O Custo de uma Violação de Dados em 2021
O custo médio global de uma violação de dados aumentou em preocupante 10% em 2021, chegando a US$ 4,24 milhões, contra US$ 3,86 milhões em 2020, de acordo com o Relatório de Custo da Violação de Dados 2021 divulgado pela IBM e pelo Instituto Ponemon. Foi o custo médio mais alto de uma violação de dados registrado pelo relatório nos 17 anos desde que foi publicado anualmente.
As empresas nos Estados Unidos tiveram o custo médio mais alto, de US$ 9,05 milhões por violação, seguido pelo Oriente Médio, de US$ 6,93 milhões. Os negócios perdidos continuaram a ser o maior fator de custo contribuinte, representando 38% do custo médio total, e incluíram interrupção de negócios e perda de receita pelo centro do sistema, perda de clientes existentes e novos clientes, bem como danos à reputação. O tempo médio que as empresas levaram para detectar e conter uma violação de dados foi de 287 dias, com 212 dias em média necessários para que uma organização identificasse que uma violação havia ocorrido.
As Informações de Identificação Pessoal (PII) dos clientes, que estão sob a incidência dos regulamentos de proteção de dados, foram comprometidas em 44% de todas as violações de dados, tornando-as o tipo de registro mais frequentemente perdido ou roubado. O PII do cliente também foi o tipo mais caro de dados comprometidos em uma violação de dados, com uma média de $180 por registro. A propriedade intelectual, por sua vez, custou $169 por registro roubado ou perdido.
O relatório também analisou o impacto do trabalho remoto nas violações de dados que ocorreram durante a pandemia. Os incidentes em que o trabalho remoto foi um fator na violação resultaram num custo total de US$ 4,96 milhões, um 24,2% mais do que quando o trabalho remoto não desempenhou um papel na violação.
Vetores de ataque inicial em violações de dados
Este ano, a IBM e o Instituto Ponemon categorizaram as violações de dados em dez vetores de ataque iniciais e dispensaram as maiores causas gerais de raiz que utilizaram nos anos anteriores. O vetor de ataque inicial mais comum em 2021 foi o de credenciais comprometidas, representando 20% das violações, seguido de perto pelo phishing com 17% e a má configuração da nuvem com 15%.
O compromisso do e-mail comercial foi responsável por apenas 4% das violações de dados, mas causou o maior custo médio total de um vetor de ataque, US$ 5,01 milhões por violação. O phishing foi um vetor de ataque popular e caro para as empresas; foi em média o segundo maior custo a US$ 4,65 milhões por violação. Os maliciosos infiltrados, que foram responsáveis por 8% de todas as violações de dados, tiveram o terceiro maior custo médio total, US$ 4,61 milhões.
Ao cair vítimas de ataques de phishing e engenharia social, tornando-se maliciosos, ou através de acidentes que resultaram em perda de dados, os funcionários foram responsáveis por 33% de todas as violações de dados em 2021.
Custos por indústria
Em 2021, a indústria da saúde continuou a ter a média mais alta do custo total médio de qualquer indústria, atingindo US$ 9,23 milhões por violação de dados, um aumento de 29,5% a partir de 2020. O setor de saúde tem sido agora a indústria líder no custo total médio por onze anos consecutivos. As instituições financeiras o seguiram com US$ 5,72 milhões por violação de dados e as empresas farmacêuticas com US$ 5,04 milhões por violação de dados. Ambos os setores reduziram seus custos totais a partir de 2020 por uma margem muito pequena.
Em 2021 também houve um aumento chocante nos custos de violação de dados para vários setores. A indústria de mídia quase dobrou seu custo médio total, atingindo US$ 3,17 milhões por violação, um aumento de 92,1% a partir de 2020. O setor público teve um aumento de 78,7%, atingindo US$ 1,93 milhões por violação, e a hospitalidade saltou 76,2% a partir de 2020, atingindo em média US$ 3,03 milhões por violação.
No entanto, o ano não foi sem suas histórias de sucesso. A indústria de energia conseguiu conter seus custos de violação de dados e reduziu seu custo médio total em 27,2% a partir de 2020, atingindo US$ 4,65 milhões em 2021.
Os custos do não-cumprimento
O relatório analisou pela primeira vez os custos associados à falha de conformidade. De uma seleção de 25 fatores de custo associados a custos de violação de dados, as falhas de conformidade provaram ser o fator amplificador de custos número um, mostrando a crescente importância das leis de proteção de dados como GDPR, CCPA e HIPAA começaram a jogar nos custos de violação de dados.
As organizações que sofreram falhas de conformidade de alto nível que resultaram em multas, penalidades e processos judiciais experimentaram um custo médio de US$ 5,65 milhões por violação, enquanto as organizações com baixos níveis de falhas de conformidade enfrentaram custos de US$ 3,35 milhões por violação, um 51,1% menos.
O relatório também mostrou que empresas em ambientes regulatórios mais rigorosos continuaram a acumular custos em anos posteriores, após uma violação de dados. Em indústrias menos regulamentadas, 68% dos custos foram incorridos nos primeiros 12 meses, enquanto que em indústrias altamente regulamentadas foram apenas 46%. A maior parte dos custos em indústrias altamente regulamentadas foi distribuída no segundo ano e, mais tarde, os órgãos reguladores emitiram multas e ações judiciais foram arquivadas e resolvidas.
Em conclusão
Como a pandemia enfraqueceu as respostas de segurança e os órgãos reguladores acompanharam sua aplicação das leis de proteção de dados, muitas indústrias enfrentaram um aumento espantoso nos custos de violação de dados em 2021. Ao entrarmos em 2022, é evidente que as empresas devem fazer da segurança cibernética e da proteção de dados uma prioridade, não apenas para evitar a interrupção dos negócios, mas para limitar o impacto que os incidentes de segurança possam ter em seus resultados.