Os custos incorridos pelas organizações que sofrem perdas de dados continuam a subir, e 60% das empresas pesquisadas pela IBM disseram que os repassavam aos clientes.
De acordo com para a Big Blue, o custo médio de uma violação de dados em todo o mundo aumentou quase 13% nos últimos dois anos, atingindo uma alta histórica de US$ 4,35 milhões. Além disso, os efeitos desses ataques são generalizados e persistentes, revelou a Big Blue em seu relatório anual Custo de uma violação de dados, divulgado na quarta-feira.
Cerca de 83% das 550 organizações em todo o mundo mundo estudado para o relatório foram atingidos por mais de uma violação de dados durante sua existência, e o impacto desses incidentes pode se espalhar com o tempo. Quase 50% dos custos de uma violação são incorridos mais de um ano após o incidente, descobriu a IBM.
Esses números mostram não apenas que uma determinada organização provavelmente sofrerá uma violação de dados, mas que quando chegar, vai ser caro. Dado isso, as organizações precisam adotar uma abordagem mais proativa para proteger seus negócios antes de um ataque, de acordo com Charles Henderson, chefe global da IBM Security X-Force.
“É hora de parar o adversário alcance seus objetivos e comece a minimizar o impacto dos ataques”, disse Henderson em um comunicado.
“Quanto mais as empresas tentam aperfeiçoar seu perímetro em vez de investir em detecção e resposta, mais mais violações podem aumentar o custo de vida. Este relatório mostra que as estratégias certas, juntamente com as tecnologias certas, podem ajudar a fazer toda a diferença quando as empresas são atacadas.”
Inflação atingindo todos os lugares
O relatório da IBM ecoa as descobertas de outras empresas e agências governamentais sobre o custo financeiro que os ataques cibernéticos têm em seus vítimas.
Hank Schless, gerente sênior de soluções de segurança fornecedora de segurança de rede Lookout, disse
Não é surpresa sinal de que o custo das violações de dados continua a aumentar.
“O valor dos dados confidenciais está aumentando e, como subproduto disso, os danos de longo prazo a uma empresa que sofre uma violação são ficando cada vez mais caro”, disse Schless. “Os números encontrados neste relatório devem ser um alerta para quem pensa que a segurança dos dados e a integridade da infraestrutura podem ficar em segundo plano em relação a outras prioridades.”
“Mas para aqueles que não fizeram nada – aqueles que, em vez de criar uma recuperação de desastres plano, acabou de comprar um seguro cibernético para cobrir as perdas operacionais da organização, aqueles que simplesmente não se importaram o suficiente para prestar atenção aos avisos – é o coup de grâce para repassar o custo das violações para os mesmos clientes que agora são vítimas de uma violação de dados.” Hong disse.
“Gostaria de saber que porcentagem dos 60% das organizações que aumentaram o preço de seus produtos e serviços estão usando a receita extra para um cofre de guerra ou para realmente reforçam sua segurança.”
Não aposte nisso
Entre as principais descobertas do relatório estava que entre as organizações de infraestrutura crítica – que estão cada vez mais sendo atacadas, como ilustram as violações da Colonial Pipeline e da JBS Foods – 80% das estudadas ainda não adotaram zero- estratégias de confiança. Os custos médios de violação para essas empresas subiram para US$ 5,4 milhões – US$ 1,17 milhão a mais do que aquelas que usam confiança zero.
O estudo da IBM também mostrou que o pagamento de invasores de ransomware não ajuda substancialmente as empresas. Aqueles que pagaram viram apenas US$ 610.000 a menos no custo médio de um ataque e, quando combinado com o próprio pagamento do resgate, o impacto financeiro aumentou ainda mais. Kazuma, analista sênior de inteligência de ameaças cibernéticas do fornecedor de segurança cibernética Digital Shadows, também observou que as organizações que pagam o resgate geralmente são alvos novamente em meses, aumentando ainda mais as perdas financeiras.
“Esses fatores são importantes a serem considerados ao tomar a decisão comercial desafiadora de pagar ou não”, disse Kazuma. “Por esses motivos, a prevenção é importante, mas a resiliência cibernética é fundamental.”
A migração contínua para a nuvem também é um problema, de acordo com a IBM. Cerca de 43% das organizações estão nos estágios iniciais de aplicação de práticas de segurança em seus ambientes de nuvem ou ainda não começaram – custando US$ 660.000 a mais em média em custos de violação mais altos do que aquelas com estratégias de segurança de nuvem maduras.
Uma métrica importante no relatório é que o tempo que uma organização leva para detectar uma violação permaneceu em oito meses – uma indicação de que os mecanismos de detecção estão falhando, de acordo com Shawn Surber, vice-presidente de arquitetura e estratégia de soluções na empresa de segurança cibernética Tanium.
Ele disse “Noventa e quatro por cento das empresas de hoje descobrem que pelo menos 20 por cento de seus terminais estão desprotegidos, enquanto as muitas ferramentas instaladas nesses terminais afetam negativamente o desempenho e a visibilidade.” Acrescentou: “Todos contribui para a falta de eficácia de muitos mecanismos de detecção. As organizações seriam mais bem servidas investindo em ferramentas de higiene cibernética e habilidades de caça a ameaças do que continuar jogando dinheiro em soluções pontuais que continuam falhando.”
A IBM observou que as organizações que usam IA de segurança e tecnologias de automação tiveram custos médios de violação de dados que foram US$ 3,05 milhões menores do que aqueles que não foram. Essas tecnologias foram as maiores economias de custo vistas no estudo, argumentou a Big Blue.
