O custo médio para uma organização atingida por uma violação de dados atingiu novo recorde neste ano, embora as empresas estejam divididas sobre quem elas acreditam que deve pagar a conta, de acordo com um relatório divulgado nesta segunda-feira, 24, pela IBM.
Segundo o relatório, a média global para uma violação é de US$ 4,45 milhões, o que representa um aumento de 2,3% em relação a 2022 e um salto de 15,3% na comparação com três anos atrás. “Além disso, os custos associados à detecção e escalonamento cresceram 42% desde 2020, representando a maior parte dos custos de violação e indicando uma mudança para investigações de violação mais complexas”, escreveu a IBM em seu relatório, intitulado “Cost of a Data Breach Report 2023”.
Em um momento em que o número e o custo dessas violações — 95% das organizações pesquisadas sofreram mais de uma violação — estão aumentando, cerca de 51% da empresas disseram que planejam aumentar os investimentos em cibersegurança. No entanto, 57% disseram que eram mais propensas a repassar os custos associados aos ataques aos consumidores, em vez de aumentar seus investimentos em segurança.
Segundo a IBM, isso não deve ser uma grande surpresa: no relatório do ano passado, ela observou que 60% das violações de dados levaram a aumentos nos preços que foram repassados aos clientes.
John Dwyer, chefe de pesquisa da unidade de inteligência de ameaças X-Force da IBM, disse ao Security Boulevard que a segurança cibernética agora faz parte do custo de fazer negócios, portanto, as empresas que aumentam o preço de seus produtos e serviços se forem atacadas não devem ser inesperadas.
Para esta décima terceira edição do relatório, o Ponemon Institute estudou 553 organizações atingidas por violações de dados entre março de 2022 e deste ano, com a IBM analisando as informações.
Dwyer observou que, embora apenas metade das empresas pesquisadas dissessem que aumentariam os investimentos em ferramentas de segurança, o relatório mostrou que isso pode reduzir significativamente os custos de violação de dados.
O uso de IA é um exemplo, segundo a IBM. A Big Blue descobriu que as organizações que usavam IA e tecnologias automatizadas extensivamente eram recompensadas com um ciclo de vida de violação mais curto — o tempo entre a identificação e a contenção de uma violação — o que, por sua vez, reduzia o custo geral do ataque.
O relatório afirma que as empresas que usam tecnologias de IA e automação tiveram um ciclo de vida médio de violação de 214 dias, 108 dias a menos do que a média das organizações de 322 dias, resultando em US$ 1,76 milhão a menos em custos.
“O tempo é a nova moeda em segurança cibernética, tanto para os defensores quanto para os atacantes”, disse Chris McCurdy, gerente geral de serviços mundiais de segurança da IBM, em um comunicado. “As equipes de segurança devem se concentrar onde os adversários são mais bem-sucedidos e concentrar seus esforços em detê-los antes que atinjam seus objetivos. Investimentos em abordagens de detecção e resposta a ameaças que aceleram a velocidade e a eficiência dos defensores – como IA e automação – são cruciais para mudar esse equilíbrio.”
Na avaliação da IBM, essas ferramentas também ajudarão a reduzir os custos de um ataque, aumentando o número de violações que as próprias equipes de segurança das empresas podem detectar.
Segundo os números, apenas um terço das brechas citadas pelorelatório foram detectadas pelas próprias empresas. Cerca de 27% foram divulgados pelo ataque — com o restante identificado por um terceiro benigno. Esses ataques identificados pelos perpetradores custaram às organizações quase US$ 1 milhão a mais do que os detectados pelas próprias equipes de segurança das empresas.
A diferença no tempo necessário para localizar e mitigar uma violação também influenciou o impacto financeiro geral. As empresas que detectaram uma violação em menos de 200 dias tiveram um custo médio de US$ 3,93 milhões, US$ 1,02 milhão a menos do que aquelas que levaram mais de 200 dias.
A IBM também identificou outras etapas que ajudaram a reduzir os custos de violações de dados, incluindo o uso de DevSecOps (a metodologia integrada de teste de segurança de software reduziu o impacto das empresas que adotaram a prática em US$ 1,68 milhão) e ferramentas de planejamento e teste de relatórios de incidentes (US$ 1,49 milhão). Entretanto, um sistema de segurança altamente complexo pode aumentar os custos gerais.
“As organizações que relataram baixa ou nenhuma complexidade do sistema de segurança tiveram um custo médio de violação de dados de US$ 3,84 milhões neste ano”, escreveu a IBM no relatório. “Aqueles com altos níveis de complexidade do sistema de segurança relataram um custo médio de US$ 5,28 milhões, representando um aumento de 31,6%.”
Veja isso
Violação de dados gerou custos de até US$ 20 mi às empresas
Ataques custaram US$ 32 bilhões em inatividade ao setor financeiro
Outro ponto importante destacado pelo relatório é relatar o incidente às agências e órgãos da lei. As vítimas de ransomware que denunciaram as autoridades após uma violação economizaram em média US$ 470 mil nacomparação com aquelas que não o fizeram. E, no entanto, 37% das vítimas de ransomware no estudo não recorreram a órgão da lei.
À medida que as empresas continuam a migrar seus negócios para a nuvem, não é surpresa que os cibercriminosos também estejam olhando nessa direção. A IBM descobriu que 82% das violações incluíam dados armazenados em ambientes públicos, privados ou — como em 39% dos ataques — ambientes multinuvem, onde os custos incorridos eram maiores do que a média geral, em US$ 4,75 milhões.
Instituições de saúde, com as enormes quantidades de dados pessoais e médicos que possuem e o grande número de dispositivos conectados que usam, são alvos preferenciais de gangues de ransomware e outros grupos de ameaças. Em todos os anos do relatório, o setor de saúde apresentou as violações mais caras e, desde 2020, o custo de uma violação a uma organização médica saltou 53,3% para US$ 10,93 milhões neste ano.