As violações de dados continuam a dominar as manchetes em todo o mundo. Apesar de uma maior ênfase ser colocada na segurança de dados, os hackers estão continuamente a encontrar novas formas de contornar as defesas para obterem acesso a dados e credenciais empresariais valiosos.
Quer seja através de técnicas sofisticadas de engenharia social, resgate, malware ou ciberataques de terceiros, os hackers estão a tentar todas as tácticas disponíveis para se infiltrarem, exporem e lucrarem com esta informação sensível.
De acordo com um relatório de investigação de Segurança Baseada no Risco, nos primeiros nove meses de 2019, foram relatadas 5.183 violações, expondo mais de 7,9 mil milhões de registos comprometidos. Em comparação com 2018, o número total de violações de dados aumentou 33,3% e o número total de registos expostos mais do dobro, mais de 112%.
Infelizmente, este aumento preocupante das violações de dados não está correlacionado com um aumento da preparação organizacional. De facto, muitas organizações estão terrivelmente mal preparadas e não conseguem implementar as medidas básicas de segurança necessárias para evitar um ataque cibernético por parte de hackers.
Num estudo recente conduzido pela Kaspersky, mais de metade dos beneficiários (57%) disseram não ter uma política de segurança cibernética em vigor, aumentando para mais de dois terços (71%) das empresas de média dimensão (250 a 549 empregados).
É esta complacência com a segurança cibernética que expõe as organizações a riscos significativos e as coloca sob intenso escrutínio, tanto com os reguladores como com os seus clientes, caso ocorra uma violação.
As organizações precisam de compreender plenamente as consequências de longo alcance que uma violação de dados pode ter nos seus negócios se quiserem mitigar o risco e defender-se contra um ataque.
Algumas das consequências mais prejudiciais de uma violação de dados incluem:
1. Perda financeira
O impacto financeiro de uma violação de dados é, sem dúvida, uma das consequências mais imediatas e mais duras com que as organizações terão de lidar. De acordo com um estudo recente do Instituto Ponemon, o custo de uma violação de dados aumentou 12% nos últimos cinco anos para 3,2 milhões de libras esterlinas, em média, a nível mundial.
Os custos podem incluir, a compensação dos clientes afectados, a criação de esforços de resposta a incidentes, a investigação da violação, o investimento em novas medidas de segurança, e taxas legais, para não mencionar as sanções regulamentares que podem ser impostas pelo não cumprimento do GDPR (Regulamento Geral de Protecção de Dados).
As organizações em violação do GDPR podem ser multadas até 4% do volume de negócios anual global ou 20 milhões de euros, o que for maior. Se as organizações tiverem a ilusão de que estas sanções financeiras não serão aplicadas, as recentes multas impostas à British Airways e à Marriot puseram em evidência a seriedade com que o ICO tenciona levar a sério as violações do GDPR.
Uma violação pode também ter um impacto significativo no preço e avaliação das acções de uma empresa. Foi exactamente isto que aconteceu ao Yahoo depois de ter sido violado em 2013. A violação foi divulgada em 2016, quando a empresa estava prestes a ser comprada pela empresa de telecomunicações norte-americana Verizon. A aquisição prosseguiu com a compra da empresa Yahoo por uma taxa de desconto de 4,48 mil milhões de dólares, cerca de 350 milhões de dólares a menos do que o preço original pedido.
2. Danos Reputacionais
Os danos de reputação resultantes de uma violação de dados podem ser devastadores para uma empresa. A investigação demonstrou que até um terço dos clientes no comércio a retalho, finanças e cuidados de saúde deixarão de fazer negócios com organizações que tenham sido violadas. Além disso, 85% contarão a outros sobre a sua experiência, e 33,5% levarão aos meios de comunicação social para desabafar a sua raiva.
As notícias viajam rapidamente e as organizações podem tornar-se uma notícia global numa questão de horas após uma violação ter sido revelada. Esta imprensa negativa aliada a uma perda de confiança dos consumidores pode causar danos irreparáveis à empresa violada.
Os consumidores estão todos demasiado conscientes do valor das suas informações pessoais e se as organizações não conseguirem demonstrar que tomaram todas as medidas necessárias para proteger estes dados, simplesmente sairão e irão para um concorrente que leva a segurança mais a sério. Uma violação de dados pode facilmente resultar em roubo de identidade quando a informação sensível é exposta a indivíduos não autorizados. Os hackers podem utilizar esta informação para roubar a identidade de uma pessoa e cometer actividades fraudulentas, tais como abrir novas contas ou fazer compras não autorizadas.
Os danos de reputação são duradouros e terão também impacto na capacidade de uma organização atrair novos clientes, investimento futuro e novos empregados para a empresa.
3. Tempo de inactividade operacional
As operações comerciais serão frequentemente fortemente perturbadas no rescaldo de um hack. As organizações terão de conter a violação de dados e conduzir uma investigação exaustiva sobre a forma como esta ocorreu e que sistemas foram acedidos.
As operações podem ter de ser completamente encerradas até que os investigadores obtenham todas as respostas de que necessitam. Este processo pode levar dias, ou mesmo semanas, para identificar vulnerabilidades, dependendo da gravidade da violação. Isto pode ter um enorme efeito de arrastamento nas receitas e na capacidade de recuperação de uma organização.
Segundo Gartner, o custo médio do tempo de inactividade da rede é de cerca de $5.600 por minuto. Isto equivale a cerca de $300.000 por hora. Isto irá obviamente diferir dependendo da dimensão da organização e da indústria afectada, mas claramente, pode ter um impacto devastador e afectar significativamente a produtividade empresarial.
4. Acção legal
Ao abrigo dos regulamentos de protecção de dados, as organizações são legalmente obrigadas a demonstrar que tomaram todas as medidas necessárias para proteger os dados pessoais. Se esta segurança de dados for comprometida, quer seja intencional ou não, os indivíduos podem procurar uma acção legal para reclamar uma indemnização.
Tem havido um enorme aumento de processos de acção colectiva tanto nos EUA como no Reino Unido à medida que as vítimas procuram uma compensação monetária pela perda dos seus dados furados.
A quebra de dados da Equifax em 2017 afectou mais de 145 milhões de pessoas em todo o mundo e a empresa pagou mais de 700 milhões de dólares em compensação aos clientes americanos afectados. A violação afectou cerca de 15 milhões de clientes no Reino Unido, que lançaram agora a sua própria acção judicial separada no tribunal superior em busca de 100 milhões de libras em compensação.
Como a frequência e a gravidade das violações continuam a aumentar, podemos esperar ver mais casos destes grupos a serem levados a tribunal.
5. Perda de dados sensíveis
Se uma violação de dados tiver resultado na perda de dados pessoais sensíveis, as consequências podem ser devastadoras. Dados pessoais são qualquer informação que possa ser utilizada para identificar directa ou indirectamente um indivíduo. Isto inclui tudo desde, nome, palavras-passe, endereço IP e credenciais. Inclui também dados pessoais sensíveis, tais como dados biométricos ou dados genéticos que podem ser processados para identificar um indivíduo.
A realidade é que se um paciente crítico tivesse os seus registos médicos apagados numa violação de dados poderia ter um sério efeito de arrastamento no seu tratamento médico e, em última análise, na sua vida. Os dados biométricos são também extremamente valiosos para os cibercriminosos e valem muito mais do que a informação básica sobre cartões de crédito e endereços de correio electrónico. As consequências das violações que expõem estes dados podem ser desastrosas e exceder qualquer dano financeiro e de reputação.
Independentemente da preparação da sua organização para uma violação de dados, não há lugar para complacência no actual panorama de segurança cibernética em evolução. Deve ter uma estratégia de segurança coordenada que proteja a privacidade dos dados, reduza as ameaças e salvaguarde a reputação da sua marca.
A MetaCompliance é especializada em fornecer a melhor Formação de Sensibilização para a Segurança Cibernética disponível no mercado. Os nossos produtos abordam directamente os desafios específicos que surgem das ameaças cibernéticas e da governação empresarial, facilitando aos utilizadores o envolvimento em segurança e conformidade cibernéticas. Entre em contacto para mais informações sobre como podemos ajudar a transformar a formação em segurança cibernética na sua organização.
