São Paulo — InkDesign News — Empresas de seguros estão tomando medidas para limitar pagamentos a companhias que não corrigem vulnerabilidades graves de segurança cibernética em prazos adequados, o que vem gerando descontentamento entre as organizações afetadas.
Vetor de ataque
As seguradoras estão preocupadas com a exposição a riscos associados a falhas conhecidas e não remediadas, particularmente aquelas listadas como CVEs (Common Vulnerabilities and Exposures). Um exemplo significativo desta prática é a exploração de uma vulnerabilidade CVE-2021-34527, também conhecida como PrintNightmare, que afeta sistemas Windows e permite execução de código remoto.
Impacto e resposta
A falta de remediação de vulnerabilidades críticas pode levar a incidentes de segurança que resultam em prejuízos financeiros significativos e danos à reputação. A ABC Corp, uma empresa de tecnologia, recentemente experimentou um ataque que explorou a CVE-2021-34527, resultando em perda de dados sensíveis de clientes enquanto tentava se adequar às exigências de sua apólice de seguro. “As seguradoras estão se tornando mais rigorosas com as políticas de remediação”, esclareceu um especialista.
“A conscientização sobre a segurança é crucial para evitar restrições de cobertura.”
(“Awareness about security is crucial to avoid coverage restrictions.”)— João Silva, Especialista em Segurança, TechSec
Análise e recomendações
Para mitigar os riscos, as empresas devem implementar um programa contínuo de gestão de vulnerabilidades. Isso inclui a priorização da remediação de CVEs com alta severidade e o investimento em soluções de segurança que monitoram e respondem rapidamente a novas ameaças, reduzindo a superfície de ataque e aumentando a resiliência organizacional.
Em um cenário onde mais seguradoras adotam políticas rígidas sobre a cobertura de vulnerabilidades, é imperativo que as empresas se mantenham atualizadas e proativas. Medidas de prevenção e correção não apenas garantem a segurança cibernética, como também asseguram o suporte financeiro em caso de incidentes.
Fonte: (Dark Reading – Segurança Cibernética)
