Consumidores acreditam que empresas devem pagar por dados pessoais roubados em ataques

Para a maioria dos consumidores entrevistados em uma pesquisa da Veritas Technologies, as empresas invadidas por ataques de ransomware não deveriam ceder aos hackers e pagar pelo resgate dos dados roubados da empresa. Entretanto, quando os seus próprios dados pessoais estão em jogo, os respondentes acreditam que as empresas devam se render aos criminosos e pagar, em média, US$ 1.167 por usuário afetado.

Com os recentes ataques de grande visibilidade atingindo centenas de milhares de registros de usuários, a expectativa é que as empresas deveriam pagar centenas de milhões de dólares, na esperança de ter os dados roubados, devolvidos. No entanto, isso está além do custo para as empresas em tempo de inatividade, reputação da marca e confiança do cliente.

Aproximadamente 71% dos 12.000 entrevistados no estudo acham que as empresas devem enfrentar os hackers que exigem dinheiro e se recusar a pagar os resgates. Quando perguntados quanto eles queriam que seus fornecedores pagassem a um invasor, no caso de que seus próprios dados fossem comprometidos, eles avaliaram um valor por tipo de dado roubado, chegando a uma média de US$ 1.167 por usuário.

As informações mais valiosas para os consumidores, e os valores que eles associam a cada tipo de dado, segundo a pesquisa, são:

• Finanças Pessoais, US$ 1.687;
• Dados de crianças/filhos, US$ 1.587;
• Registros Governamentais, US$ 1.491;
• Prontuários Médicos, US$ 1.344;
• Dados Pessoais em Nuvem, US$ 1.336;
• Credenciais de Usuários, US$ 1.128;
• Webmail, US$ 1.062;
• Registros de Clientes, US$ 959;
• Mídias Sociais, US$ 886;
• Dados Pessoais Básicos US$ 886;
• Perfil de Namoro/Mensagens, US$ 873;
• Listas de Reprodução/Streaming de Vídeo, US$ 761.

Além disso, 65% afirmam que eles deveriam ser pessoalmente recompensados, caso a empresa não consiga recuperar as informações que foram roubadas.

“Embora possa inicialmente parecer que as empresas não podem saber se pagam ou não, elas estão realmente recebendo uma mensagem clara dos consumidores: as pessoas querem que seus provedores escapem do dilema de pagar ou não pagar, evitando a situação em primeiro lugar. Nossa pesquisa mostra que, se as empresas querem agradar seus clientes, elas precisam se preparar para um ataque e estar prontas para se recuperar dele – então, se o pior acontecer, eles estarão preparados para adotar procedimentos de recuperação, sem a necessidade de pagar”, afirma Simon Jelley, Vice-presidente de Gerenciamento de Produtos da Veritas Technologies.

A maioria dos respondentes (79%) acha que as empresas deveriam ter softwares de proteção para evitar os ataques, enquanto 62% acham que as organizações deveriam ter cópias de backup de seus dados. As empresas que adotaram essas tecnologias são geralmente consideradas mais capazes de responder a ataques de ransomware, uma vez que, normalmente, podem prevenir um ataque ou restaurar seus dados com segurança sem precisar pagar as demandas dos invasores, de acordo com o relatório.

“No passado, ransomware era algo que só afetava algumas pessoas desprotegidas que foram forçadas a pagar algumas centenas de dólares para recuperar o acesso aos seus laptops bloqueados. Hoje em dia, é uma indústria multibilionária, à medida que os criminosos cibernéticos, cada vez mais, visam organizações vulneráveis. Os custos não param com o pagamento do resgate; nossa pesquisa também mostrou que as pessoas querem ver multas e compensações. Além disso, há o enorme custo de colocar o negócio de volta nos trilhos, com tempo de inatividade, perda de produção, e desafios para entregar ou para faturar produtos. Como resultado, estima-se que os custos de dano, globalmente, excedam os US$ 11,5 bilhões anuais, e isso não leva em conta o custo de danos à reputação da marca de uma empresa”, completa Jelly.

Algumas descobertas do estudo que podem ser alarmantes para alguns CEOs. De acordo com o relatório, 40% dos consumidores consideram o líder da organização responsável pelos ataques. Destes:

• Cerca de 23% disseram que o CEO deve enfrentar uma sentença de prisão;
• Perto de 30% acreditam que o CEO deve ser proibido de dirigir empresas no futuro;
• 35% apontaram que o CEO deveria pagar uma multa;
• 27% que o CEO deveria renunciar;
• 25% indicaram que o CEO deve ter um corte salarial ou ser rebaixado;
• 42% disseram que o CEO deveria se desculpar publicamente.

“Concordamos com o público quando se trata de não pagar o resgate. Pagar pode muitas vezes propagar o problema e fornecer aos atacantes mais recursos para continuar desenvolvendo ataques mais frequentes e avançados. Além disso, os hackers normalmente deixam vulnerabilidades nos dispositivos das empresas que pagaram, permitindo que eles voltem para exigir novos valores. E, as empresas optando por pagar a extorsão ou não, o custo real do ransomware é o tempo de inatividade, perda de produtividade e danos à reputação. Acreditamos que é muito melhor, então, ter tentado e testado a solução de proteção de dados em vigor antes que os hackers venham com suas demandas”, conclui Jelley.

A pesquisa global entrevistou consumidores da China, França, Alemanha, Japão, Reino Unido e Estados Unidos.