Custo médio global de uma violação de dados foi de US$ 4,88 mi, revela IBM

A IBM divulgou nesta terça-feira (30/7) o relatório anual Cost of a Data Breach Report (Custo de uma Violação de Dados), revelando que o custo médio global de uma violação de dados atingiu US$ 4,88 milhões em 2024, à medida que as violações se tornam mais disruptivas e expandem ainda mais as demandas das equipes cibernéticas. Os custos de violação aumentaram 10% em relação ao ano anterior, o maior salto anual desde a pandemia, já que 70% das organizações violadas relataram que a violação causou interrupções significativas ou muito significativas.

A perda de negócios e os custos de resposta de clientes e terceiros pós-violação impulsionaram o aumento de custos ano a ano, já que os danos colaterais causados por violações de dados só se intensificaram. Os efeitos disruptivos que as violações de dados estão tendo nas empresas não estão apenas aumentando os custos, mas também estendendo o efeito colateral de uma violação, com a recuperação levando mais de 100 dias para a maioria do pequeno número (12%) de organizações violadas que conseguiram se recuperar totalmente.

O estudo Cost of a Data Breach Report de 2024 é baseado em uma análise das violações de dados do mundo real experimentadas por 604 organizações em todo o mundo entre março de 2023 e fevereiro de 2024. A pesquisa, conduzida pelo Ponemon Institute e patrocinada e analisada pela IBM, vem sendo publicada por 19 anos consecutivos e estudou as violações de mais de 6 mil organizações, tornando-se uma referência do setor.

Algumas das principais descobertas do relatório da IBM de 2024 incluem:

Equipes de segurança com falta de pessoal: mais organizações enfrentaram grave escassez de pessoal em comparação com o ano anterior (aumento de 26%) e observaram uma média de US$ 1,76 milhão em custos de violação mais altos do que aquelas com baixo nível ou nenhum problema de pessoal de segurança.

A prevenção alimentada por IA compensa: duas em cada três organizações estudadas estão implementando IA de segurança e automação em seu Centro de Operações de Segurança (SOC). Quando essas tecnologias foram usadas extensivamente em fluxos de trabalho de prevenção, as organizações incorreram em média US$ 2,2 milhões a menos em custos de violação, em comparação com aquelas sem uso nesses fluxos de trabalho – a maior economia de custos revelada no relatório de 2024.

Lacunas de visibilidade de dados:  40% das violações envolveram dados armazenados em vários ambientes, incluindo Nuvem pública, Nuvem privada e local. Essas violações custaram mais de US$ 5 milhões em média e levaram mais tempo para serem identificadas e contidas (283 dias).

“As empresas estão presas em um ciclo contínuo de violações, contenção e resposta a consequências. Esse ciclo agora geralmente inclui investimentos no fortalecimento das defesas de segurança e no repasse das despesas de violação aos consumidores – tornando a segurança o novo custo de fazer negócios”, disse Kevin Skapinetz, vice-presidente de Estratégia e Design de Produto da IBM Security. “À medida que a IA generativa permeia rapidamente as empresas, expandindo a superfície de ataque, essas despesas logo se tornarão insustentáveis, obrigando as empresas a reavaliar as medidas de segurança e as estratégias de resposta. Para progredir, as empresas devem investir em novas defesas orientadas por IA e desenvolver as habilidades necessárias para lidar com os riscos e oportunidades emergentes apresentados pela IA generativa”, observou.

A escassez de pessoal de segurança aumentou os custos de violação

Mais da metade das organizações estudadas teve escassez de pessoal grave ou de alto nível no ano passado e, como resultado, experimentou custos de violação significativamente mais altos (US$ 5,74 milhões para níveis altos vs. US$ 3,98 milhões para níveis baixos ou nenhum). Isso ocorre em um momento em que as organizações estão correndo para adotar tecnologias de IA generativa (GenAI), que devem introduzir novos riscos para as equipes de segurança. De fato, de acordo com um estudo do IBM Institute for Business Value, 51% dos líderes de negócios pesquisados estavam preocupados com riscos imprevisíveis e novas vulnerabilidades de segurança surgindo, e 47% estavam preocupados com novos ataques direcionados à IA.

Os crescentes desafios de pessoal podem em breve ter alívio, já que mais organizações afirmaram que planejam aumentar os orçamentos de segurança em comparação com o ano passado (63% vs. 51%), e o treinamento de funcionários emergiu como uma das principais áreas de investimento planejadas. As organizações também planejam investir em planejamento e teste de resposta a incidentes, tecnologias de detecção e resposta a ameaças (por exemplo, SIEM, SOAR e EDR), gerenciamento de identidade e acesso e ferramentas de proteção de segurança de dados.

Hackeando o relógio com IA

O relatório descobriu que 67% das organizações implementaram IA e automação de segurança – um salto de quase 10% em relação ao ano anterior – e 20% afirmaram que usaram alguma forma de ferramentas de segurança de IA generativa. As organizações que empregaram IA e automação de segurança detectaram e contiveram extensivamente um incidente, em média, 98 dias mais rápido do que as organizações que não usam essas tecnologias. Ao mesmo tempo, o ciclo de vida médio global de violação de dados atingiu uma baixa de 7 anos de 258 dias – abaixo dos 277 dias do ano anterior e revelando que essas tecnologias podem estar ajudando a recuperar o tempo do lado dos defensores, melhorando as atividades de mitigação e correção de ameaças.

Ciclos de vida de violação mais curtos também podem ser atribuídos ao aumento na detecção interna: 42% das violações foram detectadas pela própria equipe ou ferramentas de segurança de uma organização, em comparação com 33% no ano anterior. A detecção interna reduziu o ciclo de vida da violação de dados em 61 dias e economizou quase US$ 1 milhão em custos de violação em comparação com os divulgados por um invasor.

Inseguranças de dados alimentam o roubo de propriedade intelectual

De acordo com o relatório de 2024, 40% das violações envolveram dados armazenados em vários ambientes e mais de um terço das violações envolveram dados ocultos (dados armazenados em fontes de dados não gerenciadas), destacando o crescente desafio de rastrear e proteger dados.

Essas lacunas de visibilidade de dados contribuíram para o aumento acentuado (27%) no roubo de propriedade intelectual (PI). Os custos associados a esses registros roubados também aumentaram quase 11% em relação ao ano anterior, para US$ 173 por registro. A PI pode se tornar ainda mais acessível à medida que as iniciativas de IA de geração empurram esses dados e outros dados altamente proprietários para mais perto da superfície. Com os dados críticos se tornando mais dinâmicos e ativos em todos os ambientes, as empresas precisarão reavaliar os controles de segurança e acesso que os cercam.

Outras descobertas importantes no relatório Cost of a Data Breach Report de 2024 incluem:

Credenciais roubadas lideraram os vetores de ataque iniciais – com 16%, as credenciais roubadas/comprometidas foram o vetor de ataque inicial mais comum. Essas violações também levaram mais tempo para serem identificadas e contidas em quase 10 meses.

Menos resgates pagos quando a aplicação da lei está envolvida – ao trazer a aplicação da lei, as vítimas de ransomware economizaram em média quase US$ 1 milhão em custos de violação em comparação com aquelas que não o fizeram – essa economia exclui o pagamento do resgate para aqueles que pagaram. A maioria das vítimas de ransomware (63%) que envolveram a aplicação da lei também conseguiu evitar o pagamento de um resgate.

Organizações de infraestrutura crítica veem os maiores custos de violação – as organizações de Saúde, serviços financeiros, indústria, tecnologia e energia incorreram nos maiores custos de violação em todos os setores. Pelo14º ano consecutivo, os participantes da área de saúde viram as violações mais caras em todos os setores, com custos médios de violação atingindo US$ 9,77 milhões.

Custos de violação repassados aos consumidores – 63% das organizações afirmaram que aumentariam o custo de bens ou serviços por causa da violação este ano – um ligeiro aumento em relação ao ano passado (57%) – isso marca o terceiro ano consecutivo em que a maioria das organizações estudadas afirmou que tomaria essa ação.