Naturalmente, qualquer incidente relacionado à segurança cibernética em 2020 será atravessado pela pandemia de Covid-19. Essa crise sanitária, que acelerou a transformação digital, expandiu as superfícies de ataques corporativos e desviou recursos e a atenção de projetos de segurança que eram vitais. Quando observamos a edição de 2021 do estudo “Cost of a Data Breach Report” produzido pelo Ponemon Institute em conjunto com a IBM, que descobriu que os custos de violação de dados atingiram números ainda mais altos, é tentador responsabilizar a Covid-19; no entanto, a pandemia é apenas parte da história.
Independentemente do que aconteceu em 2020, o custo da violação de dados vem aumentando há vários anos. Embora o aumento do ano passado tenha sido excepcional, está claro que, apesar de muitas empresas investirem mais do que nunca em segurança, muitas organizações ainda não estão alcançando os resultados desejados.
Violações de dados em 2020
A 17ª edição do relatório fornece informações úteis sobre o desempenho das organizações em encontrar, conter e remediar incidentes, porque quanto mais tempo uma organização gasta até detectar uma violação, o custo geralmente é bem mais alto. Esses custos são atribuídos a quatro pontos principais:
- Detecção e escalonamento: incluindo análise forense, auditoria, gerenciamento de crise e comunicação.
- Perdas para os negócios: incluindo tempo de inatividade do sistema, interrupção dos negócios, perda de clientes e danos à reputação. Isso foi responsável pela maioria (38%) dos custos de uma violação de segurança neste ano.
- Notificação: às partes interessadas, reguladores e especialistas externos.
- Resposta após a violação de dados: incluindo problemas de helpdesk, monitoramento de crédito para clientes, emissão de novas contas/cartões de crédito, custos jurídicos, descontos em produtos e penalidades regulatórias.
No total, os custos de violações de dados aumentaram de US$ 3,86 milhões no relatório do ano passado para US$ 4,24 milhões, ou seja, houve um aumento de 10%. No caso das mega violações, com entre 50 e 65 milhões de registros, o custo médio foi de US$ 401 milhões, um aumento mais modesto de 2% com relação aos US$ 392 milhões em 2020.
De acordo com o estudo, as causas mais comuns de violações de dados foram o roubo de credenciais de usuários, enquanto os dados pessoais de clientes (incluindo senhas e nomes) foram os tipos de dados mais comumente expostos nesses incidentes, presentes em 44% das violações. Não é difícil ver a correlação: à medida que mais usuários compartilham e reutilizam senhas em várias contas, um ciclo vicioso começa a se formar em que os dados comprometidos são usados, por sua vez, para facilitar cada vez mais as invasões e os roubos de dados.
O impacto da pandemia
Não há absolutamente nenhuma dúvida de que a pandemia contribuiu com o aumento considerável dos custos de violações de dados desde o ano passado. O uso de dispositivos mal configurados para o teletrabalho, funcionários distraídos, equipe de TI preocupada e infraestrutura de trabalho remota não corrigida ou mal configurada levou a um aumento de violações e pode ter aumentado os custos desses incidentes. Quase 20% das organizações que fizeram parte do estudo disseram que o trabalho remoto foi um fator importante nas violações. Cada um desses incidentes custou em média US$ 4,96 milhões, quase 15% a mais que a média.
Também é verdade que o setor de saúde foi o que apresentou os custos mais altos. No último ano, os custos desse setor aumentaram a um ritmo superior à média, pois passaram de uma média de US$ 7,13 milhões em 2020 para US$ 9,23 milhões em 2021, valor que equivale a mais 29,5%. Não é por acaso que as organizações de saúde estavam entre as mais afetadas pelos ataques cibernéticos durante a pandemia.
Uma visão mais geral sobre os custos de violações
No entanto, a verdade é que os custos de violações de dados têm aumentado desde 2017, antes de uma ligeira queda em 2020. Os custos de mega violações também aumentaram de forma constante nos últimos três anos e não apresentaram um grande aumento entre 2020 e 2021. Por quê? Um fator importante é que as organizações não estão melhorando em detecção e resposta. Em 2021, as empresas afetadas demoraram em média 287 dias para identificar e conter uma violação de dados, uma semana a mais do que na edição anterior desse mesmo relatório. Esse número também tem aumentado continuamente desde 2017, por isso não pode ser explicado simplesmente pela pandemia, embora seja verdade que o crescimento do teletrabalho pode ter feito com que o descobrimento de ameaças se tornasse algo bem mais difícil.
Simplificando, quanto mais tempo os cibercriminosos têm permissão para operar sem controle dentro de uma rede vítima, mais danos eles podem causar e mais tempo e dinheiro serão necessários para expulsá-los e solucionar todos os problemas.
Por outro lado, ameaças como o ransomware, cuja atividade nos últimos anos também aumentou, também influenciou o crescimento dos custos de violações, embora não apenas durante 2020. As técnicas para realizar movimentos laterais de forma encoberta estão gerando maiores taxas de sucesso para os cibercriminosos. Neste ano, o custo médio dos ataques de ransomware é de US$ 4,62 milhões, superior ao custo médio de violações de dados.
De acordo com o relatório, o custo médio dos golpes do tipo Business Email Compromise (BEC) foi de US$ 5,01 milhões. Segundo o FBI, esse tipo de ataque representou mais perdas financeiras em 2020 do que qualquer outra ameaça. Portanto, a menos que as organizações encontrem melhores alternativas para prevenir o phishing e detectar quando estão sendo vítimas de fraudes, os custos de violações relacionadas ao BEC continuarão aumentando.
Como reduzir os custos de uma violação de dados
Há muitas informações presentes no relatório que as organizações e os responsáveis pela segurança digital podem usar proativamente para tentar reduzir as violações de dados e os custos associados. Como já era esperado, os custos foram muito mais baixos para as organizações com uma postura de segurança mais madura. Mas como fazer isso? Separamos algumas dicas:
- Implemente um modelo de segurança Zero Trust com base no princípio de “nunca confie, sempre verifique”. O custo médio de violações para as empresas e organizações que não implementaram um modelo de segurança Zero Trust foi de US$ 5,04 milhões, enquanto esse valor foi de US$ 3,28 milhões para aquelas empresas que estão em um estágio mais maduro de implementação desse modelo;
- Implemente a criptografia para os dados mais confidenciais. O custo médio de uma violação de dados sem criptografia foi US$ 4,87 milhões contra US$ 3,62 milhões com criptografia;
- Implemente ferramentas para monitorar e proteger todos os dispositivos conectados remotamente, incluindo as máquinas dos funcionários remotos;
- Potencialize o trabalho de educação e conscientização voltada para os funcionários a fim de melhorar a capacidade de detecção de ataques de phishing;
- Otimize a detecção e a resposta por meio de ferramentas como um EDR;
- Desenvolva e teste regularmente planos abrangentes de resposta a incidentes que permitam reagir rapidamente a um incidente.
A pandemia mudou para sempre a maneira como as empresas operam e reformulou o cenário de ameaças. Para garantir que os volumes e custos de violações de dados não continuem aumentando nos próximos anos, as organizações devem se adaptar à nova realidade, atualizando sua postura de segurança.