Riscos ocultos de dados e IA elevam custos da violação, diz especialista

Em um artigo publicado no blog da companhia, a especialista Limor Kessem, líder global de Gerenciamento de Crises Cibernéticas da X-Force da IBM, diz que os líderes de segurança estão acostumados a pensar em defesa em profundidade e garantir que sua pilha de segurança e arquitetura geral forneçam resiliência e proteção. Embora esse paradigma seja verdadeiro hoje, talvez seja hora de pensar em mudar para a segurança de dados em primeiro lugar. “Isso significa gerenciamento de dados que corresponde aos casos de uso atuais e onde os dados são o ativo central que requer proteção durante todo o seu ciclo de vida, uso e descarte. Uma mudança de paradigma na segurança de dados é bem apoiada por evidências na edição de 2024 do Relatório de Custo de uma Violação de Dados”, observou.

Este relatório da IBM apresenta pesquisas que estudam as causas, os impactos de custos e a recuperação de violações reais em 604 organizações em todo o mundo e em 17 setores. As descobertas mostram algumas tendências interessantes que podem ajudar a resolver o quebra-cabeça dos dados, incluindo impactos na segurança, privacidade, governança e regulamentação. Todos esses aspectos já veem riscos elevados aumentarem com a pressa em provisionar novas iniciativas de IA generativa e levá-las ao mercado rapidamente, deixando as considerações de segurança para trás. De forma alarmante, uma pesquisa executiva recente sobre a segurança da IA revelou que apenas 24% das novas iniciativas incluem um componente de segurança.

Uma jornada de dados no escuro

Segundo Limor, os dados se tornaram o principal ativo no qual as empresas confiam hoje em dia. Mas, embora os dados sejam rei, eles ainda não estão sendo gerenciados ou protegidos o suficiente para corresponder à sua importância e ao impacto potencial da perda de dados. Vejamos algumas maneiras pelas quais os dados, a jornada dos dados e os paradigmas de proteção em torno de seus ciclos de vida foram os principais fatores que contribuíram para o custo das violações de dados.

Salto Multinuvem

Em primeiro lugar, os dados hoje em dia estão em uma escala que exige que as organizações vão além de suas antigas infraestruturas de Nuvem privada e local. Os drivers aqui são a escalabilidade do volume de dados, mas também as demandas de tráfego e carga de trabalho que só crescem com o tempo. Com os dados viajando por ambientes Multinuvem, o Relatório de Custo de uma Violação de Dados observa significativamente que 40% das violações envolveram dados armazenados em vários tipos de ambientes. Quando violados, os ambientes de nuvem pública incorreram no maior custo médio de violação, com US$ 5,17 milhões.

“Por que isso está acontecendo? A natureza descentralizada da Multinuvem é um fator complexo na visualização e controle de dados e, em casos de violação, simplesmente leva mais tempo para coletar informações, investigar e ativar o suporte do provedor de nuvem para conter a violação. As Nuvens também hospedam mais dados, e a escala significa que mais dados são violados ao mesmo tempo, potencialmente aumentando o impacto sobre os clientes e os custos de recuperação”, disse.

Shadow data

Os dados estão espalhados em mais lugares do que nunca, e 35% das violações este ano envolveram dados armazenados em fontes de dados não gerenciadas, também conhecidas como “dados de sombra”. Isso se traduziu em dados não sendo classificados adequadamente ou de forma alguma, não sendo protegidos adequadamente e não sendo gerenciados em termos de seu ciclo de vida à medida que se movem para dentro da organização. Considerando que 25% das violações envolvendo dados ocultos ocorreram exclusivamente no local, essa situação provavelmente destaca o risco não gerenciado na forma de lacunas de governança de dados, problemas de privacidade de dados e impacto regulatório iminente.

As violações envolvendo dados de sombra também levaram 26,2% mais tempo para serem identificadas e 20,2% mais longas para serem contidas, com média de 291 dias. Isso inevitavelmente resultou em custos de violação mais altos, em média de US$ 5,27 milhões, onde os dados ocultos estavam envolvidos, mas esses são apenas a ponta do iceberg aqui, se considerarmos o efeito de transbordamento de violações para outras pessoas no ecossistema, possíveis questões contratuais e ações judiciais fazem parte de uma cauda mais longa de custos que continuam a aumentar 2-3 anos após a violação.

Não classificado, desprotegido

Quando os dados não são inventariados e catalogados de forma eficaz, não são classificados adequadamente e, portanto, também não são protegidos adequadamente. Podem ser facilmente dados que deveriam ter sido marcados como restritos ou confidenciais, o que leva à próxima estatística do relatório. Os invasores conseguiram acessar dados muito mais confidenciais durante as violações, levando a um aumento de 26,5% no roubo de IP. A propriedade intelectual perdida custou consideravelmente mais por registro do que no ano passado, subindo para US$ 173 em 2024, de US$ 156 por registro no relatório de 2023; um aumento de 11%.

“Mas vamos deixar esse custo difícil de lado por um momento. O impacto do roubo de IP pode significar literalmente que a organização perderá sua vantagem competitiva. Pode perder considerável participação de mercado e receita que esperava gerar com a PI estratégica. Qual acionista não ficaria alarmado com essa estatística, considerando que a maioria das organizações está embarcando ativamente no desenvolvimento de aplicativos inovadores de IA de geração que esperam monetizar exclusivamente”, observou Limor.

Um efeito colateral dispendioso da proteção de dados deficiente é a perda de danos comerciais e de reputação, por uma média de US$ 1,47 milhão e a maior parte do aumento no custo médio de uma violação em 2024.

Shadow data, shadow models, shadow AI

Com a IA generativa como a nova corrida do ouro hoje em dia, várias partes interessadas na organização podem facilmente expô-la a riscos não gerenciados vinculados a dados, modelos e uso geral de IA não sancionados. Esses usos podem ser invisíveis para as equipes de TI e segurança, o que pode resultar em incidentes impactantes no futuro.

Outro fator de risco são os conjuntos de dados destinados ao uso na implementação de IA, provenientes de vários provedores terceirizados. Não gerenciadas pela equipe de segurança, essas fontes externas podem adicionar riscos como envenenamento e vulnerabilidades. Mas os riscos mais insidiosos são os modelos de sombra e muitos dados de treinamento não criptografados que entram e saem de ambientes de Nuvem.

“Pense neste cenário, por exemplo: uma organização de saúde está usando a IA de geração para identificar anomalias nas radiografias de tórax. Eles enviam as imagens para um modelo de nuvem para receber resultados, mas as imagens estão viajando e são usadas de forma não criptografada. Um invasor acessa as imagens e extorquia o provedor de saúde para pagar um resgate. O mesmo pode acontecer com texto simples ou qualquer outro dado desprotegido que deva ser melhor protegido. Não se surpreenda ao ver prontamente uma ação movida por titulares de dados afetados”, finalizou Limor.