Indústria desportiva cada vez mais na mira de ciber ataques

O Adversário Oculto – Especialistas globais em Cibersegurança da NCC Group, Phoenix Sport & Media Group (PSMG) e Oxford Researchers Strategy Consultancy (Universidade de Oxford) divulgam nova pesquisa sobre ameaças cibernéticas no desporto, revelando uma necessidade premente de medidas reforçadas.

Crescente complexidade tecnológica, aumento exponencial da receita e impreparação em termos de recursos humanos e tecnológicos tornam a indústria do desporto num dos alvos mais apetecíveis para os ciber criminosos em todo o mundo, correndo maior risco de ataques e incidentes do que outros setores.

A indústria global desportiva, com receitas estimadas superiores a 700 mil milhões de dólares em 2026, está a tornar-se um alvo cada vez mais atrativo para os ciber criminosos em todo o mundo devido às suas enormes receitas e rápida transformação digital. Esta é a principal conclusão do mais recente estudo da NCC Group, em parceria com a Phoenix Sport & Media Group (PSMG) e a Universidade de Oxford, intitulado O Adversário Oculto: Ameaças Cibernéticas no Desporto. Baseado em informações reunidas junto de stakeholders chave do desporto, incluiu entrevistas a gestores de TI e segurança no futebol, fórmula 1, rugby e ténis para discutir a sua abordagem aos riscos e as medidas de proteção implementadas.

De acordo com o relatório, das tecnologias de monitorização da saúde dos atletas à integração de tecnologia inteligente nos estádios, a expansão da transformação digital na indústria desportiva aumenta significativamente a sua vulnerabilidade a ciber ataques. Muitas organizações não dispõem do conhecimento e dos recursos para contra-atacar estas ameaças. O mundo do desporto tem uma enorme necessidade de medidas de cibersegurança para garantir a longevidade numa era crescentemente digital e conectada.

A investigação produziu informações sobre as ameaças à cibersegurança que o desporto enfrenta e sobre o que pode ser feito para melhorar a maturidade nesta área e a proteção das suas organizações, colaboradores, desportistas, adeptos e espectadores. Em comparação com outros setores (particularmente os que são altamente regulados), o desporto está em fases muito iniciais de maturidade cibernética, lutando para acompanhar o ritmo da tecnologia, o cenário de ameaças e a natureza dinâmica do desporto em geral.

As entrevistas identificaram várias preocupações de cibersegurança. No geral, existem baixos níveis de maturidade em cibersegurança e abordagens desatualizadas entre equipas e clubes. Há uma alarmante falta de funções de TI e cibersegurança em toda a indústria, com Chief Information Security Officers (CISO) pouco comuns, o que significa uma falta de funções dedicadas a proteger contra ataques cibernéticos.

A pesquisa refletiu também a falta de recursos financeiros, com os entrevistados a considerar que convencer os conselhos de administração a investir em cibersegurança era desafiador, mesmo nos casos em que os riscos específicos tinham sido identificados, o que constitui um contraste profundo entre o elevado desempenho destas estruturas e a sua baixa maturidade em cibersegurança.

Os entrevistados revelaram-se profundamente apreensivos com diversas ameaças cibernéticas potenciais contra as suas organizações e com os danos financeiros e a reputação resultantes de qualquer incidente. As preocupações incluiram ransomware, roubo de dados, ataques contra estádios e locais conectados e o potencial impacto na segurança dos jogadores e espectadores, ameaças internas devido a procedimentos de verificação limitados e até espionagem rival, realizada através de atividades cibernéticas.

Fora das preocupações organizacionais, alguns entrevistados salientaram as grandes pegadas digitais de desportistas de alto nível e como, devido à sua grande presença online, podem estar expostos a várias ameaças cibernéticas, incluindo sequestro de contas de redes sociais, bullying cibernético e comprometimento geral de contas de e-mail/laptops na tentativa de obter informações confidenciais, pessoais, de saúde e/ou financeiras. Como tal, alguns consideraram que as organizações desportivas podem ter um dever cibernético de cuidar dos seus desportistas, e que a formação e a orientação adequadas devem ser fornecidas aos desportistas para ajudá-los a estar seguros e protegidos online.

“São frequentes as administrações que pensam que um software antivírus básico e algumas firewalls são suficientes para a defesa das suas organizações, realçando uma compreensão desatualizada das necessidades modernas de segurança”, adianta o relatório.

Neste sentido, a NCC Group apresenta 10 recomendações essenciais para garantir a ciber segurança das organizações desportivas:

  1. Limitações de Recursos e Consciencialização da Administração: Um dos maiores desafios é a limitação de profissionais de TI e segurança cibernética. As organizações desportivas precisam de enfatizar a importância da cibersegurança ao nível do conselho de administração e garantir uma alocação adequada de orçamento para contrariar eficazmente os riscos.
  2. Sobredependência no Seguro Cibernético: Embora o seguro seja importante, os clubes devem ter cuidado para não negligenciar a implementação de medidas proativas de segurança cibernética. A exclusiva dependência do seguro cibernético não impedirá ataques nem protegerá a reputação.
  3. Banchmarking da Indústria: As organizações desportivas carecem de um benchmark padrão para práticas de cibersegurança, ao contrário de setores como banca e saúde. Isto torna difícil avaliarem a sua própria maturidade de segurança em comparação com os seus pares. A colaboração e o networking são chave.
  4. Evolução das Tecnologias e do Contexto de Ameaças: Os rápidos avanços tecnológicos e o crescimento (como a promoção do clube) podem desafiar a infraestrutura de segurança. Há uma necessidade de avaliação e adaptação contínuas para gerir esses desafios.
  5. Avaliação de Parceiros e Fornecedores: Com muitos clubes a dependerem de terceiros, estabelecer critérios claros para garantia de segurança pode mitigar potenciais vulnerabilidades.
  6. Preocupações com Ransomware: O receio de ransomware no mundo do desporto, especialmente através de ataques de phishing, é significativo. Proteger-se contra esses ataques requer defesas robustas, incluindo práticas seguras em ambientes de BYOD (Bring Your Own Device).
  7. Governança e Normas de Segurança Cibernética: Implementar estruturas reconhecidas de governança de cibersegurança, como um Sistema de Gestão de Segurança da Informação, é fundamental. O cumprimento de normas internacionais, como a ISO-27001, pode guiar esses esforços.
  8. Formação: Os clubes necessitam de formação mais intensiva e frequente em segurança cibernética para os colaboradores, incluindo simulações de ataques para prepará-los para cenários reais e aumentar a consciencialização, especialmente nos níveis de gestão de topo.
  9. Capacidade de Resposta a Incidentes: As organizações devem estar preparadas com procedimentos e rápido acesso a suporte qualificado de entidades externas no caso de violações de segurança. Ter um plano de resposta a incidentes e testar frequentemente os controlos de segurança é crucial.
  10. Integração da Segurança Física e Cibernética: A integração da segurança física e cibernética em locais desportivos, dada a sua sofisticação tecnológica, é vital. Compreender e proteger todos os sistemas conectados, incluindo os de terceiros, é muito importante para reduzir a vulnerabilidade e o risco.

A propósito da pesquisa, Matt Lewis, Global Head of Research da NCC Group disse: “Vimos a indústria desportiva tornar-se um alvo cada vez mais atrativo para ataques de cibersegurança nos últimos anos. A partir das conversas com profissionais da indústria como parte desta pesquisa, está claro que há um desfasamento entre a perceção e a realidade do risco atual da indústria. Esperamos que o relatório forneça tanto clareza sobre as vulnerabilidades enfrentadas pela indústria, quanto soluções práticas que podem ser implementadas para melhorar a forma como a indústria previne e se prepara para potenciais ciberataques. Implementar as estratégias e recursos delineados no relatório pode ajudar a preservar a reputação da marca, confidencialidade da informação e integridade dos jogadores e organizações da indústria”.

Carly Barnes, CEO do Phoenix Sport & Media Group acrescentou que “O poder financeiro do setor desportivo torna-o um alvo principal para criminosos cibernéticos. Estamos orgulhosos por termos trabalhado em conjunto com a NCC Group e a Oxford Researchers Strategy Consultancy (Universidade de Oxford) para produzir este estudo único e valioso. A força da experiência global em cibersegurança da NCC Group, a excelência em pesquisa da Oxford Researchers Strategy Consultancy e o profundo conhecimento e experiência global no desporto da Phoenix Sport & Media Group estão combinados para fomentar a troca de conhecimento no mais alto nível e, juntos, ajudar a construir a resiliência cibernética no setor”.

Download do relatório em:

https://www.nccgroup.com/media/zugjppis/cyber-threats-in-sport-whitepaper_final.pdf