Quando uma tentativa de ataque cibernético a uma empresa de capital aberto é bem-sucedida e vem a público, o efeito é instantâneo: o preço das ações da companhia cai vertiginosamente, não importa se a tendência anterior era de alta ou de baixa, e a queda média chega a 7,5% do valor, juntamente com uma perda média de capitalização de mercado que chega a US$ 5,4 bilhões, segundo estudo publicado pela Harvard Business Review em maio deste ano.
O que as análises gráficas desses casos mostram de ainda mais alarmante é que o impacto sobre o valor de mercado das empresas atacadas é não só de curto, como de médio prazo. Um levantamento deste mês, reunindo dados recentes de vários estudos internacionais, feito pelo Security Design Lab (SDL) – rede global de pesquisa e desenvolvimento de cibersegurança com operação na América do Sul e Europa – destaca que a maior queda nas ações ocorre não no primeiro ou segundo dia, mas geralmente no 59º dia após o ataque, segundo publicou em outubro de 2022 o Morningstar Sustainalytics e, um ano depois, 7 entre cada 10 empresas nessa situação ainda têm dificuldades em se recuperar e alcançar os níveis dos seus respectivos setores de atuação.
Segundo Paulo Moura, co-fundador do SDL na França, é notável a diferença na velocidade de recuperação ao se comparar o nível de conformidade das empresas com as melhores práticas, políticas de segurança e Lei Geral de Proteção de Dados. "Vemos que as que estão mais avançadas em medidas preventivas e reativas e investem mais em segurança cibernética e compliance mantiveram o ritmo de seu benchmark do setor um ano depois dos ciberataques.
Por outro lado, aquelas com menor nível de conformidade tiveram um desempenho significativamente inferior, com movimentos ascendentes tímidos. Os investidores ficam bem mais cautelosos para investimentos de longo prazo nessas companhias", afirma. Moura conta que, em média, o declínio máximo de empresas com baixo nível de conformidade chega a ser 62% maior em comparação ao grupo de empresas com altos índices de conformidade.
O SDL atua no mercado de cibersegurança como uma rede de colaboração entre entidades de pesquisa, centros de inovação, polos de competitividade, governos e empresas. Junto com a Associação Brasileira das Companhias Abertas (Abrasca), o SDL começou, no início de maio, a coleta de dados para a primeira pesquisa sobre cibersegurança entre as empresas de capital aberto do país.
O objetivo do Cyber Score é entender a maturidade de cada uma e apoiar as áreas técnicas e de compliance para disseminar a importância do tema entre os C-levels, Conselhos de Administração e Acionistas. O resultado poderá ajudar no desenvolvimento de políticas públicas em prol de mais segurança para as empresas e os investidores.
Empresas atacadas têm desempenho inferior à Nasdaq em 8,6% após um ano, diz SDL
Dados compilados pelo SDL mostram que as empresas que sofrem um incidente significativo de violação de dados apresentam desempenho inferior ao índice NASDAQ em 8,6% após um ano do incidente, sendo que essa diferença pode aumentar para 11,9% após dois anos.
Em outubro de 2022, o ataque cibernético sofrido pela Medibank (ASX:MPL) na Austrália resultou na suspensão da venda das ações por uma semana e, na retomada ao mercado, o preço despencou 15% e permanece bem abaixo do preço pré-ataque até hoje.
No Brasil, o Grupo Fleury (FLRY3), uma das maiores redes de laboratórios de exames do país, foi alvo de dois ataques, em 2021 e em maio de 2023, reportando queda de 12% no lucro líquido no 4T22. Horas após o incidente de 2021, os papéis apresentaram queda de 2,34%. No mesmo ano, as Lojas Renner (BVMF:LREN3) também foram alvos de ataques cibernéticos e queda logo depois do anúncio de 1,5%.
"O sequestro de dados pode impactar 26 vezes o tamanho do ecossistema de negócios de uma empresa. O que definitivamente é um desastre para ela, pode se tornar também para toda sua cadeia de suprimentos", enfatiza Flávia Brito, CEO da Bidweb, empresa especialista em cibersegurança. No caso do Fleury, o ataque ao seu sistema afetou não apenas a operação da companhia, que foi paralisada, como também a sua cadeia de suprimentos, em especial diversos hospitais que utilizam, prioritariamente, seus serviços.
Custo ou investimento?
De acordo com o último Relatório de Custo da Violação de Dados da IBM Security, em 2022, o custo médio global de uma violação atingiu US$ 4,35 milhões e continua aumentando. Essas despesas podem incluir desde pagamentos de resgate e perda de receitas até tempo de inatividade da empresa, honorários advocatícios, sem considerar os custos intangíveis, como reputação.
"Os custos de auditoria após um ciberataque podem ser 13,5% mais caros do que aqueles para empresas que não sofreram violações. Além disso, 60% das organizações que foram vítimas de violações de dados aumentaram os preços de seus produtos e serviços para tentar recuperar os prejuízos financeiros", reforça Cristiano Iop da Sikur.
A falta de segurança cibernética também pode resultar em rebaixamento da classificação de crédito, afetando a capacidade e o custo de uma empresa para garantir financiamento. Em 2018, a Moody's anunciou que avaliaria as práticas de segurança cibernética das empresas ao atribuir classificações de crédito. De fato, a gigante de avaliação de risco reduziu a classificação de crédito da Equifax em 2019 após o incidente cibernético que a empresa sofreu em 2017.
Dados do Cibercrime Global
Atualmente, os crimes cibernéticos custam à economia mundial mais de US$ 1 trilhão por ano, o que representa cerca de 1% do PIB global, de acordo com relatório elaborado pela McAfee Corp. e o Centro de Estudos Estratégicos e Internacionais (CSIS). Em casos de violações de dados, os custos médios estão atingindo recordes históricos, partindo do valor médio de US$ 4,35 milhões em 2022 para a perspectiva de ultrapassar US$ 5 milhões em 2023 (IBM Security). Em 2022, o Brasil foi o segundo país mais atingido da América Latina, com mais de 103 bilhões de tentativas de ataques cibernéticos, um aumento de 16% com relação a 2021, atrás apenas do México, que sofreu com 187 bilhões de tentativas (FortiGuard Labs).