacar aplicativos de MFA em celulares .

5. As senhas continuam a ser quebradas por ataques de hackers, que contornam o uso de biometria física; a autenticação que leva em consideração vários fatores nunca foi tão importante quanto agora.

Conclusão: As empresas irão implantar, em grande escala, o MFA, à medida que os criminosos focarem seus ataques na autenticação de fator único, tal como nomes de usuários e senhas e o uso de biometria. Mesmo com o MFA, as empresas terão de realizar um processo contínuo e proativo de testes e de aprimoramento de suas defesas, à medida que os hackers irão continuar a evoluir seus métodos.Embora o uso de

senhas, por si só, não proporcione níveis de segurança adequados, sua praticidade faz com que ainda sejam amplamente utilizadas.

81%das violações relacionadas a ataques de hackers foram

causadas por senhas roubadas ou frégeis


6. Os criminosos irão focar seus ataques em transações que utilizam pontos como moeda, o que irá estimular a adoção, por parte do público geral, de programas de identificação de bugs.Em 2018, as empresas dos setores de tecnologia, do governo, automotivo e de serviços financeiros irão implantar as plataformas de identificação de bugs nos programas de segurança. As empresas que possuem programas de fidelidade, prêmios e recompensas, tais como companhias aéreas, distribuidores e prestadores de serviços hoteleiros serão os próximos a adotarem tais plataformas, à medida que os criminosos focam seus ataques em transações que utilizam pontos como moeda.

Em 2016 e 2017, vimos organizações dos setores de tecnologia,25 do governo,26 automotivo,27 e de serviços financeiros28 liderarem o grupo de empresas que estão implantando programas de identificação de bugs, buscando a experiência de pesquisadores de segurança experientes para identificar as vulnerabilidades existentes em troca de dinheiro e reconhecimento . Um pouco depois da Apple lançar o iOS 11 .1 em 2017, os pesquisadores do Laboratório de Segurança de Tencent Keen identificaram rapidamente dois bugs,29 e receberam $70 .000 em recompensas - valor muito menor do que a Apple teria de pagar, caso tal vulnerabilidade tivesse sido explorada por um hacker mal intencionado .

As empresas que possuem mais de 5 .000 funcionários apresentaram o crescimento mais rápido, no que diz respeito a lançamentos de programas na plataforma Bugcrowd, ao

longo dos últimos doze meses .30 Em 2018, veremos outras empresas, além das poucas que adotaram tais programas no setor de companhias aéreas, bem como distribuidores e prestadores de serviços hoteleiros e empresas de outros setores que possuem programas de recompensas, adotarem os programas de identificação de bugs, visando proteger os “pontos utilizados como moeda” . A medida que o uso de cartões de crédito torna-se mais seguro, e os criminosos focam seus ataques em transações do tipo “sem cartão”, tais como cartões presentes e pontos para obter recompensas, os programas de identificação de bugs serão implementados para fortalecer a proteção fornecida .

A medida que as ameaças crescem, exigindo a ampliação da implantação, os programas de identificação de bugs irão se tornar parte dos procedimentos de segurança padrão . Será esperado que as empresas de todos os setores implementem programas de identificação de bugs, para provar que fizeram tudo que era possível para se protegerem de ataques cibernéticos . A medida que o processo de identificação de bugs for ampliado para o público geral, mais empresas irão recorrer a provedores externos de programas privados de identificação de bugs e especialistas em segurança cibernética para implementar suas melhores práticas, tais como definir pagamentos, definir o escopo do programa, quantificar e solucionar vulnerabilidades e gerenciar o programa, com relação a execução, simultaneamente, de testes de segurança . Para atender a demanda, os prestadores de serviços mais importantes de segurança de informações e de segurança cibernética irão criar parcerias, ou adquirir, provedores de programas privados de identificação de bugs para oferecer tais recursos . .

Conclusão: Em 2018, os programas de identificação de bugs serão ampliados para o setor de companhias aéreas, de distribuição e hotelaria, visando proteger os pontos utilizados como moeda. A medida que mais organizações implantam programas de identificação de bugs, elas irão recorrer a especialistas externos para evitar introduzir novos riscos, decorrentes de programas configurados incorretamente.

Os pesquisadores

receberam

$70Kpara explorar os bugs no

iOS 11.1 da Apple

À medida que as ameaças levam a uma implantação mais ampla, os programas de identificação de bugs se tornarão parte dos processos de segurança padrão.

Vulnerabilidades no Varejo

Vulnerabilidades

em Farmácias

Vulnerabilidades em Empresas Aéreas

Vulnerabilidades

em Hotéis


7. O foco agora são os criminosos que realizam ataques de ransomware; as cryptomoedas ajudam a disseminar ataques de ransomware.

Conclusão: Com os criminosos realizando ataques em grande escala, mais lucrativos e prejudiciais em 2016 e 2017, o número de hackers, de tipos de ataques de ransomware e de infecções aumentou dramaticamente. Em 2018, veremos a continuidade de ataques em grande escala realizados por hackers, mas estes últimos tam-bém irão evoluir suas táticas para implementar ataques focados, passando a exigir pagamentos mais eleva-dos, proporcionais ao valor dos bens. Essa atividade será beneficiada pelo aumento contínuo das criptomo-edas. A capacidade de uma empresa de se proteger e se recuperar de ataques de ransomware, em 2018, irá depender da implementação de medidas técnicas proativas e de planos de continuidade de negócios.

Até o final de 2017, o custo global para organizações que sofreram ataques de ransomware foi estima-do em $5 bilhões, aumento de 400% em relação a 2016.31 O ataque do ransomware WannaCry afetou mais de 300.000 pessoas em 150 países, em menos de dois dias. Em 2018, os criminosos irão evoluir suas táticas, incluindo o lançamento de ataques bem pesquisados e focados que visam infectar bens específicos de alto valor, que contêm informações fundamentais.

Nos últimos anos, os ataques de ransomware buscavam infectar sistemas, tirando vantagem de vulnerabilidades existentes . No entanto, em meados de 2017, os criminosos responsáveis pelo ataque do ransomware NotPetya mudaram esse cenário . Os hackers obtiveram credenciais de administrador que, por sua vez, permitiram acessar e infectar os sistemas não vulneráveis da empresa da vítima, afetando, assim, quase todos os sistemas acessíveis na rede . Em 2018, continuaremos a testemunhar ataques de ransomware em grande escala que focam na obtenção de credenciais de administrador para acessar e infectar redes maiores . Com o aumento esperado nos ataques de ransomware que visam espalhar-se por uma rede, as empresas, em 2018, terão de segmentar, urgentemente, suas redes . As empresas que não fizerem isso serão afetadas por ataques de ransomware em uma escala muito maior do que o necessário .

Os hackers também irão evoluir suas táticas em 2018, utilizando formas de malware benigno - tais como o software desenvolvido para causar ataques de negação de serviço distribuídos (DDoS), ou exibir anúncios em telas de milhares de sistemas - visando desencadear surtos gigantescos de ransomware . Operadores de botnets irão conceder a hackers de ataques de ransomware acesso a nós de botnets, em troca de pagamentos, permitindo a eles ampliarem, consideravelmente, a extensão de um ataque de ransomware .

Enquanto os criminosos cibernéticos continuarão a lançar ataques espalhados, que visam afetar o máximo possível de sistemas, também iremos testemunhar o aumento de hackers direcionando seus ataques a empresas específicas, e exigindo pagamentos proporcionais ao valor dos bens criptografados . Para que esses ataques sejam mais lucrativos, os criminosos irão focá-los em ambientes, onde o acesso a informações e sistemas é de “caráter fundamental as metas”, tais como hospitais, empresas de transporte e fabricantes . Também esperamos constatar um aumento no uso de ransomware para infectar dispositivos de IoT, que são fornecidos, por padrão, com um conjunto menor de recursos de segurança, visando facilitar a “funcionalidade imediata”, e os usuários tendem a manter tais configurações originais, após iniciarem o uso de tais dispositivos . Já testemunhamos o Mirai botnet que tirou vantagem de dispositivos de IoT para lançar ataques de DDoS e antecipamos que termostatos inteligentes e outros dispositivos inteligentes serão afetados por ransomware em 2018 .

Além disso, as criptomoedas continuarão a contribuir, de forma geral, com a realização de ataques de ransomware, embora as autoridades tenham modernizado ainda mais seus recursos para rastrear ataques, por exemplo, através de carteiras de bitcoins .

Para que possam se proteger em 2018, as empresas terão de ir muito além da etapa essencial de criar backups . As empresas terão de utilizar sistemas capazes de criar snapshots no tempo, ou manter múltiplas versões de arquivos criados ao longo do dia, para facilitar a restauração para um ponto específico no tempo, anterior ao backup com perda mínima de produtividade . Os profissionais de segurança terão de testar, frequentemente, se seus backups permitem restaurar as informações e os arquivos em um período de tempo específico, para determinar o nível de inatividade que a empresa pode suportar, caso ocorra um ataque de ransomware .

Em 2018, também veremos mais empresas reconhecendo a necessidade de implementar o Princípio de Menor Privilégio — limitando os direitos de acesso a arquivos de usuários até as permissões mínimas, que eles necessitam para desempenhar suas funções, visando reduzir o número de arquivos que podem ser criptografados em caso de um ataque de ransomware . As empresas mais avançadas irão conceder aos funcionários apenas o acesso necessário para realizar as atividades empresariais de uma função específica, ao invés de proporcionar acesso automático a tudo .

$5Bifoi o custo global estimado de ataques de ransonware para as

organizações em 2017 - um aumento de 400% em

relação a 2016


Desde que foi prevista a ascensão dos “riscos internos” em 2016, temos visto organizações serem afetadas gravemente por ações executadas por funcionários, contratados, pessoas que deixam empresas, consultores e outras pessoas mal-intencionadas, descuidadas, negligentes e desprevenidas, que possuem acesso a informa-ções, sistemas e redes. Apesar disso, em 2017, vimos empresas investirem muito pouco em estratégias proativas de mitigação de riscos internos e, em 2018, não será diferente. Com a inexistência contínua de treinamento de segurança e controles técnicos, associada às dinâmicas mutantes da mão-de-obra moderna, a extensão total de ataques cibernéticos e incidentes causados por riscos internos não será nem mesmo levada a público.

A implantação de tecnologias revolucionárias e as mudanças na relação entre funcionário-empregador estão desafiando a segurança de organizações de formas nunca vistas antes . A ascensão da economia gig, de consultoria e freelance32 significa que a definição de um “risco interno” mudou, e os limites entre funcionários internos e externos não são mais facilmente delimitados . As empresas, despersonalizando a mão-de-obra e criando ecossistemas mais virtualmente conectados, afetaram o nível de investimento e comprometimento psicológico de funcionários em relação as suas organizações .33 A mídia sedenta por documentos privados, tais como aqueles publicados nos ataques de Panamá e Paradise Papers, está aumentando a motivação daqueles que desejam expor ou vazar informações de fontes internas . Esses fatores contribuem para garantir a razão, pela qual, as empresas continuarão a serem afetadas por ações - intencionais e não intencionais - realizadas por funcionários dessas empresas no próximo ano .

Em 2018, muitas organizações continuarão a gerenciar riscos internos de forma reativa, e tais riscos internos irão causar incidentes cibernéticos graves, tais como apropriação indevida de propriedade intelectual (IP) ou fornecer a criminosos acesso a informações e sistemas fundamentais, visando acessar os controles de segurança e infiltrar-se no perímetro de uma organização . Os funcionários irão buscar formas de burlar políticas de segurança ou serão vítimas, involuntariamente, de engenharia social e ataques de phishing . Os criminosos irão focar seus esforços em profissionais essenciais em setores importantes, que são necessários e considerados de confiança para garantir que informações e dados permaneçam em caráter privado, tais como serviços de profissionais, serviços de saúde, serviços financeiros, automotivos, de entretenimento e tecnologia . As pessoas que deixam empresas de forma mal-

intencionada, muitas das quais acreditam que têm direito a produtos de trabalho, irão acessar intencionalmente uma rede ou informações de uma organização .

No entanto, somente uma pequena parcela desses incidentes será informada publicamente, e muito daquilo que foi roubado será difícil de identificar - dado que muitos dos bens mais valiosos de empresas, hoje, encontram-se na forma de IP34 , segredos comerciais, pesquisa e desenvolvimento, ou estratégias empresariais - que podem ser copiados sem serem furtados fisicamente . A dark web, criptografia e as moedas virtuais continuarão a facilitar transações ocultas, comunicações e o armazenamento de informações roubadas .

Embora a extensão total desses ataques, e o verdadeiro custo de segurança cibernética que ameaças internas representam, continuarão a não ser informados em sua totalidade, no caso dos ataques que são informados publicamente, começamos a ver mais empresas sendo consideradas legalmente responsáveis pelo tratamento insatisfatório de incidentes causados por riscos internos, como no caso marcante, em 2017, dos Supermercados Morrisons no Tribunal Superior no Reino Unido .35

8. Os riscos internos atormentam as organizações, à medida que subestimam sua vulnerabilidade e responsabilidade, e ataques graves continuam a serem realizados sem serem evitados.

Conclusão: As empresas não podem eliminar os riscos cibernéticos causados por, até mesmo, funcionários bem-intencionados, e embora seja difícil medir o impacto total de riscos internos, elas não podem mais desconsiderar esses riscos em comparação àqueles oriundos de fatores externos. As organizações terão de lidar com essa vulnerabilidade e implementar programas eficazes de gestão de riscos internos. Caso sejam ignorados, elas podem ser consideradas responsáveis, em 2018, por não garantirem a proteção de funcionários e consumidores, caso ocorra algum incidente.

Em 2018, muitas organizações continuarão a gerenciar o risco

interno de forma reativa, e esses riscos causarão grandes incidentes

cibernéticos. No entanto, apenas uma fração desses incidentes será

divulgada publicamente.

Funcionários

Risco

Funcionário de Local Remoto

Employee

Consultor / Freelancer

??%A extensão total e os verdadeiros custos de segurança cibernética dos ataques internos não serão

integralmente relatados


Referências

1. https://www.reuters.com/article/us-cyber-attack-europol/cyber-attack-hits-200000-in-at-least-150-countries-europol-idUSKCN18A0FX

2. https://www.washingtonpost.com/business/technology/equifax-hack-hits-credit-histories-of-up-to-143-million-americans/2017/09/07/a4ae6f82-941a-11e7-b9bc-b2f7903bab0d_story.html?utm_term=.7eba7c991ffd

3. https://investor.equifax.com/news-and-events/news/2017/09-26-2017-140531280

4. https://www.programbusiness.com/News/Shipping-Giant-Maersk-Could-Lose-Nearly-450M-Due-to-Recent-Cyber-Attack

5. https://www.ft.com/content/c8e634fa-2a31-11e7-9ec8-168383da43b7

6. http://riskandinsurance.com/ponemon-go/

7. Securities and Exchange Commission, Cybersecurity Disclosure Guidance, October 13, 2011.

8. The Washington Post, Equifax faces hundreds of class-action lawsuits and an SEC subpoena over the way it handled its data breach, November 9, 2017. https://www.washingtonpost.com/news/the-switch/wp/2017/11/09/equifax-faces-hundreds-of-class-action-lawsuits-and-an-sec-subpoena-over-the-way-it-handled-its-data-breach

9. http://riskandinsurance.com/ponemon-go/

10. Infosecurity Magazine, Pharma Giant Merck Sees Petya Profit Hit for Rest of 2017, https://www.infosecurity-magazine.com/news/pharma-giant-merck-petya-profits/

11. Ponemon Institute, 2017 Global Cyber Risk Transfer Comparison Report, April 2017. http://www.aon.com/risk-services/thought-leadership/2017-global-cyber-risk-transfer-comparison-report.jsp

12. http://www.aon.com/risk-services/thought-leadership/2017-global-cyber-risk-transfer-comparison-report.jsp

13. Wired, Hackers Gain Direct Access to US Power Grid Controls, September 6, 2017, https://www.wired.com/story/hackers-gain-switch-flipping-access-to-us-power-systems/

14. Techcrunch, Global cybersecurity spending to grow 7% to $86.4BN in 2017, says Gartner, August 16, 2017 https://techcrunch.com/2017/08/16/global-cybersecurity-sending-to-grow-7-to-86-4bn-in-2017-says-gartner/

15. “Questions and Answers – Data Protection Reform Package,” European Commission; http://europa.eu/rapid/press-release_MEMO-17-1441_en.html

16. https://www.bna.com/oral-argument-labmd-n73014453538/

17. “2017 Cybersecurity Policy Priorities,” U.S. Chamber of Commerce; https://www.uschamber.com/2017cyberpriorities

18. “DigitalEurope urges MEPs to Bring ePrivacy Closer to Digital Reality,” DigitalEurope; http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download.aspx?Command=Core_Download&EntryId=2549&language=en-US&PortalId=0&TabId=353

19. https://www.gartner.com/newsroom/id/3598917

20. https://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/the-internet-of-things-the-value-of-digitizing-the-physical-world

21. www.ponemon.org/library/the-internet-of-things-iot-a-new-era-of-third-party-risk

22. Ponemon Institute, “2016 State of Cybersecurity in Small & Medium-Sized Businesses (SMB),” June 2016, https://signup.keepersecurity.com/state-of-smb-cybersecurity-report/.

23. CNBC Small Business Survey, April 2017. https://www.cnbc.com/2017/07/25/14-million-us-businesses-are-at-risk-of-a-hacker-threat.html

24. 2017 Data Breach Investigations Report (DBIR), Verizon, July 2017. http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017

25. https://www.facebook.com/whitehat

26. https://www.defense.gov/News/Article/Article/710033/hack-the-pentagon-pilot-program-opens-for-registration/

27. https://bugcrowd.com/tesla

28. 2017 State of Bug Bounty Report, June 2017, Bugcrowd. https://www.bugcrowd.com/resource/2017-state-of-bug-bounty/

29. ios11 Hacked by Security Researchers Day After Release, Zach Whittaker, Zero Day, November 2, 2017, ZDNet. http://www.zdnet.com/article/ios-11-hacked-by-security-researchers-day-after-release/?utm_source=hs_email&utm_medium=email&utm_content=2&_hsenc=p2ANqtz-88NIeQpAvpVDiDqbehjhWYOuq-

30. 2017 State of Bug Bounty Report, June 2017, Bugcrowd. https://www.bugcrowd.com/resource/2017-state-of-bug-bounty/

31. https://go.druva.com/2017-Survey-Ransomware-Report-SEM.html?utm_medium=cpc&utm_source=paid-search&utm_campaign=US-inSyncRansomware-Ransomware&utm_content=&utm_adgroup=General&utm_term=ransomware&gclid=Cj0KCQjwsZHPBRClARIsAC-VMPD9UVi_IC780BzYjlBAYk

32. https://s3.amazonaws.com/fuwt-prod-storage/content/FreelancingInAmericaReport-2017.pdf

33. http://www.aon.com/unitedkingdom/attachments/trp/2017-Trends-in-Global-Employee-Engagement.pdf

34. http://www.aon.com/risk-services/thought-leadership/2017-global-cyber-risk-transfer-comparison-report.jsp

35. http://www.telegraph.co.uk/business/2017/12/01/victory-morrisons-workers-data-leak-compensation-claim/

Contatos

Jason J. HoggCEO, Aon Cyber SolutionsE: jason .j .hogg@aon .com

Eric FriedbergCopresidenteStroz Friedberg, uma empresa AonE: efriedberg@strozfriedberg .comT +1 212 .981 .6536

Edward StrozCopresidenteStroz Friedberg, uma empresa AonE: estroz@strozfriedberg .comT: +1 212 981 6541

Estados Unidos

Rocco GrilloLíder de Resiliência CibernéticaStroz Friedberg, uma empresa AonE: rgrillo@strozfriedberg .comT: +1 212 981 2674

Kevin KalinichLíder de Prática Global, Risco Cibernético/RedeAon Professional Risk SolutionsE: Kevin .Kalinich@aon .comT: +1 312 381 4203

CJ Dietzman Vice Presidente, Líder em Práticas de Assessoria em SegurançaStroz Friedberg, uma empresa AonE: cdietzman@strozfriedberg .comT:+1 347 .283 .4861

Cassio GoldschmidtVice Presidente, Serviços ProativosStroz Friedberg, uma empresa AonE: cgoldschmidt@strozfriedberg .comT:+1 310 .623 .3270

Christian E. HoffmanAon Risk Solutions, Grupo de Serviços Financeiros, Soluções em Riscos Corporativos, Líder em Práticas NacionaisE: christian .hoffman@aon .com T: +1 484 343 3740

Jibran IlyasDiretora Geral, Resposta a IncidentesStroz Friedberg, uma empresa AonE: jilyas@strozfriedberg .comT:+1 312 .216 .8107

Stephanie Snyder Líder do Dpto . Vendas Nacional, Seguro CibernéticoAon Professional Risk SolutionsT: +1 312 402 6038

Carolyn VadinoDiretor de Comunicação e Líder de Marketing Stroz Friedberg, uma empresa AonE: cvadino@strozfriedberg .com T: +1 646 524 8454

Reino Unido

Justin Clarke-SaltJustin Clarke-SaltCofundador, Gotham Digital Science, Uma empresa Stroz FriedbergE: justin@gdssecurity .com T: +44 330 660 0720

Alex CarteDiretor Geral, Gestão de IntegraçãoStroz Friedberg, uma empresa AonE: acarte@strozfriedberg .co .uk T: +44 20 .7061 .2302


Sobre a Aon Aon plc (NYSE: AON) é uma empresa global líder de serviços profissionais, que oferece ampla gama de soluções em riscos, benefícios e saúde. Nossos 50 mil colegas em 120 países potencializam resultados para clientes utilizando dados e análises proprietários para fornecer perspectivas inovadoras, que reduzam volatilidade e melhorem desempenho.

Sobre a Stroz Friedberg A Stroz Friedberg, uma empresa da Aon, é especializada em gestão de riscos, criada para ajudar os clientes na resolução dos desafios complexos que prevalecem no atual mundo dos negócios digital, conectado e regulamentado. Líder global no campo da segurança cibernética, com especialistas em tecnologia forense digital, resposta a incidentes, segurança proativa, investigações, propriedade intelectual e eDiscovery, a Stroz Friedberg trabalha para maximizar a saúde das organizações, garantindo longevidade, proteção e resiliência. Fundada em 2000 e adquirida pela Aon em 2016, a Stroz Friedberg possui treze escritórios em nove cidades dos EUA, Londres, Zurique, Dubai e Hong Kong. A Stroz Friedberg atende as empresas Fortune 100, 80% das empresas AmLaw 100 e os 20 melhores escritórios de advocacia do Reino Unido. Saiba mais em https://www.strozfriedberg.com/.

© Aon plc 2018 . Todos os direitos reservados .As informações aqui contidas e as declarações expressas são de natu-reza geral e não se destinam a abordar as circunstâncias de qualquer indivíduo ou entidade em particular. Apesar dos nossos esforços em fornecer informações precisas e consultar fontes que consideramos confiáveis, não podemos garantir que tais informações estejam atua-lizadas na data em que forem recebidas ou que permaneçam válidas no futuro. Não utilize tais informações sem um aconselhamento profissional adequado ou sem uma análise aprofundada da situação.

www.aon.com | www.strozfriedberg.com

Previsões de Segurança Cibernética para 2018©ticas-de-2018-AON.pdf · espionagem cibernética...

Documents

Transcript of Previsões de Segurança Cibernética para 2018©ticas-de-2018-AON.pdf · espionagem cibernética...