Qual o custo de um incidente de violação de dados pessoais?

grayscale photograph of rolls of money on a person s fingersPhoto by Tima Miroshnichenko on <a href="https://www.pexels.com/photo/grayscale-photograph-of-rolls-of-money-on-a-person-s-fingers-6266463/" rel="nofollow">Pexels.com</a>
Compartilhe:

por Fábio Correa Xavier

Publicado originalmente no Jota em 11/07/2021.

Qual o custo de um incidente de violação de dados pessoais?

Créditos da foto: Pexels.com

Os ataques cibernéticos continuam acontecendo em um número cada vez maior. E a pandemia, que obrigou grande parte das organizações a implantar o home office de maneira rápida e com pouco (ou nenhum) planejamento, acabou aumentando as vulnerabilidades em relação à segurança da informação. O perímetro da rede, que antes era bem delimitado e protegido por diversas soluções de segurança, acabou se expandindo e mesmo desaparecendo com o aumento do número de colaboradores trabalhando à distância. O perímetro agora é a própria Internet. O uso de equipamentos pessoais para utilizar os recursos das redes internas das organizações acaba sendo uma grande brecha nos modelos de segurança tradicionais, uma vez que, em muitos casos, não há garantia de que esse equipamento esteja minimamente protegido dado que, muitas vezes, não está sob administração das equipes de tecnologia das organizações.

E em meio a todo esse complexo panorama, temos, no Brasil, a vigência da Lei Geral de Proteção de Dados (LGPD – Lei 13.709/18), que permitirá que a Autoridade Nacional de Proteção de Dados (ANPD) comece a aplicar sanções, inclusive multas, a partir de 1º de agosto de 2021.  Nesse cenário, qual seria o custo de um incidente de violação de dados para as organizações envolvidas?

Segundo Vainzof (2021), a LGPD é “baseada na avaliação de riscos, postura dos regulados e responsabilização e prestação de contas, visando inserir o indivíduo na sua legítima posição de titular/proprietário dos seus dados”, afirmando ainda que tal entendimento foi positivado pela Lei como “fundamento da autodeterminação informativa”. A avaliação de riscos é, portanto, uma forma de se identificar e mitigar (ou assumir) os riscos associados à privacidade proteção de dados dos titulares. E essa avaliação de riscos deve ser materializada no Relatório de Impacto à Proteção de Dados (RIPD) definido no inciso XVII do art. 5º da LGPD e que poderá ser exigido a qualquer momento pela ANPD (art. 38) e especialmente quando o tratamento de dados pessoais tiver como fundamento o interesse legítimo do controlador (§ 3º do art. 10).

Contudo, um incidente de violação de dados pode ocorrer, mesmo que o Controlador, agindo de boa-fé, tenha tomado todas as medidas para evitá-lo. Neste caso, seria possível estimar o custo do incidente?

O Ponemon Institute[1] realiza há 15 anos uma pesquisa para estimar o custo de uma violação de dados. Os dados da última pesquisa estão no relatório Cost of a Data Breach Report 2020, do qual traremos alguns dados relevantes. Nessa pesquisa, foram consultadas 524 organizações, com mais 3.200 entrevistas em 17 países, incluindo o Brasil, de 17 segmentos diferentes – saúde, energia, financeiro, farmacêutico, tecnologia, indústria, serviços, entretenimento, educação, transporte, comunicação, bens de consumo, varejo, hospitalidade, mídia, pesquisa e setor público. A pesquisa é bem completa e considerou diversos aspectos para conseguir mensurar o custo de uma violação: causas da violação de dados, tempo para detectar e conter o incidente, perdas financeiras causadas pelo período de indisponibilidade, medidas de segurança adotadas antes do incidente, dentre outras. Como novidade neste relatório, houve a identificação do tipo de ameaça que provavelmente foi responsável pela violação. Além disso, o relatório constatou que os ataques do tipo ransomware, que têm crescido de forma exponencial[2], tiveram um custo médio maior que a média geral calculada.

O custo de um ataque hacker

O custo total médio de um incidente de violação de dados foi obtido considerando quarto atividades relacionadas ao processo de identificação e mitigação de um incidente de segurança: (i) detecção e escalonamento, que envolve atividades forenses e de investigação, serviços de avaliação e auditoria, gerenciamento de crise e comunicação aos executivos e conselhos das organizações; (ii) negócios perdidos, que envolvem a perda de receita em função da indisponibilidade dos sistemas, custo da perda de clientes e de não aquisição de novos clientes (leads) – este é o maior custo dentre as quatro atividades, representando aproximadamente 40% do custo total; (iii) notificação, atividades que envolvem atividades de notificação do incidente à autoridades e titulares dos dados; e (iv) Ações pós-incidente, que são tomadas para reparação do incidente junto a autoridades de regulação e titulares, como despesas legais, multas regulatórias, emissão de novos cartões, descontos em produtos, recuperação de imagem.

Também mostrou a pesquisa que o custo médio total de uma violação de dados foi de US$ 3,86 milhões – no ano anterior o valor foi ligeiramente superior, alcançando US$ 3,92 milhões. As organizações dos Estados Unidos foram as que apresentaram o maior custo total médio, chegando a US$ 8,64 milhões.

As organizações brasileiras, por sua vez, tiveram o menor custo total médio de US$ 1,12 milhões por incidente, seguido das organizações latino-americanas pesquisadas – México, Argentina, Chile e Colômbia, com um custo de US$ 1,68 milhões. Contudo, o custo médio de incidentes de organizações brasileiras cresceu 10,5% em relação à 2019, sendo o segundo maior crescimento percentual. O setor com maior custo foi o de saúde, chegando a US$ 7,13 milhões, que representa um crescimento de 10% em relação a 2019. Em segundo lugar temos o setor de energia (US$ 6,39 milhões) e, em terceiro, o financeiro (US$ 5,85 milhões). O relatório aponta que organizações sujeitas a rigorosos requisitos regulatórios possuem o maior custo médio para as violações de dados. Por outro lado, o menor custo médio foi no setor público, com um valor de US$ 1,08 milhão.

Outro fator importante a se considerar é o tempo para identificar e mitigar incidentes de violação de dados. A pesquisa identificou que o tempo médio para isso é de 280 dias, sendo 207 dias para identificar e outros 73 dias para conter o incidente. Mais uma vez, o setor de saúde é o que leva mais tempo nessa atividade, chegando a 329 dias. E o Brasil aparece com o pior tempo médio: 380 dias para identificar e mitigar um incidente de violação de dados.

Lei Geral de Proteção de Dados

Outro destaque do relatório do Ponemon Institute: 80% das violações de dados continham dados pessoais, ou seja, informações relacionadas à pessoa natural identificada ou identificável, conforme definição prevista no inciso I do art. 5º da LGPD, estando, no caso do Brasil, à mercê da ação regulatória e sanções – a partir de 1º de agosto – por parte da ANPD. Para esse tipo de dado, o Ponemon Institute chegou a um custo médio de US$ 150 por cada informação vazada.

Quanto às causas das violações, o relatório classifica em três categorias: ataques maliciosos (52% no geral e 47% no Brasil), falhas de sistema (25% no geral e 28% no Brasil) e erro humano (23% e 25% no Brasil). Ataques maliciosos, com o ransomware, aumentaram de 42% em 2014 para 52% em 2020, uma taxa de crescimento de 24% como causa raiz de violações. Os principais vetores desses ataques maliciosos são: (i) comprometimento ou roubo de credenciais (19%); (ii) erro de configuração de serviços em nuvem (19%); (iii) vulnerabilidades em softwares (16%); (iv) phishing (14%) e (v) comprometimento da segurança física (10%). A maioria das violações feitas por ataques maliciosos foi causada por cibercriminosos com motivação financeira (53%), seguido por ciberataques de estado-nação (13%) e pelo hacktivismo[3](13%).

O que pode ser feito para melhorar esse cenário?

O relatório da Ponemon lista algumas ações que podem minimizar o problema, a saber:

  1. Automatização da segurança, com uso de soluções de Inteligência Artificial e analytics, que impactam significativamente o custo: organizações que implementaram completamente a automação de segurança tiverem um custo médio 60% menor que as empresas que não têm essa automação.
  2. Adoção do modelo de segurança “zero trust”, no qual assume-se que ninguém é confiável por padrão: “nunca confie, sempre verifique”. Especialmente neste momento de pandemia e da eliminação do perímetro de segurança, o modelo zero trust se torna ideal para qualquer tipo de organização.
  3. Teste intensivo do plano de resposta a incidentes é outra maneira de minimizar o custo. Com isso, a equipe estará preparada e treinada para atuar com agilidade e de forma certeira quando um incidente realmente ocorrer.
  4. Uso de ferramentas para proteção e monitoramento de computadores e empregados remotos, como soluções de UEM – Unified endpoint management – e IAM – Identity and access management.
  5. Programas de governança, gerenciamento de risco e compliancede forma que a organização se prepare estruturalmente para auditorias e para a realização de avaliações de risco para acompanhar o processo de conformidade com requisitos regulatórios e de segurança da informação.
  6. Minimização da complexidade dos ambientes de TI e segurança da informação, com a utilização de soluções abrangentes com capacidade de lidar com sistemas distintos e híbridos, para ajudar as equipes de segurança a detectar incidentes em ambientes heterogêneos.
  7. Proteção de dados em ambientes de nuvem com políticas e tecnologias, como classificação de dados e políticas de retenção – definindo de forma clara o ciclo de vida dos dados dentro da organização –, de forma a dar maior visibilidade dessas informações e minimizando o volume de dados tratados, em harmonia com o princípio da necessidade da LGPD. É importante usar criptografia, se possível, e realizar testes de penetração de forma a identificar e corrigir vulnerabilidades.
  8. Utilização de serviços de segurança gerenciados, especialmente se a organização não possuir uma equipe de segurança capacitada. Esse tipo de serviço possibilita um monitoramento ininterrupto do ambiente tecnológico, permitindo uma rápida intervenção no caso de um incidente.

O mundo digital cada vez mais tem impacto no mundo real. As recomendações feitas no relatório do Ponemon Institute ajudam as organizações a reduzir potenciais danos financeiros, além dos danos à imagem, com base em experiências já vivenciadas pelas organizações que contribuíram para o estudo. Além disso, as boas práticas do mercado[4] podem e devem ser utilizadas, para que tenhamos um ecossistema digital mais seguro.

Referências

PONEMON INSTITUTE. Cost of a Data Breach Report 2020. Michigan: IBM Security, 2020. 82 p. Disponível em: https://www.ibm.com/security/digital-assets/cost-data-breach-report/#/pdf. Acesso em: 01 jul. 2021.

VAINZOF, Rony. A LGPD e o Relatório de Impacto à Proteção de Dados Pessoais. 2021. Disponível em: https://www.conjur.com.br/2021-jun-28/rony-vainzof-lgpd-relatorio-impacto-protecao-dados. Acesso em: 01 jul. 2021.

XAVIER, Fabio Correa. Quais são os padrões técnicos mínimos exigidos pela LGPD? 2021. Disponível em: https://mittechreview.com.br/quais-sao-os-padroes-tecnicos-minimos-exigidos-pela-lgpd/. Acesso em: 01 jul. 2021.

XAVIER, Fabio Correa. Ransomware: pagar ou não pagar, eis a questão. 2021. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/ransomware-pagar-ou-nao-pagar-eis-a-questao-18052021. Acesso em: 01 jul. 2021.

[1] https://www.ponemon.org/

[2] https://www.jota.info/opiniao-e-analise/artigos/ransomware-pagar-ou-nao-pagar-eis-a-questao-18052021

[3] Ataques para protestar e promover ideologia política, ética, de direitos humanos e liberdade de expressão.

[4] https://mittechreview.com.br/quais-sao-os-padroes-tecnicos-minimos-exigidos-pela-lgpd/

Fábio Correa Xavier

Mestre em Ciência da Computação | Professor | Colunista da MIT Technology Review Brasil | Inovação, Privacidade e Proteção de Dados | Membro IAPP, GovDados