Empresas subestimam os perigos dos cibercriminosos, alerta estudo: novas regras europeias de cibersegurança da UE não estão a ser implementadas
A diretiva da União Europeia – NIS 2 –, em vigor desde 16 de janeiro de 2023, visa reforçar a cibersegurança nas principais indústrias europeias. Os Estados-Membros devem implementá-la até 17 de outubro de 2024. Contudo, o novo relatório da Kaspersky – “Enterprise cybersecurity and increasing threats in the era of AI: Do business leaders know what they are doing? – questiona a compreensão dos gestores sobre as mais recentes legislações de cibersegurança.
Em outubro de 2024, uma série de leis de cibersegurança entrarão em vigor na União Europeia (UE) para melhorar a segurança digital, a segurança e a integridade das redes e dos sistemas de informação nos países membros da UE, abrangendo redes de infraestruturas, veículos e cadeias de abastecimento. No entanto, o último relatório da Kaspersky revela que os gestores podem não estar preparados para cumprir a nova regulamentação europeia de cibersegurança, que incluí o WP.29, o NIS-2, a Lei da Resiliência e a diretiva da UE referente às cadeias de abastecimento europeias.
De acordo com o estudo, poucas empresas implementaram medidas de cibersegurança em relação à utilização da IA: apenas 22% consideraram a possibilidade de as regulamentar. A situação é semelhante com a lei WP.29: embora 23% das empresas já tenham desenvolvido planos, ainda não começaram a implementá-los ou a concretizá-los.
A UE e os seus Estados-Membros estão a investir no reforço da cibersegurança em toda a Europa:
– O WP.29 regula um conjunto de normas comuns de cibersegurança para a automatização de veículos, a fim de otimizar os sistemas que gerem os riscos relacionados com as TI nos veículos novos.
– A nova norma de cibersegurança NIS-2 visa modernizar o quadro jurídico existente nos sectores das infraestruturas críticas da UE, que incluem os setores de energia, abastecimento de água, telecomunicações, transportes, cuidados de saúde, finanças, banca e serviços digitais, tendo em conta a transição digital e a evolução do panorama das ciberameaças.
– A fim de reforçar a segurança informática e digital dos bancos, seguradoras e empresas de investimento da UE, a lei da resiliência da UE garante uma maior resistência perante graves perturbações operacionais.
– A diretiva da UE relativa às cadeias de abastecimento impõe às grandes empresas da UE obrigações legais referentes ao dever de diligência nas suas cadeias de abastecimento mundiais, mais especificamente no que diz respeito aos direitos humanos e ambientais.
Inteligência Artificial nas empresas europeias
A maior parte desta legislação já está em vigor ou estará em breve, mas as conclusões do relatório da Kaspersky apontam para um problema: embora os líderes empresariais estejam conscientes dos perigos das ciberameaças, a maioria não compreende a sua complexidade ou subestima a capacidade dos grupos de cibercriminosos para atingirem os seus objetivos. Este cenário, associado à inadequada atribuição de recursos, gera um debate entre os gestores sobre as complexidades inerentes à ciberdefesa.
Outro estudo da Kaspersky, “Enterprise Infiltration of AI Gen: C-level executives are an AI ticking time bomb, aware of the risks but too complacent to act”, mostra que, embora a Inteligência Artificial se esteja a tornar uma realidade no ambiente corporativo, os líderes empresariais continuam pouco informados sobre os riscos de cibersegurança associados à sua implementação. Mais de metade (53%) dos executivos seniores reconhecem que a Inteligência Artificial (IA) já está presente nas suas empresas e que permite racionalizar as operações e simplificar algumas tarefas diárias.
É também referido que 91% dos executivos querem saber mais sobre como funcionam as ferramentas de IA e os processos de gestão de dados, demonstrado uma abordagem proativa e algum interesse em aproveitar o seu potencial. Contudo, poucos consideram os riscos da sua implementação, com apenas 59% dos inquiridos a manifestar alguma preocupação em relação às violações de dados relacionadas com a IA e com menos de um quarto (22%) a terem exposto estas questões da regulamentação da IA aos conselhos de administração.
Em Portugal, a IA também está a tornar-se um novo membro da sociedade, de acordo com os resultados do novo estudo da Kaspersky – Excitement, superstition and great insecurity – how global consumers engage with the digital world. Cerca de 56% dos inquiridos portugueses acreditam que a inteligência artificial já faz parte da nossa vida e que cada vez mais, irá substituir o ser humano em inúmeras funções. Defendem que é uma realidade inevitável. No futuro, os portugueses também afirmam que utilizariam a inteligência artificial para gerir as tarefas diárias e o seu quotidiano (53%).
No setor automóvel, um inquérito da Kaspersky indicou que, um ano após a entrada em vigor de um dos principais regulamentos WP.29, 42% dos gestores inquiridos ainda não tinham um plano para implementar a nova norma europeia e a maioria (63,5%) afirma não estar muito envolvida no planeamento dos próximos regulamentos. A indústria automóvel e os seus fornecedores revelam estar muito atrasados na implementação dos novos regulamentos europeus.
“A cibersegurança está hoje no centro de todas as nossas atividades, desde as nossas viagens até ao bom funcionamento das nossas empresas e instituições. No entanto, existem lacunas alarmantes na aplicação das medidas de proteção digital da UE, que podem conduzir a uma grave crise de cibersegurança. Dado o baixo número de empresas que regulamentam a utilização da IA na sua organização e as insuficientes medidas de cibersegurança em vigor, o risco de sofrer ciberataques e violações de dados multiplica-se. As empresas devem alocar urgentemente recursos e antecipar a futura legislação para evitar consequências graves”, apontou José Antonio Morcillo, Head of Channel Iberia de Kaspersky.
As empresas precisam de soluções de cibersegurança automatizadas, flexíveis e transparentes, como o Kaspersky Next, com capacidades avançadas que lhes permitam detetar, investigar e responder eficazmente a ameaças avançadas em tempo real. As lacunas de conhecimento, a falta de preparação entre os gestores de cibersegurança e a atual escassez de competências sublinham a necessidade de as empresas adquirirem produtos EDR e XDR que possam responder às diversas necessidades de forma proativa e abrangente.