A IBM Security anuciou os resultados de um estudo global que analisou o impacto financeiro das violações de dados, revelando que esses incidentes custam às empresas, em média, 3,86 milhões de dólares por violação e que contas de email comprometidas são o factor de maior peso.
Com base numa análise aprofundada das violações de dados sofridas por mais de 500 organizações em todo o mundo, “constatou-se que 80% desses incidentes resultaram na exposição de informações de identificação pessoal (PII) dos clientes”. De todos os tipos de dados expostos nestas violações, “as PII dos clientes foram também as que tiveram maior custo para as empresas”.
À medida que as empresas acedem cada vez mais de forma remota a dados confidenciais, o relatório evidencia as perdas financeiras que as organizações podem sofrer, caso esses dados venham a ser comprometidos. Um outro estudo da IBM constatou que mais de metade dos colaboradores que só começaram a trabalhar a partir de casa devido à pandemia, não recebeu novas directrizes sobre como lidar com informações pessoais de clientes, apesar das alterações nos modelos de risco associados a esta mudança.
Patrocinado pela IBM Security e conduzido pelo Ponemon Institute, o “2020 Cost of a Data Breach Report” é baseado em entrevistas detalhadas a mais de 3.200 profissionais de segurança em organizações que sofreram uma violação de dados durante o ano passado. Algumas das principais conclusões do relatório deste ano incluem:
· Tecnologia inteligente reduz os custos em metade: as empresas que implementaram tecnologias de automação de segurança (que utilizam IA, analítica e orquestração automatizada para identificar e responder a eventos de segurança) tiveram menos de metade dos custos com violação de dados em comparação com as que não possuíam essas ferramentas – em média, 2,45 milhões de dólares contra 6,03 milhões de dólares.
· Pagar um resgate por credenciais comprometidas: nos incidentes em que os cibercriminosos acederam a redes corporativas utilizando credenciais roubadas ou comprometidas, as empresas apresentaram custos com violações de dados mais elevados em quase 1 milhão de dólares quando comparados com a média global – alcançando os 4,77 milhões de dólares por violação de dados. A exploração de vulnerabilidades de terceiros foi a segunda causa com custos mais elevados para violações maliciosas (4,5 milhões de dólares) para este grupo.
· Custos de mega-violações de dados aumentam em milhões: nos casos em que as violações de dados comprometeram mais de 50 milhões de registos, os custos aumentaram para 392 milhões de dólares em contrapartida aos 388 milhões registados no ano anterior. Violações de dados em que 40 a 50 milhões de registos foram expostos, custaram às empresas, em média, 364 milhões de dólares, um aumento de 19 milhões de dólares em comparação com o relatório de 2019.
“Quando se trata da capacidade das empresas de mitigar o impacto de uma violação de dados, começamos a verificar uma clara vantagem por parte de empresas que investiram em tecnologias automatizadas”, afirma Wendi Whitmore, Vice President, IBM X-Force Threat Intelligence. “Num momento em que as empresas estão a expandir a sua presença digital a um ritmo acelerado e a escassez de talentos no sector de segurança persiste, as equipas podem ficar sobrecarregadas ao assegurar mais dispositivos, sistemas e dados. A automação de segurança pode ajudar a resolver esta pressão, não só ao permitir uma resposta mais rápida a violações de dados, mas também uma resposta significativamente mais eficiente em termos de custos”.
Credenciais de colaboradores e Clouds mal configuradas – ponto de entrada preferido dos cibercriminosos
Credenciais roubadas ou comprometidas e configurações incorretas da cloud foram as causas mais comuns de uma violação maliciosa para as empresas, representando quase 40% destes incidentes.
Com mais de 8,5 mil milhões de registos expostos em 2019 e cibercriminosos que utilizam e-mails e passwords anteriormente expostos numa das cinco violações de dados estudadas, as empresas “devem repensar a sua estratégia de segurança através da adopção de uma abordagem de zero-trust (confiança zero) – reavaliando a forma como os utilizadores são autenticados e o nível de acesso atribuído aos mesmos”.
Da mesma forma, a dificuldade sentida pelas empresas perante a complexidade da segurança – um dos principais factores de custo das violações de dados – “está provavelmente a contribuir para que as configurações incorrectas da cloud se tornem num crescente desafio de segurança”.
O relatório de 2020 revelou que os cibercriminosos utilizaram configurações incorrectas da cloud para violar redes em quase 20% das vezes, aumentando os custos com violações de dados em mais de meio milhão de dólares, para 4,41 milhões em média – tornando-o no terceiro vector inicial de ataque com mais custos analisado no relatório.
Ataques patrocinados pelos Estados são os que mais afectam
Apesar de representarem apenas 13% das violações maliciosas analisadas, os agentes de ameaças patrocinados pelos Estados foram o tipo de adversário mais prejudicial, de acordo com o relatório de 2020.
A natureza altamente táctica, a longevidade e as manobras furtivas dos ataques apoiados por Estados, bem como o elevado valor dos dados alvo de ataque, geralmente resultam num maior comprometimento dos ambientes das vítimas, aumentando os custos de recuperação de violações de dados para uma média de 4,43 milhões de dólares.
Tecnologias avançadas de segurança provam ser inteligentes para o negócio
O relatório destaca a crescente divisão dos custos de violação de dados entre as empresas que implementaram tecnologias avançadas de segurança e as que estão atrasadas, revelando uma diferença na redução de custos de 3,58 milhões de dólares para as empresas com automação de segurança totalmente implementada em comparação com as que ainda não implementaram este tipo de tecnologia. A diferença nos custos cresceu 2 milhões de dólares, face a uma diferença de 1,55 milhões de dólares em 2018.
As empresas participantes neste estudo com sistemas de automação de segurança totalmente implementados, reportaram ainda um tempo de resposta a violações de dados significativamente menor, outro factor chave indicado na análise para reduzir custos com violações de dados.
O relatório constatou que IA, machine learning, analítica e outras formas de automação de segurança permitiram às empresas responder a violações de dados 27% mais rapidamente do que as empresas que ainda não implementaram automação de segurança – a última das quais exige, em média, 74 dias adicionais para identificar e conter uma violação.
A preparação para resposta a incidentes (RI) também continua a influenciar fortemente as consequências financeiras de uma violação. De acordo com o relatório, as empresas que não possuem uma equipa de RI nem testam planos de RI, têm , em média, 5,28 milhões de dólares em custos com violações de dados, enquanto as empresas que possuem uma equipa de RI e usam exercícios teóricos ou simulações de mesa para testar planos de RI, apresentam uma redução de custos com violações de dados de 2 milhões de dólares – reafirmando que a preparação e a capacidade de resposta gera um ROI significativo em cibersegurança.
Algumas conclusões adicionais do relatório deste ano incluem:
· Os riscos do trabalho remoto terão um custo – com modelos de trabalho híbridos que criam ambientes menos controlados, o relatório constatou que 70% das empresas analisadas e que adoptaram o teletrabalho devido à pandemia, esperam que isso agrave os custos com violação de dados.
· Chief Information Security Officer’s responsabilizados por violações de dados, apesar do seu limitado poder de tomada de decisão: 46% dos entrevistados referiram que o seu Chief Information Security Officer (CISO)/Chief Security Officer (CSO) foi, em última análise, responsável pela violação, apesar de apenas 27% afirmarem que o CISO/CSO é o responsável pela tomada de decisões em matéria de tecnologia e de política de segurança. O relatório constatou que a nomeação de um CISO estava associada a uma redução de custos de 145.000 dólares em comparação com o custo médio de uma violação de dados.
· Maioria das empresas com seguro cibernético faz reclamações devido a custos de terceiros: o relatório constatou que as violações de dados em organizações com seguro cibernético têm, em média, um custo de menos cerca de 200.000 dólares que a média global de 3,86 milhões. De facto, das organizações que utilizaram o seu seguro cibernético, 51% aplicaram-no para cobrir despesas com honorários de consultoria e serviços jurídicos prestados por terceiros, enquanto 36% das organizações o utilizaram para restituir custos às vítimas. Apenas 10% utilizaram o valor recebido para cobrir o custo com ransomware ou extorsão.
· Insights Regionais e do Sector: enquanto os EUA continuam a ter os custos mais elevados do mundo com violação de dados, em média 8,64 milhões de dólares, o relatório constatou que a Escandinávia teve o maior aumento homólogo nos custos com violação de dados, com um aumento de quase 13%. O sector da Saúde continua a incorrer nos custos médios mais elevados com violação de dados em 7,13 milhões de dólares – um aumento de mais de 10% em relação ao estudo de 2019.