A pandemia que nos assola há quase dois anos afetou também o mundo virtual. O número de ataques cibernéticos continua a crescer de forma assustadora e o custo dos incidentes de segurança, especialmente os que envolvem dados pessoais, também não para de crescer.
O perímetro da rede, que antes era bem delimitado e protegido por diversas soluções de segurança, hoje praticamente não existe, uma vez que boa parte dos colaboradores continua a trabalhar à distância, acedendo os recursos tecnológicos das empresas e entidades públicas. O perímetro agora é a própria Internet. Além disso, o uso de equipamentos pessoais para utilizar os recursos das redes internas das organizações acaba sendo uma grande brecha nos modelos de segurança tradicionais, uma vez que, em muitos casos, não há garantia de que esse equipamento esteja minimamente protegido dado que, muitas vezes, não está sob administração das equipas de tecnologia das organizações.
E em meio a todo esse complexo cenário, mesmo com a vigência da Lei Geral de Proteção de Dados (Lei 13.709/18), a LGPD, os incidentes com dados pessoais geram novas manchetes a cada dia, mesmo que o Controlador, agindo de boa-fé, tenha tomado todas as medidas para evitá-los. Neste caso, seria possível estimar o custo do incidente?
Esse é o objetivo do Relatório do Custo de uma Violação de Dados 2021, que é produzido em parceria entre o Instituto Ponemon e a IBM Security. A pesquisa é conduzida de forma independente pelo instituto e os resultados são patrocinados, analisados, relatados e publicados pela IBM Security. Agora na sua 17ª edição, foram analisados 537 incidentes, com mais 3.500 entrevistas em 17 países, incluindo o Brasil, de 17 segmentos diferentes – saúde, energia, financeiro, farmacêutico, tecnologia, indústria, serviços, entretenimento, educação, transporte, comunicação, bens de consumo, varejo, hospitalidade, mídia, pesquisa e setor público.
A pesquisa é bem completa e considerou diversos aspectos para conseguir mensurar o custo de um incidente: causas da violação de dados, tempo para detectá-las e contê-las, perdas financeiras causadas pelo período de indisponibilidade, medidas de segurança adotadas antes do incidente, dentre outras.
O custo de um incidente de segurança
O custo total médio de um incidente de violação de dados foi obtido considerando quatro atividades relacionadas ao processo de identificação e mitigação de um incidente de segurança:
Detecção e escalonamento, que envolve atividades forenses e de investigação, serviços de avaliação e auditoria, gestão de crise e comunicação aos executivos e conselhos das organizações;
Perda de negócios, que envolvem a perda de receita em função da indisponibilidade dos sistemas, custo da perda de clientes e de não aquisição de novos clientes (leads) – este é o maior custo dentre as quatro atividades, representando aproximadamente 38% do custo total;
Notificação, atividades que envolvem atividades de notificação do incidente à autoridades e titulares dos dados;
Custos de resposta após a violação, que são tomadas para reparação do incidente junto a autoridades de regulação e titulares, como despesas legais, multas regulatórias, emissão de novos cartões, descontos em produtos, recuperação de imagem.
Assim, em 2021, o custo médio global de uma violação de dados foi de US $4,24 milhões, um aumento de quase 10% em relação à 2020, cujo custo foi de US$ 3,86 milhões. Esse é o maior valor nos 17 anos em que a pesquisa é realizada. Incidentes que envolvem ransomware tiveram um custo maior: US $4,62 milhões, sem considerar o preço do resgate.
As organizações dos Estados Unidos foram as que apresentaram o maior custo total médio, chegando a US $9,05 milhões – em 2020 o custo foi de US $8,64 milhões. O Brasil acabou sendo um destaque positivo, pois teve o menor custo total médio pelo segundo ano consecutivo, de US $1,08 milhões por incidente, sendo o único país no qual houve redução no custo de incidente – que em 2020 foi de US $1,12 milhões.
O setor com maior custo foi o de saúde, pelo 11º ano, chegando a US $9,23 milhões, o que representa um crescimento de 21% em relação a 2020. Em segundo lugar temos o setor financeiro (US $5,72 milhões) e, em terceiro, o setor farmacêutico (US $5,04 milhões). O setor de energia, que tinha sido o segundo setor com maior custo em 2020, caiu para 5º em 2021, com o custo caindo de US $6,39 milhões para US $4,65 milhões, uma redução de 27,2%.
Tempo é dinheiro!
Outro fator importante que deve ser considerado é o tempo para identificar e mitigar incidentes de violação de dados. O relatório identificou que o tempo médio para isso é de 287 dias — 7 dias a mais que no levantamento de 2020 — sendo 212 dias para identificar e 75 dias para mitigar a violação. Importante destacar que quanto mais tempo se gasta para identificar e mitigar um incidente, maior é o custo desse incidente: violações que gastaram mais de 200 dias para identificação e mitigação tiveram um aumento de US$ 1,26 milhões no custo médio do que violações que foram identificadas e contidas em menos de 200 dias.
Principais causas dos incidentes
Em 2021, a principal causa dos incidentes foi a credencial de acesso comprometida, ou seja, o uso de dados de autenticação válidos, mas que foram comprometidos de alguma forma: roubo ou mesmo cessão de uso indevida. Esse tipo de vetor foi responsável por 20% das violações neste ano. O phishing aparece em segundo lugar, com 17% das violações, seguida da configuração incorreta de serviços em nuvem, com 15%.
Por outro lado, o comprometimento de e-mail comercial foi responsável por apenas 4% das violações, mas teve o maior custo médio total, chegando a 5,01 milhões de dólares. Credenciais comprometidas, além de ser a principal causa, também é o tipo de violação que leva mais tempo para ser identificada e contida: inacreditáveis 341 dias!
Como novidade neste relatório, foi possível estimar a diferença de custo de um incidente que foi causado pelo trabalho remoto: esse tipo de violação gerou um custo médio de US $1,07 milhões mais alto.
O que pode ser feito para melhorar esse cenário?
Adotar soluções de Orquestração, Automação e Resposta de Segurança (SOAR – Security Orchestration, Automation and Response), com uso de soluções de automação da segurança da informação, que utilizem Inteligência Artificial, aprendizagem de máquina, análise de dados e orquestração automatizada de segurança, que impactam significativamente o custo: organizações que implementaram completamente a automação de segurança tiverem um custo médio 43% menor que as empresas que não têm essa automação, uma diferença de 3,81 milhões de dólares por incidente.
Adoção do modelo de segurança “zero trust”, no qual assume-se que ninguém é confiável por padrão: “nunca confie, sempre verifique”. Especialmente neste momento de pandemia e da eliminação do perímetro de segurança, o modelo zero trust se torna ideal para qualquer tipo de organização. Os resultados do estudo indicaram que organizações que implementaram o modelo de zero trust tiveram um custo médio US $1,76 milhões menor.
Teste intensivo do plano de resposta a incidentes é outra maneira de minimizar o custo. Com isso, a equipe estará preparada e treinada para atuar com agilidade e de forma certeira quando um incidente realmente ocorrer. Organizações que adotam essa estratégia tiveram um custo médio total US $2,46 milhões menor em relação às que não adotaram o zero trust.
Uso de ferramentas para proteção e monitoramento de computadores e empregados remotos, como soluções UEM – Unified endpoint management – e IAM – Identity and access management.
Programas de governança, gerenciamento de risco e compliance, de forma que a organização se prepare estruturalmente para auditorias e para a realização de avaliações de risco para acompanhar o processo de conformidade com requisitos regulatórios e de segurança da informação.
Adoção de uma arquitetura de segurança aberta e minimização da complexidade dos ambientes de TI e segurança da informação, com a utilização de soluções abrangentes com capacidade de lidar com sistemas distintos e híbridos, para ajudar as equipas de segurança a detectar incidentes em ambientes heterogêneos. Também é recomendável utilizar um provedor de serviços de segurança gerenciados, especialmente se a organização não possuir uma equipe de segurança capacitada. Esse tipo de serviço possibilita um monitoramento ininterrupto do ambiente tecnológico, permitindo uma rápida intervenção no caso de um incidente.
Proteção de dados em ambientes de nuvem com políticas e criptografia, como classificação de dados e políticas de retenção – definindo de forma clara o ciclo de vida dos dados dentro da organização –, de forma a dar maior visibilidade dessas informações e minimizando o volume de dados tratados, em harmonia com o princípio da necessidade da LGPD. É importante usar criptografia, se possível, e realizar testes de penetração de forma a identificar e corrigir vulnerabilidades.
Para finalizar, recomendo a leitura de alguns artigos sobre o tema que já publiquei aqui na MIT Technology Review: Regra de Pareto para a Segurança Digital: 3 ações que mitigam 80% dos ataques, LGPD: as recomendações para Micro e Pequenas Empresas e Quais são os padrões técnicos mínimos exigidos pela LGPD? E nunca é demais relembrar que segurança da informação é um dever de todos!
Artigo de Fabio Correa Xavier – MIT Technology Review Brasil
MIT Technology Review