As brechas de segurança relacionadas à desatualização de componentes responderam por 92% das vulnerabilidades críticas de infraestrutura identificadas em empresas brasileiras nos últimos 12 meses, de acordo com o Relatório de Ameaças 2016 da iBLISS. Em entrevista à Abranet, Leonardo Cavallari Militelli, diretor-executivo e fundador da empresa de segurança da informação iBLISS, explicou que a desatualização acontece tanto por desconhecimento do problema por parte das empresas e pessoas, quanto por negligência do risco e pela dificuldade em se encontrar as janelas no meio da operação para se aplicar as correções. As atualizações que os fabricantes colocam à disposição dos usuários podem ser acrescentar novas funcionalidades e também ser correções de segurança. “Muitas empresas não aplicam as atualizações dos sistemas operacionais ou de componentes. Hoje existem muitas empresas que têm falhas que são conhecidas há mais de 180 dias”, ressaltou Militelli. Uma das razões, disse o especialista, está ligada ao uso de sistemas que foram descontinuados. “Há casos que o patch não pode ser aplicado por incompatibilidade do sistema, como alguns caixas eletrônicos usando Windows XP, que foi descontinuado”, exemplificou.   Foram encontradas, ao todo, quase 18.500 vulnerabilidades, das quais 20% são críticas e de alta criticidade. De acordo com a empresa, falhas como estas representam a maior ameaça, pois, se forem exploradas, causarão os maiores danos ao negócio. Além disso, quase metade das vulnerabilidades (49%) foi classificada como de média criticidade, gerando um cenário de 69% de falhas que tem impacto relevante e podem causar danos significativos aos negócios. Entre as falhas de alta criticidade, por exemplo, 61% correspondem a vulnerabilidades que permitem o acesso remoto à rede, erro que pode levar ao roubo de dados e à paralisação de processos fundamentais. Além disto, segundo o relatório, quase 70% das vulnerabilidades encontradas nos últimos 12 meses podem causar danos significativos ao negócio. O estudo mostrou ainda que 5% das vulnerabilidades envolvendo desatualização de sistemas correspondem a falhas de OpenSSL que permitem o acesso a informações sensíveis por meio de bugs diretamente ligados ao Heartbleed, uma falha de segurança divulgada desde 2014. O Relatório de Ameaças 2016 da iBLISS também apontou que os setores de internet, cartões e financeiro são os que contam com a maior porcentagem de vulnerabilidades críticas, de alta criticidade e média criticidade. O setor de internet se destacou pelas vulnerabilidades de média criticidade, especialmente as falhas de configuração em aplicações web. O estudo teve como base pesquisas realizadas em mais de 70 empresas de diversos setores, incluindo cartões, esportes, e-commerce, finanças, indústria, internet, logística, seguros, tecnologia, telecomunicações e varejo no último ano, classificando as vulnerabilidades de acordo com o grau de criticidade em quatro níveis: críticas, alta criticidade, média criticidade e baixa criticidade.