Porque as PME são alvo dos “hackers”?

Publicado em Por

As PME’s são o principal alvo de ataques cibernéticos?


Não deixemos a estatística dar a impressão errada. Os riscos de ataques por hackers não são apenas para as grandes organizações. Talvez a estatística mais assustadora do mercado revele que aproximadamente metade de todas as pequenas empresas (PME) foi atingida por um ataque cibernético.

Na verdade, estima-se para este ano de 2021 um valor de ataques de USD$ 6.000.000.000.000 (https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/) e do mesmo modo cada grande ataque em 2019 chegou aos USD$4.6M (https://www.darkreading.com/perimeter/cost-per-cyberattack-jumps-to-$46m-in-2019/d/d-id/1335008). Nas pequenas empresas teve uma média de USD$200.000 também em 2019 (https://www.cnbc.com/2019/10/13/cyberattacks-cost-small-companies-200k-putting-many-out-of-business.html), e ainda sobre este tipo de empresas caíram 43% dos ataques (https://www.cyberdefensemagazine.com/cyber-security-statistics-for-2019/) .

Diferentemente das grandes corporações que têm Sistemas de Gestão de Segurança Informação de modo “nativo”, as pequenas empresas não têm o mesmo “luxo” e desleixam os princípios da segurança, principalmente com a falsa ilusão de não serem alvos.

Além do mais, as PME não são mercado preferencial para as grandes empresas vendedoras de sistemas de segurança e, simultaneamente, também não são empresas que possam criar recursos internos em Segurança de Informação que acaba por ser gerida de forma transitória ou periférica; e, os hackers sabem disso.

Com que frequência as pequenas empresas são atacadas?


Colocar números na escala do crime cibernético é difícil, principalmente porque muitas organizações são resistentes a reconhecer que foram atacadas ou que o seu sistema foi invadido. Um grande estudo de 2010, no entanto, conduzido pela Verizon trabalhando em conjunto com o Serviço Secreto dos EUA, constatou que mesmo assim empresas menores estavam sob enorme ameaça de cibercriminosos: mais de 60% das violações de dados cobertas nesse relatório eram de empresas com menos de 100 funcionários Os valores dos primeiros 6 meses de 2019 apontam para 60%, ou seja, em 9 anos duplicou a percentagem de alvos. (https://cybersecurityventures.com/60-percent-of-small-companies-close-within-6-months-of-being-hacked/).


Desde então surgiram novos tipos de ataques cibernéticos, muitos deles projetados para serem implantados em empresas menores que não podem pagar por uma infraestrutura sofisticada de segurança de rede. Esses novos ataques adicionam ao perfil de ameaça já conhecido, que ainda inclui ataques comuns desde há anos, como esquemas de e-mail e phishing que visam especificamente os funcionários de pequenas empresas.

O “rasonware” é, atualmente, a face mais visível desses ataques, porém, a extorsão por via de informação pessoal ou classificada também é frequente, pois é normal essas organizações estarem mais dependentes da imagem de um colaborador.

teste de Penetração ou Pentesting


Como é que os hackers encontram alvos para ciberataques?

A subida do número de violações de dados em larga escala nas notícias deste ano gera muitas perguntas, uma das quais é importante: como é que os hackers selecionam suas vítimas?

A resposta é simples: fazendo pesquisas. Os hackers fazem o “trabalho de casa”.

De facto, uma violação real, normalmente, ocorre depois de muitas horas após o primeiro estudo do alvo. Começa por análise da informação pública da organização nas redes sociais, informação institucional e de serviços organizacionais. Depois, começa o reconhecimento tecnológico e a engenharia social de modo a tirar uma “grande e completa fotografia” da organização e escolher os “alvos” e metodologia apropriada.

Como é que as empresas são invadidas?

As empresas que sofrem de violações de segurança são de todos os tamanhos e sectores, mas geralmente cometem os mesmos erros.

Para ser justo, os profissionais de segurança continuam enfrentando os mesmos desafios e as causas mais comuns por trás de grandes violações podem ser agrupadas em duas categorias: fator humano e higiene, (higiene é o conjunto de procedimentos de verificação e limpeza dos equipamentos, software e serviços não utilizados, exemplo: máquinas virtuais esquecidas e sem utilidade ainda a activas)


O factor humano está relacionado com o comportamento dos colaboradores e como eles interagem com os sistemas corporativos.

Cada um desses termos mais abrangentes inclui várias práticas anómalas, erros e etapas negligenciadas que contribuíram para violações de segurança.

Quais foram algumas das razões mais comuns pelas quais as empresas foram invadidas?

  • Falha na verificação do código antes da implantação de novos equipamentos e software
  • Deixar o código fonte exposto;
  • Falha ao alterar senhas padrão;
  • Práticas inadequadas de aplicação de patches;
  • Erro humano em engenharia social, phishing;
  • Mau controlo de exfiltração (extração não autorizada de dados)
  • Falha em reconhecer infiltração ou intrusão.

Podemos resumir estas razões, e outras que serão eventualmente menos comuns, com a falta de um sistema de segurança, com políticas, objetivos e procedimentos bem definidos.

Qual é o alvo preferencial dos “hackers”?


Desde os controversos roubos de identidade em Ashley Madison até o “hack” de dados da Sony, a comunicação social e as redes sociais têm sido inundadas com notícias sobre violações de segurança de empresas de alto nível nos últimos anos.

Só para ficar bem claro, qualquer pessoa ou empresa que utilize a Internet pode ser um alvo para os cibercriminosos; é por isso que é tão importante entender a política de segurança de informação e como as violações podem afetar uma organização, os seus clientes e os seus funcionários.


Como nos podemos proteger do cibercrime e dos ciberataques? Como posso proteger os meus negócios?

A resposta é agir nas várias “frentes” de uma forma sistemática e criar uma “defesa em profundidade”, ou seja:

  • Definir políticas de modo a mitigar os erros humanos e administrativos;
  • Criar procedimentos a fim de otimizar recursos e minimizar falhas;
  • Implementar meios tecnológicos que possam detetar situações anómalas e responder de forma adequada;
  • Para cada falha identificada existir, se possível, uma medida de compensação;
  • Fazer avaliações sistemáticas e periódicas.

Por fim, e o mais importante, é nunca considerar que o trabalho está concluído e que a segurança é perfeita e completa.

Resumindo, é necessária a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) (https://defenselifecycle.com/seguranca-informacao/), o qual optimiza as respostas às vulnerabilidades e respetivos custos de acordo com as melhores práticas e standards internacionais, como por exemplo, o ISO 27001.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *