Brechas de segurança relacionadas à desatualização de software responderam por 92% das vulnerabilidades críticas de infraestrutura identificadas em empresas brasileiras no último ano, segundo o Relatório de Ameaças 2016 da iBLISS. O estudo teve como base pesquisas realizadas em mais de 70 empresas de diversos setores, indo de operadoras de cartães, e-commerce e finanças até indústria, internet, logística, seguros e telecomunicaçães, entre outras.
As vulnerabilidades foram classificadas em quatro níveis, de acordo com o grau de importância: críticas, alta criticidade, média criticidade e baixa criticidade. As brechas de segurança consideras mais graves, as críticas, são aquelas que podem levar ao comprometimento em larga escala da infraestrutura de TI e respondem por 11% das falhas de infraestrutura identificadas no período. Problemas desse nível podem acabar causando grandes danos financeiros e de reputação a empresas, já que são facilmente exploradas por cibercriminosos.
“O fato de 92% das vulnerabilidades críticas de infraestrutura serem relacionadas a falhas de updates mostra que as equipes de TI brasileiras ainda têm uma grande dificuldade na atualização de aplicaçães, algo que tem relação com o problema da complexidade no ambiente de Tecnologia da Informação, principalmente nas grandes companhias”, afirma Leonardo Militelli, sócio-diretor da iBLISS.
Segundo o relatório, a maioria das brechas desse tipo diz respeito à ausência de pacotes de atualização críticos de aplicaçães, como Apache, VMware e Windows ou ao uso de versães que não são mais suportadas pelos fabricantes. Por esse motivo, muitas correçães de segurança que eliminariam as aberturas acabam não sendo aplicadas.
“No Brasil, é fácil encontrar empresas usando softwares sem suporte em processos de negócio críticos. O melhor exemplo que temos são os caixas eletrónicos, que ainda usam o Windows XP, software da Microsoft que deixou de receber suporte em abril de 2014”, afirma Militelli. O estudo da iBLISS encontrou nas companhias brasileiras quase 18.500 vulnerabilidades, das quais 69% foram consideradas críticas, de alta criticidade ou de média criticidade. Vale ressalta que 5% das vulnerabilidades relacionadas à desatualização de aplicaçães correspondem a falhas de OpenSSL que permitem o acesso a informaçães sensíveis por meio de bugs diretamente ligados ao Heartbleed, brecha que se tornou famosa mundo afora em 2014.
