.
A perda de dados – principalmente de ataques de ransomware – sempre foi uma proposta cara para as empresas. No entanto, o preço que as organizações têm que pagar está subindo, não apenas em termos de resgate exigido, mas também pelo custo de investigação de ataques e processos judiciais que se seguem cada vez mais a tais violações.
em seu Relatório de Resposta a Incidentes de Segurança de Dados 2023 [PDF]O escritório de advocacia BakerHostetler, com sede em Cleveland – que há três anos lançou uma prática em torno de dados, igual a outras práticas como impostos, IP e litígios – descobriu que, embora o número de incidentes de ransomware aos quais a empresa respondeu caísse no início de 2022, voltou com força no final do ano e início de 2023.
Com isso, vieram maiores exigências de resgate e, eventualmente, pagamentos. O maior pedido de resgate no ano passado foi de mais de US$ 90 milhões, com o maior pagamento superior a US$ 8 milhões. Ambos foram maiores do que em 2021 (mais de $ 60 milhões e $ 5,5 milhões, respectivamente).
O resgate médio pago atingiu $ 600.688, acima dos $ 511.957 do ano anterior, embora ainda abaixo do pico de $ 794.620 em 2020 devastado pela pandemia. Cerca de 40% das vítimas pagaram um resgate.
Os números são baseados nos mais de 1.160 incidentes de segurança que o escritório de advocacia investigou em 2022.
Os números do pagamento do resgate parecem contradizer o que a empresa de análise de blockchain Chainalysis encontrado em janeiro, quando informou que o valor total pago a invasores de ransomware caiu no ano passado – de quase US$ 766 milhões em 2021 para quase US$ 455 milhões no ano passado – devido em grande parte às vítimas que se recusaram a pagar.
Tanto o Reino Unido Centro Nacional de Segurança Cibernética e o Federal Bureau of Investigation dos EUA disse publicamente que eles não apóiam o pagamento de resgates, que muitos acreditam apenas encorajar os criminosos a tomar mais reféns de dados, além do fato de que não há como saber que os criminosos irão deletar os dados, ou que eles simplesmente não irão vendê-los novamente, apesar o resgate sendo pago. Há também o problema de que seu computador ainda estará infectado e que, depois de pagar, você se tornará um alvo para o qual eles voltarão mais tarde.
BakerHostetler observou que o número de organizações que reforçam suas defesas – por meio de ferramentas de detecção e resposta de endpoint (EDR) e backup de dados – reduziu o grupo de possíveis vítimas. No entanto, “o restante pode ser ainda mais vulnerável”, escreveu a empresa. “Em 2022, vimos aumentos nas demandas médias de resgate, pagamentos médios de resgate e tempos médios de recuperação na maioria dos setores”.
“A calmaria no ransomware que marcou o início do ano acabou. Os grupos de ransomware retomaram os ataques e as organizações devem redobrar seus esforços para se defender contra ataques crescentes.”
Investigações sobre violações não são baratas
As vítimas não estão apenas pagando mais se decidirem pagar o resgate, mas o custo geral das investigações forenses de violações de dados também aumentou. Para as 20 maiores invasões de rede, os custos médios de investigação aumentaram 24%, de US$ 445.926 em 2021 para US$ 550.987 um ano depois.
Mas não era igual para todos. As empresas dos setores financeiro e de seguros, serviços empresariais e profissionais, varejo, restaurantes e hotelaria registraram reduções nos custos médio e mediano das investigações. Em dois outros setores – governo e energia e tecnologia – houve médias mais altas, mas medianas mais baixas, “refletindo uma diminuição geral nos custos para a maioria dos clientes, mas compensada por alguns problemas significativos de ransomware para certos clientes”, escreveu BakerHostetler.
No entanto, o valor médio e mediano gasto em investigações forenses para aqueles no assistência médica e os setores de manufatura aumentaram em 2022. setor de saúde em particular – que detém grande quantidade de dados pessoais de pacientes e funcionários e opera muitos dispositivos conectados – tornou-se um alvo do grupo Royal ransomware e outros.
Mesmo EUA políticos e seus funcionários não ficaram imunes aos ataques.
Ações judiciais e infrações
Outra fonte de saída financeira são ações judiciais movidas contra empresas que tiveram que notificar indivíduos de que seus dados foram acessados por criminosos. Dos incidentes de segurança tratados pela BakerHostetler no ano passado, 494 envolveram o envio dessas notificações. Quarenta e dois deles resultaram em um ou mais processos movidos por pessoas insatisfeitas com o roubo de seus dados.
Isso se compara a 23 processos movidos em 2021.
Mais da metade dos 42 incidentes que resultaram em ações judiciais – 26 – envolveram a violação de informações médicas e de saúde e 20 envolveram uma organização de saúde. Quarenta incluíam números de seguro social ou dados de carteira de motorista e seis envolviam informações de cartão de pagamento.
Vinte e cinco processos foram movidos em casos onde 10.000 a 500.000 pessoas foram notificadas, e outros nove quando mais de um milhão foram notificados.
Os litígios de privacidade, em particular, estão aumentando, com os hospitais passando por um aumento significativo. Desde agosto de 2022, mais de 50 ações desse tipo foram movidas contra sistemas hospitalares, com autores alegando que as entidades rastreiam e divulgam suas identidades e atividades online por meio de ferramentas de análise de sites de terceiros sem o consentimento de quem visita os sites.
Muitos envolvem quebra de contrato ou de confiança e violações das leis estaduais de privacidade e proteção ao consumidor.
Ao todo, o escritório de advocacia disse que está defendendo mais de 200 processos de privacidade ou segurança de dados. ®
.
