Segundo um estudo da IBM, os consumidores pagaram os custos pelos ataques cibernéticos às empresas. A pesquisa revelou que 60% das empresas afetadas refletiram nos preços dos produtos os custos das violações de dados. Ao mesmo tempo, grande parte das organizações tem descurado o investimento em infraestruturas críticas.
O estudo anual Cost of a Data Breach Report, conduzido pelo Ponemon Institute para a IBM Security, revela que o custo médio global de uma violação de dados atingiu um máximo histórico de 4,35 milhões de dólares entre as organizações inquiridas, representando um aumento de quase 13% nos últimos dois anos.
As conclusões do estudo sugerem ainda que estes incidentes podem estar a contribuir para o aumento dos custos de bens e serviços, num momento em que estes custos também estão a subir em todo o mundo em resultado da inflação e a problemas relacionados com a cadeia de abastecimento. De facto, 60% das organizações entrevistadas admitiram ter aumentado os preços dos seus produtos ou serviços devido a estas quebras de segurança.
A perpetuação dos ciberataques tem efeitos prolongados nas empresas, não só porque os ataques se repetem, mas porque os custos têm reflexos demorados nas empresas. O estudo da IBM a identificou que 83% das organizações inquiridas sofreram mais do que uma violação de dados desde que foram criadas, já os efeitos pós-violações nestas organizações, prolongam-se muito tempo depois de ocorrerem, com quase 50% dos custos de violação a incorrer mais de um ano após a sua ocorrência.
O Cost of a Data Breach Report 2022 baseia-se numa análise aprofundada das violações de dados no mundo real, vividas por 550 organizações em vários países do mundo, entre março de 2021 e março de 2022.
Excesso de confiança nas Infraestruturas de segurança
As preocupações com o ataque a infraestruturas críticas parecem estar a aumentar globalmente ao longo do último ano, com as agências de cibersegurança de muitos governos a pedirem vigilância contra ataques disruptivos. De facto, o relatório da IBM revela que o ransomware e os ataques destrutivos representaram 28% das violações entre as organizações de infraestruturas críticas estudadas, destacando como os atores de ameaças procuram fraturar as cadeias de fornecimento globais que dependem destas organizações. Isto inclui serviços financeiros, empresas industriais, de transportes e de cuidados de saúde, entre outras.
Apesar do apelo à cautela, e um ano depois de a Administração Biden ter emitido uma ordem executiva de cibersegurança que se centra na importância de adotar uma abordagem de confiança zero para fortalecer a cibersegurança do país, apenas 21% das organizações de infraestruturas críticas estudadas adotam um modelo de segurança de Zero Trust, de acordo com o relatório. A somar a isso, 17% das violações a organizações de infraestruturas críticas foram causadas por um parceiro de negócio ter sido inicialmente comprometido, destacando os riscos de segurança que os ambientes de excesso de confiança representam.
“As empresas precisam colocar as suas defesas de segurança no ataque e derrotar os invasores. É hora de impedir que o adversário alcance os seus objetivos e começar a minimizar o impacto dos ataques. Quanto mais empresas tentam aperfeiçoar o seu perímetro em vez de investir em detecção e resposta, mais violações podem provocar o aumento do custo de vida” defendeu Charles Hendersen, Global Head of IBM Security X-Force. “Este relatório mostra que as estratégias certas aliadas às tecnologias certas podem ajudar a fazer toda a diferença quando as empresas são atacadas.”
Relatório aponta atrasos na criação de infraestruturas de segurança
O relatório da IBM, avaliou as violações de dados, em resultado a ataques cibernéticos a 550 organizações, para entender o risco informático num mundo em mudança. O objetivo do estudo é oferecer aos líderes de TI uma visão dos fatores que tendem a aumentar ou ajudar a mitigar o custo das violações de dados e ao mesmo tempo disponibilizar uma visão global da segurança. Algumas das principais conclusões do relatório da IBM de 2022 incluem:
- Atrasos das infraestruturas críticas na adoção de Zero Trust – Quase 80% das organizações de infraestruturas críticas estudadas ainda não adotam estratégias de Zero Trust, vendo os custos médios de violação aumentarem para 5,4 milhões de dólares – um aumento de 1,17 milhões de dólares em relação às que o fazem. Sendo que 28% de violações entre estas organizações foram ransomware ou ataques destrutivos.
- Não compensa pagar – As vítimas de ransomware identificadas no estudo que optaram por pagar as exigências de resgate dos atacantes reduziram apenas 610.000 dólares os custos médios de violação em comparação com aquelas que optaram por não pagar– sem incluir o custo do resgate. Considerando o elevado custo dos pagamentos de resgate, o custo financeiro pode aumentar ainda mais, sugerindo que simplesmente pagar o resgate pode não ser uma estratégia eficaz.
- Imaturidade na Segurança da Cloud – 43% das organizações estudadas estão em fase inicial ou não começaram a aplicar práticas de segurança nos seus ambientes de cloud, observando mais de 660.000 dólares em média em custos de violação mais elevados do que as organizações inquiridas com segurança madura em todos os seus ambientes de cloud.
- IA de Segurança e Automação lideram como economia de custos – As organizações participantes que implementam totalmente IA de segurança e automação incorreram em média em 3.05 milhões de dólares a menos em custos de violação comparando com as organizações entrevistadas que não adotaram essa tecnologia – a maior economia de custos observada no estudo.
- O Phishing torna-se a causa de violação mais dispendiosa – Enquanto as credenciais comprometidas continuaram a ser a causa mais comum de uma violação (19%), o phishing foi a segunda (16%) e a causa mais cara, levando a 4,91 milhões de dólares em custos médios de violação para as organizações.
- Os custos de violação dos cuidados de saúde atingiram os dois dígitos pela primeira vez na história – Pelo 12.º ano consecutivo, os participantes da área da saúde viram as violações de dados mais dispendiosas entre as indústrias, com os custos médios de violação nos cuidados de saúde a aumentarem quase um milhão de dólares para atingirem um valor recorde de 10,1 milhões de dólares.
- Equipa de Segurança Insuficiente – Sessenta e dois por cento das organizações estudadas afirmaram que não têm equipa suficiente para responder às suas necessidades de segurança, com uma média de 550.000 dólares a mais em custos de violação do que aquelas que afirmam que têm suficiente equipa.
