A IBM Security anunciou os resultados de um estudo global que examina o impacto financeiro das violações de dados, revelando que uma violação custa, na média global, US$ 3,8 milhões para as companhias, e contas comprometidas de funcionários foram a causa mais cara. Ao analisar as violações de dados sofridas por mais de 500 organizações pelo mundo, 80% dos incidentes estudados resultaram na exposição das informações de identificação pessoal de clientes (PII). Entre todos os tipos de dados expostos nessas violações, as informações pessoais de cliente também foram as mais caras para as empresas.
O relatório aponta as perdas financeiras que as organizações podem sofrer caso dados sejam comprometidos, à medida que companhias acessam cada vez mais dados sensíveis por meio do trabalho remoto e operações de negócios na nuvem. Um outro estudo da IBM descobriu que mais da metade dos funcionários que começaram a trabalhar em casa devido à pandemia não recebeu novas orientações sobre como lidar com as informações pessoais de cliente.
Patrocinado por IBM Security e conduzido pelo Instituto Ponemon, o Relátorio de Custo da Violação de Dados 2020 (Cost of Data Breach 2020) é baseado em entrevistas realizadas com mais de 3.200 profissionais de segurança em organizações que sofreram alguma violação de dados durantes o último ano. Algumas das principais descobertas do relatório incluem:
· Tecnologia inteligente reduz custo de violações pela metade: empresas que implementaram tecnologias de automação de segurança (que utilizam IA, análise de dados e orquestração automatizada para identificar e responder aos eventos de segurança) tiveram menos da metade dos custos de violação de dados quando comparadas às que não implementaram essas ferramentas – US$2,45 milhões vs US$6,03 milhões, em média.
· Pagamento pelas credenciais comprometidas: em incidentes nos quais atacantes acessam a rede das corporações usando credenciais comprometidas ou roubadas, as empresas viram o custo de violação de dados ser quase US$1 milhão mais alto em comparação à média global, chegando a US$4,77 milhões por violação. Ataques maliciosos, que exploram a vulnerabilidade de terceiros, foi a segunda origem com maior custo (US$4,5 milhões) para esse grupo.
· Custo de mega violações aumenta aos milhões: os custos das chamadas mega violações, nas quais mais de 50 milhões de registros são comprometidos, subiram de US$388 milhões para US$392 milhões. Violações nas quais 40 – 50 milhões de registros foram expostos custaram para as empresas US$364 milhões em média, um aumento de US$19 milhões comparado ao relatório de 2019.
· Ataques de estado-nação (nation-state) – a violação mais prejudicial: as violações de dados que possam ter sido originadas dos ataques de estado-nação foram as mais caras em comparação com outros atores de ameaças examinados no relatório. Conhecidos como "state-sponsored attacks", esses ataques tiveram uma média de U$4,43 milhões em custo de violação de dados, superando os cibercriminosos financeiramente motivados e os hackativistas.
"Quando se trata da capacidade de mitigar o impacto de uma violação de dados, estamos começando a ver uma clara vantagem de empresas que investiram em tecnologias automatizadas", disse Wendi Whitmore, vice-presidente de IBM X-Force Threat Intelligence. "Em um momento em que as empresas estão expandindo sua presença digital a um ritmo acelerado e a falta de skills no setor de segurança persiste, as equipes podem ficar sobrecarregadas ao proteger mais dispositivos, sistemas e dados. A automação da segurança cibernética pode ajudar a resolver essa carga, permitindo uma resposta mais rápida à violação e significativamente mais econômica."
Credenciais de funcionários e nuvens configuradas incorretamente: ponto de entrada preferido dos atacantes
Credenciais roubadas ou comprometidas e nuvens com configurações incorretas foram as causas mais comuns de violações maliciosas para as companhias que participaram do estudo, representando aproximadamente 40% dos incidentes. Com mais de 8,5 bilhões de registros expostos em 2019 e atacantes usando emails e senhas previamente expostos em uma a cada cinco violações estudadas, as empresas estão repensando sua estratégia de segurança pela adoção da abordagem de confiança-zero (zero trust) – reexaminado como eles autenticam os usuários e como a extensão de acesso aos usuários são concedidos.
Similarmente, a luta das empresas com a complexidade da segurança – o principal fator de custo de violações – está contribuindo para que as configurações incorretas de nuvem se tornem um desafio de segurança crescente. O relatório de 2020 revelou que os atacantes usaram as configurações incorretas de nuvem para violar as redes em 20% do tempo, aumentando o custo de violações para US$4,41 milhão em média.
Tecnologias avançadas de segurança ajudam os negócios
O relatório destaca a crescente divisão no custo de violações entre empresas que implementaram tecnologias avançadas de segurança e aquelas que estão atrasadas, revelando uma diferença de economia de US$3,58 milhões para companhias com automação de segurança totalmente implementada versus aquelas que ainda não implementaram este tipo de solução.
As empresas participantes do estudo que contavam com automação de segurança totalmente implementada também relataram um tempo de resposta significativamente mais curto às violações, outro fator-chave mostrado para reduzir os custos de violação na análise. O relatório constatou que inteligência artificial, machine learning, análise de dados e outras formas de automação de segurança permitiram às empresas responder a violações até 27% mais rápido do que as empresas que ainda não implantaram a automação de segurança.
A preparação para resposta a incidentes também continua influenciando fortemente as consequências financeiras de uma violação. Empresas que não possuem uma equipe designada ou testes de planos de resposta a incidentes sofrem em média com um custo de US$5,29 milhões em violação, enquanto as empresas que possuem equipes dedicados, testes e simulações sofrem menos de US$2 milhões em custo de violações. Isso reafirma que a preparação e a prontidão geram um ROI significativo em segurança cibernética.
Alguns itens adicionais do relatório desse ano incluem:
· Riscos do trabalho remoto têm um preço – Com modelos de trabalho híbrido criando ambientes menos controlados, o relatório descobriu que 70% das empresas que adotaram o teletrabalho em meio à pandemia esperam que os custo de violações de dados se agravem.
· CISOs culpados pelas falhas por violações, apesar do poder limitado de tomada de decisão: 46% dos entrevistados disseram que o CISO/CSO é responsabilizado pelas violações, apesar de apenas 27% afirmarem a tomada de decisão sobre a política de segurança e tecnologia vem do CISO/CSO. O relatório concluiu que a nomeação de um CISO foi associada com uma de economia de US$145.000 versus a média de custo por violação.
Tendências regionais e por indústria
· O estudo analisou o custo de violações de dados em diferentes indústrias e regiões, descobrindo que as violações de dados nos Estados Unidos são muito mais caras, custando US$8,64 milhões em média.
· No Brasil, o custo médio da violação de dados é de R$5,88 milhões (cerca de US$1,12 milhão), um aumento de 10,5% em relação ao ano anterior comparando o valor em reais (R$ 5,32 milhões em 2019). O estudo também observou um aumento no número de dias para identificar a violação de dados, que subiu de 250 para 265, e para conter a violação, que cresceu de 111 para 115 dias, em comparação a 2019.
· Globalmente, a indústria de saúde continua apresentando os mais altos custos médios de violação, com US$ 7,13 milhões – um aumento de mais de 10% em comparação com o estudo de 2019.
Sobre o Estudo
O Relatório de Custo da Violação de Dados anual é baseado em análises profundas de violação de dados reais, que ocorreram entre agosto de 2019 e abril de 2020, levando em conta centenas de fatores incluindo atividades legais, regulatórias e técnicas para a perda do valor de marca, consumidores, e produtividade dos funcionários.