Brechas de segurança relacionadas à desatualização de componentes responderam por 92% das vulnerabilidades críticas de infraestrutura identificadas em empresas brasileiras no último ano, segundo o Relatório de Ameaças 2016 da iBLISS. O estudo teve como base pesquisas realizadas em mais de 70 empresas de diversos setores, indo de operadoras de cartões, e-commerce e finanças até indústria, internet, logística, seguros e telecomunicações, entre outras.
As vulnerabilidades foram classificadas em quatro níveis, de acordo com o grau de importância: críticas, alta criticidade, média criticidade e baixa criticidade. As brechas de segurança consideras mais graves, as críticas, são aquelas que podem levar ao comprometimento em larga escala da infraestrutura de TI e respondem por 11% das falhas de infraestrutura identificadas no período. Problemas desse nível podem acabar causando grandes danos financeiros e de reputação a empresas, já que são facilmente exploradas por cibercriminosos.
“O fato de 92% das vulnerabilidades críticas de infraestrutura serem relacionadas a falhas de updates mostra que as equipes de TI brasileiras ainda têm uma grande dificuldade na atualização de aplicações, algo que tem relação com o problema da complexidade no ambiente de Tecnologia da Informação, principalmente nas grandes companhias”, afirma Leonardo Militelli, sócio-diretor da iBLISS.
Empresas engessadas
Por aqui é fácil encontrar empresas com softwares desatualizados. Muitos caixas eletrônicos ainda usam o Windows XP, por exemplo
Segundo o relatório, a maioria das brechas desse tipo diz respeito à ausência de pacotes de atualização críticos de aplicações, como Apache, VMware e Windows ou ao uso de versões que não são mais suportadas pelos fabricantes. Por esse motivo, muitas correções de segurança que eliminariam as aberturas acabam não sendo aplicadas.
“No Brasil, é fácil encontrar empresas usando softwares sem suporte em processos de negócio críticos. O melhor exemplo que temos são os caixas eletrônicos, que ainda usam o Windows XP, software da Microsoft que deixou de receber suporte em abril de 2014”, afirma Militelli. O estudo da iBLISS encontrou nas companhias brasileiras quase 18.500 vulnerabilidades, das quais 69% foram consideradas críticas, de alta criticidade ou de média criticidade.
Muitos caixas eletrônicos brasileiros ainda usam o Windows XP
Vale ressalta que 5% das vulnerabilidades relacionadas à desatualização de aplicações correspondem a falhas de OpenSSL que permitem o acesso a informações sensíveis por meio de bugs diretamente ligados ao Heartbleed, brecha que se tornou famosa mundo afora em 2014.