O cenário da cibersegurança em 2024 foi marcado por desafios sem precedentes, violações significativas e requisitos regulamentares em evolução que remodelaram fundamentalmente a forma como as organizações abordam a proteção de dados.
Desde incidentes recordes até nova legislação rigorosa, o ano proporcionou informações cruciais sobre a segurança cibernética. Destacou prioridades críticas para fortalecer as defesas organizacionais num ecossistema digital cada vez mais complexo. A crescente sofisticação das ameaças cibernéticas e a expansão da superfície de ataque criada pelas iniciativas de transformação digital representaram desafios sem precedentes para organizações de todos os setores.
Violações recordes definem o ano
O ano de 2024 testemunhou vários incidentes devastadores de segurança cibernética que sublinharam a crescente sofisticação das ameaças:
- O ano começou com os efeitos contínuos da violação da cadeia de abastecimento do MOVEit, que impactou mais de 2.600 organizações e expôs 77 milhões de registos. Este incidente destacou os efeitos em cascata das vulnerabilidades da cadeia de abastecimento num mundo digital interligado e provocou um foco renovado na gestão de riscos de terceiros em todos os setores.
- A violação de dados públicos nacionais foi particularmente grave, comprometendo 2,9 mil milhões de registos e afetando 1,3 milhões de indivíduos. A escala sem precedentes desta violação provocou ondas de choque na comunidade de segurança cibernética e levou muitas organizações a reavaliarem as suas estratégias de proteção de dados.
- O setor da saúde enfrentou uma grande crise com a violação da Change Healthcare, que afetou 110 milhões de americanos, sublinhando a importância crítica de medidas robustas de proteção de dados no tratamento de informações médicas sensíveis. A violação expôs vulnerabilidades nos sistemas de saúde e levou a interrupções em todo o país no atendimento aos pacientes e nos processos de cobrança médica.
- A AT&T sofreu incidentes cibernéticos expondo 110 milhões de registros de clientes, resultando em perdas financeiras estimadas em US$ 19,69 bilhões. Estes incidentes demonstraram as graves consequências de práticas inadequadas de cibersegurança e os efeitos duradouros na confiança dos clientes e na saúde financeira corporativa. As violações levaram a um extenso escrutínio regulamentar e suscitaram pedidos de melhoria dos padrões de segurança do sector das telecomunicações.
O custo financeiro das violações de dados continuou a aumentar dramaticamente, com o custo médio global a atingir 4,88 milhões de dólares – um aumento de 10% em relação a 2023. Além disso, 60% das organizações relataram gastar mais de 2 milhões de dólares anualmente apenas em custos de litígio de violação de dados.
Estes custos crescentes podem ser atribuídos a vários factores, incluindo a crescente sofisticação das ameaças cibernéticas, a expansão da superfície de ataque criada por acordos de trabalho remoto e as crescentes consequências regulamentares. As organizações também enfrentaram custos indiretos significativos, incluindo danos à reputação, perda de oportunidades de negócios e diminuição da confiança dos clientes.
VEJA: EUA sancionam empresa chinesa de segurança cibernética por ataque de ransomware em 2020
A expansão de ferramentas e os riscos de terceiros surgem como preocupações críticas
O ano também revelou vulnerabilidades significativas criadas por ambientes tecnológicos complexos e relacionamentos com terceiros.
As organizações que utilizam sete ou mais ferramentas de comunicação sofreram 3,55 vezes mais violações do que a média, enfatizando os perigos da proliferação de ferramentas. Ao mesmo tempo que permite maior colaboração e produtividade, esta proliferação de plataformas de comunicação criou novas vulnerabilidades que os profissionais de segurança cibernética tiveram dificuldade em resolver. O desafio de manter controles de segurança consistentes em diversas plataformas surgiu como uma prioridade crítica para as equipes de segurança.
O cenário de risco foi ainda mais complicado pela crescente dependência das organizações de parceiros externos, com 66% das empresas a trocarem conteúdos sensíveis com mais de 1.000 terceiros. Essa dependência contribuiu para um aumento de 68% nos ataques à cadeia de fornecimento de software direcionados a sistemas de transferência de arquivos.
Os desafios de rastrear e controlar a partilha de conteúdos externos realçaram a necessidade de estratégias abrangentes de protecção de dados que se estendam para além das fronteiras organizacionais. Muitas organizações implementaram novos programas de gerenciamento de risco de fornecedores e aprimoraram seus processos de avaliação de segurança de terceiros em resposta a esses desafios.
O cenário regulatório fica mais complexo
2024 assistiu a desenvolvimentos regulatórios substanciais que transformaram o cenário da privacidade de dados.
A implementação da Diretiva NIS 2 introduziu a responsabilidade pessoal por violações de conformidade de segurança cibernética na União Europeia, aumentando os riscos para executivos e conselhos de administração. Esta mudança no sentido da responsabilização individual enfatizou a necessidade de um compromisso de cima para baixo com a proteção de dados e a integração de considerações de segurança cibernética na estratégia empresarial global. As organizações esforçaram-se por atualizar as suas estruturas de governação e de conformidade para responder a estes novos requisitos.
Nos EUA, vários estados aprovaram leis de privacidade abrangentes, criando uma complexa colcha de retalhos de requisitos para as organizações navegarem. Esta expansão regulatória levou a consequências financeiras significativas, com a aplicação do GDPR e da HIPAA resultando em multas totalizando US$ 5,6 bilhões e US$ 5,3 bilhões, respectivamente.
O complexo ambiente regulatório impactou particularmente as organizações norte-americanas, com 63% citando as leis estaduais de privacidade como uma das principais preocupações, destacando a necessidade de regulamentações de proteção de dados harmonizadas e consistentes. Muitas organizações investiram pesadamente em sistemas de gerenciamento de conformidade e em aprimoramentos de programas de privacidade para atender a esses requisitos em evolução.
VEJO: Patch Tuesday: Microsoft corrige uma vulnerabilidade explorada ativamente, entre outras
Ameaças emergentes e desafios específicos do setor
A ascensão da inteligência artificial e do aprendizado de máquina introduziu novos desafios de segurança, com 50% das organizações norte-americanas identificando a exposição de dados de IA/GenAI como uma preocupação principal. Embora ofereçam um enorme potencial de inovação, estas tecnologias emergentes exigem que as organizações desenvolvam novas estratégias para gerir desafios de segurança únicos. A rápida adoção de ferramentas de IA levantou preocupações sobre a privacidade dos dados, a segurança dos modelos e o potencial de ataques cibernéticos alimentados por IA.
A segurança na nuvem surgiu como outro desafio crítico, com invasões em ambientes de nuvem aumentando 75% ano após ano e 33% das violações ligadas a configurações incorretas. O caso da hospedagem em nuvem de locatário único versus multilocatário ganhou atenção significativa à medida que as organizações buscavam opções de implantação de nuvem mais seguras. As equipes de segurança se concentraram na implementação de ferramentas aprimoradas de gerenciamento de postura de segurança na nuvem e na melhoria de suas arquiteturas de segurança na nuvem.
O cenário de ameaças evoluiu significativamente, com ataques sem malware representando 75% dos incidentes detectados e pagamentos de ransomware aumentando 500%, atingindo uma média de US$ 2 milhões. Empregando um algoritmo habilitado para IA, avaliamos diferentes setores da indústria de 2018 a 2024, com hotelaria, varejo e manufatura recebendo as pontuações de risco mais altas no primeiro semestre de 2024. O setor de educação e pesquisa sofreu os maiores ataques semanais, com 3.086 – um Aumento de 37% ano a ano. Isto destacou a necessidade de medidas de segurança reforçadas nas instituições académicas.
O governo federal enfrentou riscos significativos de terceiros, com 28% das agências trocando dados com mais de 5.000 partes. Entretanto, o sector dos serviços financeiros obteve uma pontuação consistente acima de todas as indústrias nas avaliações de risco. Estes desafios específicos do setor levaram ao desenvolvimento de estruturas de segurança específicas e de melhores práticas específicas do setor.
VEJA: Melhores ferramentas CSPM 2024: principais soluções de segurança em nuvem comparadas
Olhando para o futuro: construindo resiliência cibernética
Várias prioridades importantes surgiram à medida que as organizações procuram fortalecer a sua postura de segurança cibernética. A adoção de abordagens de confiança zero tornou-se crucial, embora 45% das organizações ainda lutem para alcançar a confiança zero com segurança de conteúdo. Estratégias abrangentes de proteção de dados, incluindo criptografia ponta a ponta, ferramentas de prevenção contra perda de dados e práticas robustas de gerenciamento de acesso, tornaram-se importantes.
As lições de 2024 enfatizam a necessidade de abordagens proativas, adaptativas e abrangentes à proteção de dados e à gestão de riscos. Aprofundamos isso em nosso “Relatório de previsão para gerenciamento de risco de exposição de conteúdo privado para 2025”. O sucesso no cenário de ameaças em evolução exige que as organizações adotem a melhoria contínua, invistam em medidas robustas de segurança cibernética e promovam a colaboração entre setores.
À medida que entramos em 2025, a proteção de dados sensíveis e a manutenção da confiança dos clientes continuam a ser não apenas imperativos empresariais, mas também responsabilidades fundamentais na era digital.
Tim Freestone, diretor de estratégia da Kiteworks, é um líder sênior com mais de 17 anos de experiência em liderança de marketing, estratégia de marca e otimização organizacional e de processos. Desde que ingressou na Kiteworks em 2021, ele desempenhou um papel fundamental na formação do cenário global de governança, conformidade e proteção de conteúdo.
Notícias de Tecnologia:
Fundadores e VCs apoiam uma empresa C pan-europeia, mas uma ‘EU Inc’ tem um caminho difícil pela frente
Sustentabilidade: progresso real, mas também desafios espinhosos pela frente
As lições de Jon McNeill sobre inovação por meio da subtração
O Windows Phone Link deve aprender uma ou duas lições com o espelhamento do iPhone da Apple
Republicanos vs Democratas: Quem está à frente nas pesquisas sobre sexo?
Os racistas estão tentando fazer do Dan Da Dan a última frente em sua guerra cultural