Qual é o custo de uma violação de dados?

Custos de violação de dados podem durar anos, segundo novo estudo. Aqui está a análise dos custos e conselhos sobre como minimizá-los

Author Photo
6:30 pm - 14 de maio de 2020

Violações de dados e incidentes de segurança estão se tornando cada vez mais caros. A British Airways e a Marriott tiveram que adicionar US$ 100 milhões cada no custo final de seus incidentes, depois de terem cometido uma falta na Lei Geral de Proteção de Dados europeia.

Embora esses exemplos sejam extremos da escala, o impacto financeiro de sofrer uma violação de dados continua a aumentar ano após ano para empresas de todas as formas e tamanhos. O custo médio de uma violação de dados aumentou para US$ 3,92 milhões, de acordo com um novo relatório da IBM e do Ponemon Institute.

O relatório mostra um aumento de 1,6% nos custos em 2018 e um aumento de 12% nos últimos cinco anos. Isso inclui uma combinação de custos diretos e indiretos relacionados ao tempo e esforço para lidar com uma violação, oportunidades perdidas como rotatividade de clientes como resultado de má publicidade e multas regulatórias.

As violações de dados estão ficando maiores e mais caras

Globalmente, pouco menos de 30% das organizações provavelmente sofrerão pelo menos uma violação nos próximos 24 meses. As organizações dos EUA enfrentam os custos mais altos com uma média de US$ 8,19 milhões por violação, impulsionada por um complexo cenário regulatório que pode variar de estado para estado, especialmente quando se trata de notificação de violação. No Reino Unido, o número é ligeiramente inferior à média global, de US$ 3,88 milhões.

O tamanho médio da violação de dados agora é de 25.575 registros, um aumento de 3,9% em relação a 2018.O custo final por registro pode ser afetado por fatores relacionados à qualidade da organização e à reação de uma violação. Uma violação pode criar uma rotatividade de clientes de 3,4%, um pouco maior que no ano passado e sugerir que os clientes estão cada vez menos aceitando falhas de segurança.

Embora a perda de milhares de registros por vez esteja se tornando comum, as violações no nível do Equifax envolvendo milhões de registros ainda são relativamente raras. Segundo a IBM, uma “mega violação” de 1 milhão de registros pode custar a uma empresa US$ 42 milhões – contra US$ 40 milhões no ano passado – enquanto a perda de 50 milhões de registros pode custar a uma empresa US$ 388 milhões.

Dada a natureza altamente sensível e regulamentada dos dados que gerenciam, os setores financeiro e de saúde enfrentam, sem surpresa, os maiores custos por registro: até US$ 429 em assistência médica e US$ 210 em finanças. O nível de regulamentação desempenha um papel importante no que uma empresa pagará para se recuperar de uma violação de dados. Indústrias fortemente regulamentadas, como assistência médica e serviços financeiros, têm custos médios de US$ 6,45 milhões e US$ 5,86 milhões por incidente, enquanto indústrias menos regulamentadas, como varejo e hospitalidade, veem custos médios de incidentes inferiores a US$ 2 milhões.

“Com os registros de assistência médica, você realmente terá coisas como todo o histórico médico em alguns casos – o entendimento de que essa pessoa fez uma cirurgia no joelho no ano passado e passou por fisioterapia”, diz Wendi Whitmore, Diretor de Inteligência de Ameaças X-Force da IBM. “Você também, normalmente, obtém muitas informações adicionais de identificação pessoal, o mesmo tipo de informação que você obteria de um cartão de crédito”.

Resposta lenta a uma violação de dados aumenta custos

Tempo é dinheiro e ser lento para detectar e conter uma violação pode ser caro. De acordo com o relatório da IBM, agora são necessários 279 dias para identificar e conter uma violação, acima dos 266 registrados no ano passado. Respostas rápidas podem ser uma enorme economia de custos. As empresas capazes de detectar e conter uma violação em menos de 200 dias gastaram, em média, US$ 1,2 milhão a menos.

“Tempo realmente é dinheiro”, diz Whitmore. “Quanto mais tempo um invasor tiver em um ambiente, mais acesso terá a diferentes dispositivos, dados diferentes, contas diferentes e tudo o que precisamos para remover o acesso e limitar o impacto no futuro. Isso certamente aumenta o custo”.

As organizações alemãs e sul-africanas são as mais rápidas em encontrar e conter violações – combinadas por 170 e 226 dias, respectivamente – enquanto as empresas no Oriente Médio (381) e no Brasil (361) demoram mais tempo. As organizações de assistência médica, setor público e entretenimento demoram mais tempo para descobrir e conter uma violação – todas em média mais de 310 dias – enquanto os serviços financeiros, tecnologia e setores de pesquisa foram os mais rápidos na descoberta e correção.

Pela primeira vez, a IBM e Ponemon analisaram, este ano, a “cauda longa” das violações de dados e descobriram que as organizações estão pagando o preço de uma violação de dados pelos anos seguintes. Cerca de 67% do custo ocorre no primeiro ano, 22% nos próximos 12 a 24 meses e os 11% finais ocorrem mais de dois anos depois. Embora seja um exemplo extremo, a Equifax concordou recentemente em pagar US$ 575 milhões – potencialmente subindo para US$ 700 milhões – em um acordo com a Federal Trade Commission sobre a violação de dados de 2017.

“Muitas vezes os clientes aos quais respondemos veem uma violação de dados como esse custo único: vai ser um esforço enorme, mas, em seguida, voltamos aos negócios”, diz Whitmore. “Mas a realidade é de apenas 67% gastos durante o primeiro ano, com os 33% restantes incorridos nos próximos dois a três anos – coisas como monitoramento posterior ou monitoramento de crédito. Capital One, Equifax, se eles têm um grande número de registros de crédito de dados de clientes violados, eles são responsáveis por isso e isso se torna um custo contínuo”.

Regulamentos e multas

Com a introdução do GDPR e uma série de leis imitadoras aparecendo em todo o mundo, a conformidade está se tornando uma parte significativa do custo de uma violação. “Se você olhar apenas para os EUA, existem 52 leis estaduais de privacidade diferentes”, diz Whitmore. “Isso significa que, quando essas violações ocorrem muitas vezes, a maioria das empresas não tem pessoas especializadas em cada uma das equipes. Então, eles precisam contratar e terceirizar e garantir que estão incorrendo nesses custos”.

As empresas que não estão dispostas a pagar pela experiência para garantir a conformidade podem sofrer multas regulatórias, que estão se tornando cada vez mais íngremes. A cadeia de hotéis Marriott alegou originalmente que sua violação de dados em 2018 custou cerca de US$ 28 milhões, a maioria coberta pelo seguro da empresa. No entanto, em julho de 2019, a autoridade de proteção de dados do Reino Unido, a OIC, emitiu uma multa de US$ 124 milhões à empresa por falhas de conformidade com o GDPR. Uma multa ainda maior foi emitida à BA pela OIC na mesma semana. Com a ameaça de multas tão grandes, as empresas devem adotar uma atitude mais proativa em relação à privacidade dos dados para obter uma visão mais favorável dos órgãos reguladores.

“Prevemos que veremos mais e, provavelmente, aumentarão significativamente os custos, e acho que isso realmente mudará dramaticamente o cenário dos investimentos que as organizações fazem”, diz Whitmore. “Idealmente, isso significa que eles estão fazendo investimentos mais proativos, e realmente procurando se preparar, ensaiar e garantir que possam limitar o impacto da perda desses registros quando se trata desses tipos de violações”.

Impacto da violação de dados no preço das ações

Além dos custos de material, as empresas de capital aberto provavelmente também verão o valor de suas ações afetado por violações de dados. A Comparitech analisou o valor das ações das empresas na Bolsa de Valores de Nova York após 33 violações de dados de pelo menos 1 milhão de registros e constatou que as violações não costumam ter um longo impacto no valor da empresa.

Os preços das ações das empresas violadas atingiram o menor valor – cerca de 7,3% – em 14 dias de mercado após uma violação e tiveram um desempenho inferior na NASDAQ mais amplo, -4%. Embora seja provável que as empresas vejam o preço das ações se recuperando e até subam acima da média do mercado nos primeiros seis meses após uma violação, ainda é provável que tenham um desempenho inferior no NASDAQ, em -6,5%, 12 meses depois. Como exemplo recente, em novembro de 2019, as ações da Macy’s caíram 11% em um único dia após a divulgação de uma violação e sofreram um “incidente de segurança de dados altamente sofisticado e direcionado … que afetou um pequeno número de clientes durante o período de uma semana em outubro”. No entanto, até o final de dezembro daquele ano, o preço das ações da empresa havia se recuperado.

“As empresas que vazam dados altamente confidenciais, como números de cartão de crédito, incluindo a Macy’s, normalmente veem uma queda mais acentuada no preço das ações do que as empresas que vazam dados menos sensíveis”, diz Paul Bischoff, Advogado de Privacidade da Comparitech.

Como reduzir o custo da violação: tenha um plano de resposta

É um refrão comum que sofrer uma violação de dados seja quase inevitável e, portanto, a melhor maneira de manter os custos baixos é estar preparado para todas as eventualidades. O relatório afirma que as empresas tinham uma equipe de resposta a incidentes (IR) e testaram extensivamente seu plano de IR com pelo menos dois exercícios table top, e experimentando US$ 1,23 milhão a menos em custos de violação de dados, em média, do que aqueles que não tinham nenhuma medida em prática.

“Você não deve apenas ter um documento que diga: ‘aqui estão as informações de contato da equipe de segurança’, mas, na verdade, ensaiar esses tipos de cenários em um ambiente imersivo, onde eles possam testar outros planos, identificar lacunas e, idealmente, contê-los antes que passem por esses ataques na vida real”, diz Whitmore.

Outra parte importante é a resposta do público. Perder a confiança do cliente leva a uma perda de negócios, o que pode aumentar o custo total da violação. “Um componente importante é a comunicação após uma violação e durante uma violação”, explica Whitmore. “Como efetivamente enviamos mensagens para nossos consumidores ou clientes sobre o que está acontecendo? Então, esses eventos podem ser uma oportunidade para criar muita boa vontade dos clientes e muita confiança quando manuseados corretamente, mas isso exige muita preparação e treinamento antecipado para essas organizações”.

O uso expansivo da criptografia, automatizando a segurança sempre que possível, e ter uma equipe de RI pode reduzir o custo potencial de uma violação, especialmente se as equipes e os planos de RI forem testados regularmente.

Do lado técnico, as abordagens do DevSecOps, o treinamento dos funcionários, o seguro cibernético e o envolvimento da diretoria em segurança também reduzem o custo de uma violação em mais de US$ 100.000 cada, em média. Por outro lado, violações originadas por terceiros, migração na nuvem, Internet das Coisas ou tecnologias operacionais podem aumentar o custo de uma violação em mais de US$ 100.000 cada, em média.

O principal conselho de Whitmore para reduzir o custo de uma violação é a visibilidade adequada do seu ambiente e garantir backups off-line robustos e testados. “Se pudermos reduzir o tempo necessário para identificar uma violação e contê-la de maneira bastante significativa, essas organizações não terão uma quantidade tão alta de registros perdidos e, finalmente, não enfrentarão o mesmo nível de multas que estamos vendo agora”.

“Nos casos de ransomware ou malware destrutivo, vemos que as organizações perdem o acesso aos dados mais críticos e passam muito tempo tentando reconstruir os ambientes para ter acesso a eles novamente”, continua Whitmore. “Eu recomendaria ter backup off-line dos seus dados mais críticos”.

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.