A KnowBe4, responsável por uma das maiores plataformas de formação de sensibilização para a segurança e de simulação de phishing do mundo, lançou esta terça-feira o seu Relatório de Benchmarking de Phishing por Setor para 2024, onde avalia a percentagem de propensão (PPP) que as empresas têm a cair em esquemas de phishing e outra táticas fraudulentas online.

A empresa analisou mais de 54 milhões de testes de simulação de phishing em mais de 11,9 milhões de utilizadores de 55.675 organizações em 19 setores diferentes para concluir que a preparação humana continua a ser o principal fator de proteção contra estes fenómenos de cibercrime.

Segundo o teste de referência realizado em todas as empresas, sem treino de consciencialização em segurança, 34,3% dos funcionários provavelmente vão clicar em links maliciosos ou atender solicitações fraudulentas. Tal representa um aumento de mais de 1% em relação aos dados do relatório de 2023, destacando a importância de se construir uma cultura de segurança forte nas empresas para mitigar o risco humano que existe quando se trata de proteger contra ameaças cibernéticas.

Pelo contrário, as empresas que se comprometeram com treinos e testes regulares de consciencialização sobre segurança após o teste de linha de base inicial viram uma queda média da propensão para cair neste tipo de esquemas para apenas 18,9% em 90 dias. Depois de 12 meses de treino e testes constantes, caiu ainda mais para 4,6%.

"Estes resultados demonstram que, para transformar a cultura de segurança cibernética, é necessário eliminar alguns hábitos existentes para dar lugar a outros mais seguros. À medida que os funcionários começarem a adotar novos comportamentos, com o tempo, eles transformar-se-ão em hábitos que evoluem para práticas padrão que moldam a cultura organizacional e, por sua vez, criam uma força de trabalho que instintivamente faz da segurança uma prioridade no seu trabalho diário", aponta a KnowBe4.

Empresas particularmente vulneráveis às ameaças cibernéticas, com as pontuações mais elevadas e que necessitam urgentemente de treino de consciencialização em segurança, também são discutidas no relatório. O setor de cuidados de saúde e farmacêutico permanece na categoria de alto risco, com o PPP mais alto em empresas de pequena e grande dimensão, com pontuação de 34,7% e 51,4%, respetivamente. Em empresas de média dimensão, o setor de hospitalidade ficou em primeiro lugar pela segunda vez em três anos, com uma pontuação de 39,7%.

Este relatório reforça o papel fundamental que o elemento humano desempenha na segurança cibernética. Embora a tecnologia seja importante para impedir e se recuperar de ataques cibernéticos, o erro humano ainda é um grande fator contribuinte para as violações dos dados. Um estudo feito pela Verizon este ano também mostra que  68% das violações de dados ocorreram por causa de ações acidentais, uso de credenciais roubadas, engenharia social e uso indevido de privilégios maliciosos. "Embora isto seja uma melhoria em relação aos 74% do ano passado, as empresas devem continuar a concentrar no fortalecimento do firewall humano para se protegerem contra ameaças cibernéticas", lê-se na nota da KnowBe4.

Um vetor de ameaça emergente destacado no relatório deste ano é a rápida adoção da IA ​​em determinadas indústrias, que apresenta riscos adicionais se não for implementada com fortes medidas de segurança cibernética.