Apesar da elevada incidência de ciberataques, muitas organizações optam, deliberadamente, por não denunciar as violações de que são vítimas. É esta a conclusão de um novo relatório divulgado pela ISACA (Associação de Auditoria e Controle de Sistemas de Informação), que descobriu que cerca de metade das organizações deixam o cibercrime por reportar, mesmo quando a denúncia seria exigida. O relatório concluiu ainda que 75% das ocorrências são intencionalmente omitidas.

Para Frank Downs, diretor de cibersegurança da ISACA, existem duas razões principais para tal acontecer.

A primeira prende-se com a complexidade das leis. “Quando ocorre um cibercrime, são envolvidas variadas jurisdições, incluindo federal, local e internacional. Ainda não encontrei nenhum profissional de cibersegurança que estivesse a par de todas as leis e políticas que afetam a sua empresa”, afirma Downs. Para o diretor da ISACA, isto pode dar origem a situações “em que o cibercrime não é reportado, pois eles próprios não sabem o que se pode qualificar como crime e quem deve ser informado”.

O segundo motivo indicado é o medo. “Muitas pessoas e organizações viram o que acontece quando grandes incidentes são reportados, por isso temem que lhes aconteça uma situação semelhante”. Isto faz com que optem por não relatar o incidente, esperando que este passe despercebido e a sua imagem não seja afetada. Para Frank Downs, “isto nem sempre funciona, e muitas vezes a notícia acaba por vir a público mais tarde”.

O diretor da ISACA cita como exemplo o caso da Uber, que foi alvo de um ataque com ransomware em outubro de 2016 tendo optado por tentar encobrir o sucedido, pagando o resgate exigido pelos hackers.