Custo médio de uma violação de dados sobe para US$ 4,45 mi, diz estudo da IBM

A IBM Security divulgou nesta segunda-feira (24/7) seu relatório anual de custo de violação de dados (Cost of a Data Breach Report), mostrando que o custo médio global de uma violação de dados atingiu US$ 4,45 milhões em 2023 – um recorde histórico para o relatório e um aumento de 15% nos últimos 3 anos. Os custos de detecção e escalonamento aumentaram 42% nesse mesmo período, representando a maior parte dos custos de violação e indicando uma mudança para investigações de violação mais complexas.

De acordo com o relatório de 2023 da IBM, as empresas estão divididas em como planejam lidar com o custo crescente e a frequência das violações de dados. O estudo constatou que, embora 95% das organizações estudadas tenham sofrido mais de uma violação, as organizações violadas eram mais propensas a repassar os custos do incidente para os consumidores (57%) do que aumentar os investimentos em segurança (51%).

O relatório Cost of a Data Breach Report de 2023 é baseado em uma análise aprofundada de violações de dados do mundo real experimentadas por 553 organizações em todo o mundo entre março de 2022 e março de 2023. A pesquisa, patrocinada e analisada pela IBM Security, foi conduzida pelo Ponemon Institute e publicada por 18 anos consecutivos. Algumas das principais descobertas do relatório IBM de 2023 incluem:

IA aumenta a velocidade – IA e automação tiveram o maior impacto na velocidade de identificação e contenção de violações para as organizações estudadas. As organizações com uso extensivo de IA e automação experimentaram um ciclo de vida de violação de dados 108 dias mais curto em comparação com as organizações estudadas que não implementaram essas tecnologias (214 dias versus 322 dias).

O custo do silêncio – as vítimas de ransomware no estudo que envolveu a aplicação da lei economizaram US$ 470 mil em custos médios de uma violação em comparação com aqueles que optaram por não envolver a aplicação da lei. Apesar dessas economias potenciais, 37% das vítimas de ransomware estudadas não envolveram a aplicação da lei em um ataque de ransomware.

Lacunas de detecção – apenas um terço das violações estudadas foram detectadas pela própria equipe de segurança de uma organização, em comparação com 27% que foram divulgadas por um invasor. As violações de dados divulgadas pelo invasor custam quase US$ 1 milhão a mais, em média, em comparação com as organizações estudadas que identificaram a violação por conta própria.

“O tempo é a nova moeda em segurança cibernética, tanto para os defensores quanto para os invasores. Como mostra o relatório, a detecção precoce e a resposta rápida podem reduzir significativamente o impacto de uma violação”, disse Chris McCurdy, gerente-geral de Serviços Mundiais de Segurança da IBM. “As equipes de segurança devem se concentrar onde os adversários são mais bem-sucedidos e concentrar seus esforços em detê-los antes que atinjam seus objetivos”, completou.

Custos de cada segundo

De acordo com o relatório de 2023, as organizações estudadas que implementam totalmente a IA de segurança e a automação observaram ciclos de vida de violação de 108 dias mais curtos, em média, em comparação com organizações que não implementaram essas tecnologias – e tiveram custos de incidentes significativamente mais baixos. Na verdade, as organizações estudadas que implementaram IA de segurança e automação extensivamente observaram, em média, custos de violação de dados quase US$ 1,8 milhão menores do que as organizações que não implementaram essas tecnologias – a maior economia de custos identificada no relatório.

Ao mesmo tempo, os adversários reduziram o tempo médio para concluir um ataque de ransomware. E com quase 40% das organizações estudadas que ainda não implementaram automação e IA de segurança, ainda há uma oportunidade considerável para essas organizações aumentarem as velocidades de detecção e resposta.

Ransomware ‘Código de desconto’

Algumas organizações estudadas permanecem apreensivas em envolver a aplicação da lei durante um ataque de ransomware devido à percepção de que isso apenas complicará a situação. Pela primeira vez neste ano, o relatório da IBM examinou mais de perto essa questão e encontrou evidências em contrário. As organizações participantes que não envolviam a aplicação da lei tiveram ciclos de vida de violação 33 dias mais longos, em média, do que aquelas que envolviam a aplicação da lei – e esse silêncio teve um preço. As vítimas de ransomware estudadas que não trouxeram a aplicação da lei pagaram em média US$ 470 mil a mais por custos de violação do que aquelas que o fizeram.

Apesar dos esforços contínuos da aplicação da lei para colaborar com as vítimas de ransomware, 37% dos entrevistados ainda optaram por não trazê-los. Além disso, quase metade (47%) das vítimas de ransomware estudadas supostamente pagaram o resgate. Está claro que as organizações devem abandonar esses equívocos sobre o ransomware. Pagar um resgate e evitar a aplicação da lei pode apenas aumentar os custos do incidente e retardar a resposta.

Equipes de segurança raramente descobrem violações por conta própria

A detecção e resposta a ameaças tiveram algum progresso. De acordo com o Índice de Inteligência de Ameaças de 2023 da IBM, os defensores conseguiram interromper uma proporção maior de ataques de ransomware no ano passado. No entanto, os adversários ainda estão encontrando maneiras de escapar pelas brechas da defesa. O relatório constatou que apenas uma em cada três violações estudadas foi detectada pelas próprias equipes ou ferramentas de segurança da organização, enquanto 27% dessas violações foram divulgadas por um invasor e 40% foram divulgadas por um terceiro neutro, como a aplicação da lei.

As organizações respondentes que descobriram a violação tiveram quase US$ 1 milhão a menos em custos de violação do que os divulgados por um invasor (US$ 5,23 milhões contra US$ 4,3 milhões ). As violações divulgadas por um invasor também tiveram um ciclo de vida quase 80 dias maior (320 vs 241) em comparação com aqueles que identificaram a violação internamente. A economia significativa de custo e tempo que vem com a detecção precoce mostra que investir nessas estratégias pode compensar a longo prazo.

Descobertas adicionais no relatório IBM de 2023 incluem:

Violação de dados em ambientes – quase 40% das violações de dados estudadas resultaram na perda de dados em vários ambientes, incluindo Nuvem pública, Nuvem privada e local, mostrando que os invasores foram capazes de comprometer vários ambientes evitando a detecção. As violações de dados estudadas que afetaram vários ambientes também levaram a custos de violação mais altos ( US$ 4,75 milhões em média).

Os custos das violações de assistência médica continuam a subir – os custos médios de uma violação estudada na área de Saúde chegaram a quase US$ 11 milhões em 2023 – um aumento de preço de 53% desde 2020. Com os registros médicos como alavanca, os agentes de ameaças aumentam a pressão sobre as organizações violadas para pagar um resgate. Na verdade, em todos os setores estudados, as informações de identificação pessoal do cliente foram o tipo de registro violado com mais frequência e o mais caro.

A vantagem do DevSecOps – organizações estudadas em todos os setores com um alto nível de DevSecOps observaram um custo médio global de uma violação de dados quase US$ 1,7 milhão menor do que aquelas estudadas com um nível baixo/sem uso de uma abordagem DevSecOps.

Custos de violação de infraestrutura crítica quebram US$ 5 milhões – as organizações de infraestrutura crítica estudadas experimentaram um salto de 4,5% nos custos médios de uma violação em comparação com o ano passado – aumentando de US$ 4,82 milhões para US$ 5,04 milhões – US$ 590 mil acima da média global.

Serviço
www.ibm.com