Estudo revela lacunas de segurança em todas as fases do ciclo de vida dos dispositivos

A HP publicou um novo relatório que destaca as implicações de longo alcance para a cibersegurança do facto de não se protegerem os dispositivos em todas as fases do seu ciclo de vida. As conclusões mostram que a segurança da plataforma – que protege o hardware e o firmware de PC, computadores portáteis e impressoras – é frequentemente negligenciada, enfraquecendo a postura de cibersegurança nos próximos anos.

O relatório, baseado num estudo global com mais de 800 decisores de IT e de segurança (ITSDM) e mais de seis mil colaboradores que trabalham a partir de qualquer lugar (WFA), mostra que a segurança das plataformas é uma preocupação crescente, com 81% dos ITSDM a concordarem que a segurança do hardware e do firmware deve tornar-se numa prioridade para garantir que os atacantes não possam explorar dispositivos vulneráveis. No entanto, 68% referem que o investimento na segurança do hardware e do firmware é frequentemente ignorado no custo total de propriedade (TCO) dos dispositivos. Esta situação está a dar origem a problemas de segurança dispendiosos, despesas gerais de gestão e ineficiências a longo prazo.

Os resultados deste estudo mostram que 34% dos ITSDM dizem que um fornecedor de PC, portátil ou impressora falhou uma auditoria de cibersegurança nos últimos cinco anos, sendo que 18% dizem que a falha foi tão grave que rescindiram o contrato. 60% dos ITSDM afirmam que a falta de envolvimento das IT e da segurança na aquisição de dispositivos coloca a organização em risco. Ao mesmo tempo, mais de metade (53%) dos ITSDM afirmam que as palavras-passe da BIOS são partilhadas, utilizadas de forma demasiado generalizada ou não são suficientemente fortes. Além disso, 53% admitem que raramente alteram as palavras-passe do BIOS durante a vida útil de um dispositivo.

Mais de 60% dos ITSDM não efetuam atualizações de firmware assim que estas estão disponíveis para computadores portáteis ou impressoras. Outros 57% dos ITSDM dizem que têm FOMU (Fear Of Making Updates) em relação ao firmware. No entanto, 80% acreditam que o aumento da IA significa que os atacantes irão desenvolver exploits mais rapidamente, o que torna vital uma atualização rápida. Diz o relatório, também, que todos os anos, os dispositivos perdidos e roubados custam às organizações um valor estimado em 8,6 mil milhões de dólares. Um em cada cinco funcionários da WFA perdeu um PC ou teve um roubado, levando em média 25 horas antes de notificar a IT. Por fim, quase metade (47%) dos ITSDM afirma que as preocupações com a segurança dos dados são um grande obstáculo quando se trata de reutilizar, revender ou reciclar PC ou computadores portáteis, enquanto 39% afirmam que é um grande obstáculo para as impressoras.

“A compra de PC, computadores portáteis ou impressoras é uma decisão de segurança com impacto a longo prazo na infraestrutura de terminais de uma organização. A priorização, ou falta dela, dos requisitos de segurança de hardware e firmware durante a aquisição pode ter ramificações ao longo de toda a vida útil de uma frota de dispositivos - desde o aumento da exposição ao risco, ao aumento dos custos ou à experiência negativa do utilizador - se os requisitos de segurança e de capacidade de gestão forem definidos como demasiado baixos em comparação com o estado da arte disponível”, adverte, em comunicado, Boris Balacheff,  Chief Technologist de Security Research e Innovation na HP Inc.

Os resultados do estudo da HP Wolf realçam a necessidade crescente de o IT e a segurança fazerem parte do processo de aquisição de novos dispositivos, para definir os requisitos e verificar as declarações de segurança dos fornecedores. 52% dos ITSDM afirmam que as equipas de aquisição raramente colaboram com as TI e a segurança para verificar as declarações de segurança do hardware e do firmware dos fornecedores. Já 45% dos ITSDM admitem que têm de confiar que os fornecedores estão a dizer a verdade, uma vez que não dispõem de meios para validar as declarações de segurança de hardware e firmware nos RFP. Também 48% dos ITSDM dizem mesmo que as equipas de aquisição são como “cordeiros para o matadouro”, pois acreditam em tudo o que os fornecedores dizem.

Os profissionais de IT também estão preocupados com as limitações da sua capacidade de integrar e configurar dispositivos até ao nível do hardware e do firmware sem problemas. 78% dos ITSDM querem que a integração sem contacto através da nuvem inclua a configuração de segurança do hardware e do firmware para melhorar a segurança. 57% dos ITSDM sentem-se frustrados por não serem capazes de integrar e configurar dispositivos através da cloud. Quase metade (48%) dos trabalhadores da WFA que tiveram um dispositivo entregue em casa queixaram-se de que o processo de integração e configuração foi perturbador.