A Osterman Research concluiu recentemente uma pesquisa encomendada pela Malwarebytes para determinar o custo real do cibercrime para as empresas. Embora muitos estudos se concentrem no custo da reputação perdida ou corroída, perda de negócios futuros e outras conseqüências, esta pesquisa buscou entender os custos diretos do cibercrime. Para isso, foram pesquisadas organizações de médio e de grande portes, com foco em três componentes de custo:
- Orçamentos de segurança
- Custo de remediação dos eventos “principais” – por exemplo, eventos como uma infecção de ransomware generalizada ou uma violação de dados importante que seria altamente prejudicial para uma organização e poderia colocá-la off-line por algum período de tempo
- Custo do cibercrime cometido por “gray hats”, ou seja, os funcionários que se envolvem em cibercrime sem abandonar o trabalho diário como profissional de segurança
As descobertas foram as seguintes:
O cibercrime não sai barato
Organizações de todos os tamanhos podem esperar gastar quantias significativas em vários custos relacionados à segurança cibernética. A pesquisa descobriu, por exemplo, que uma organização de 2.500 funcionários nos Estados Unidos deve ter uma expectativa de gastos da ordem de US $ 1,9 milhão por ano em custos relacionados à segurança cibernética (cerca de US $ 760 por funcionário). Embora os custos sejam menores na maioria dos outros países pesquisados, a média global é superior a US $ 1,1 milhão para uma organização de 2.500 funcionários.
Gray hats são um problema
Globalmente, um em cada 22 profissionais de segurança é considerado pelos seus colegas profissionais de segurança como gray – ou cinzento. Nem preto nem branco. Mas este número salta para um em cada 13 no caso das organizações baseadas no Reino Unido. Organizações de médio porte (de 500 a 999 funcionários) estão sendo as mais afetadas pelos ataques, e é aí que a falta de habilidades e o fascínio de se tornar um gray hat podem ser as maiores diz a pesquisa. Ressaltando a profundidade do problema do gray hat está o fato de que 12% dos profissionais de segurança admitem considerar a participação na atividade do black hat, 22% já foram abordados e 41% conhecem ou conheceram alguém que participou atividade.
Mais uma vez até a violação
A pesquisa descobriu que a grande maioria das organizações sofreu algum tipo de violação de segurança ou ataque durante os 12 meses anteriores. O meio mais comum de ataque era o phishing, mas outros que foram experimentados incluíam adware / spyware, ransomware, spearphishing, violações de dados acidentais e intencionais, ataques de estados-nação e ataques hacktivistas. Apenas 27% das organizações relataram não ter sofrido nenhum ataque durante os 12 meses que antecederam a pesquisa, e mesmo esse número pode subestimar a profundidade do problema: algumas organizações podem estar infiltradas por ataques furtivos que podem ficar ocultos durante meses após a infiltração inicial.
A síndrome do filho do meio
Confirmando o que a Osterman Research descobriu em outra pesquisa, as empresas do mercado intermediário – aquelas com um total de 500 a 999 funcionários – enfrentam os desafios mais difíceis do ponto de vista da segurança. Nelas, a taxa de ataque é maior do que nas empresas menores, sendo semelhantes às de empresas maiores, mas elas têm menos funcionários para atender os problemas da infraestrutura de segurança. Em suma, as organizações de médio porte têm orçamentos de pequenas empresas para resolver problemas das grandes.
Grandes ataques
Foi descoberto que ataques grandes ocorrem com frequência alarmante. Em 2017, esses ataques ocorreram nas organizações pesquisadas, em média, uma vez a cada 15 meses. Mas as organizações dos EUA foram as mais atingidas em 2017, com uma média de um ataque a cada 6,7 meses. Esses são eventos altamente perturbadores que podem deixar uma empresa off-line por dias ou semanas. Como desses ataque está a cidade de Atlanta, cuja prefeitura foi infectada com ransomware em abril de 2018. A remediação do problema consumiu mais de US $ 2,6 milhões. O ataque afetou cinco dos 13 departamentos da cidade e o sistema de registros do departamento de polícia, além de causar outros danos aos funcionários municipais e ao público. O resultado final é que o cibercrime custa enormes quantias que vão muito além do orçamento anual de segurança. E se as empresas não encontrarem uma modo de acabar com o cibercrime dentro e fora de suas paredes, terão que pagar esse preço.