Conheça os casos reais em que o vazamento de dados gerou impacto financeiro e na reputação das empresas e saiba como evitar esse problema.
Dados vazados resultam em muita dor de cabeça e muito dano no bolso das organizações. Quando uma empresa sofre com o vazamento de dados, ela tem, de cara, dois prejuízos para lidar: o financeiro, por conta das multas aplicadas, e o reputacional, por conta da imagem afetada perante o mercado.
Esses são os altos custos quando há uma ocorrência de fuga de dados. O impacto financeiro das multas – resultantes de uma violação de dados -, podem chegar a milhões de dólares e gerar uma crise paralisante no caixa organizacional. Mas não são somente as multas pesadas.
Os danos à reputação, causados por um vazamento de dados, podem ser igualmente devastadores para os negócios.
Então, para tratar desse tema delicado e bastante relevante no contexto empresarial, preparamos este artigo, no qual exploramos o alto custo dos vazamentos de dados e as consequências e implicações financeiras, além da reputação, que as empresas podem enfrentar, quando não protegem suas informações confidenciais com eficiência.
Dessa maneira, vamos mostrar casos reais, com o objetivo de compreender a magnitude do problema. Além disso, vamos falar da importância de se implementar medidas de segurança eficazes e de se investir em estratégias robustas de proteção de dados para evitar vazamentos.
Prontos?
Para começar, vamos entender melhor o que é o vazamento de dados, também chamado em inglês de data leak. O vazamento de dados está relacionado ao acesso indevido a dados confidenciais e sigilosos por pessoas não autorizadas.
Sendo assim, o vazamento de dados pode ocorrer de forma acidental, quando os sistemas de segurança online não funcionam como deveriam, ou por uma intenção consciente, quando hackers invadem esses sistemas.
De uma maneira ou de outra, os danos para as empresas que têm seus dados expostos podem ser imensos. Isso porque há multas pesadas e toda uma estratégia para reposicionar a marca, “limpando” sua imagem perante o mercado.
Segundo reportagem no Canaltech, no Brasil, esse tipo de ocorrência gera um prejuízo médio de R$ 5,8 milhões por ano.
Além disso, o Brasil também aparece entre os 20 territórios nos quais as investidas desse tipo são mais custosas para as corporações, gerando um aumento de 10,5% nos valores que as empresas tiveram de empregar na mitigação, controle e resolução de incidentes em casos de vazamento de dados.
Não é à toa que o Brasil gaste tanto com os prejuízos dos vazamentos de dados. O país é um dos mais visados quando o assunto é ataque digital e cibersegurança.
Em 2022, quase 70% das empresas no Brasil sofreram algum ataque cibernético com sequestro de dados, segundo o relatório anual The State of Ransomware da Sophos, da empresa global especializada em cibersegurança.
De acordo com levantamento, o total de registros em 2022 foi 13% superior ao do ano anterior. A pesquisa entrevistou líderes de empresas de médio porte em 14 países, incluindo 200 organizações no Brasil. Entre as empresas brasileiras, 68% disseram ter sido vítimas de ataques.
Outro dado importante é que, de janeiro a novembro de 2021, 24,2 milhões de perfis de brasileiros tiveram suas informações expostas na internet a partir de ataques ou brechas em sistemas. Na ocasião, o Brasil assumiu o 6º lugar no ranking de países com mais vazamentos de dados no mundo.
Entre as maneiras mais comuns de ocorrência de vazamento de dados, podemos destacar:
Pode parecer besteira, mas uma senha fraca pode ocasionar um vazamento de dados. Mas, até mesmo as melhores senhas podem ser inúteis frente a uma configuração de sistema precária que deixa seu banco de dados vulnerável.
Trata-se de um tipo de ataque simples e requer conhecimento técnico mínimo para ser realizado.
No SQL Injection, o hacker explora a falta de segurança de websites para obter acesso não autorizado à base de dados. É um ataque simples, e ainda pode ser automatizado.
Aqui temos algo um pouco mais complexo, já que esse tipo de ataque requer engenharia social para a manipulação de pessoas e obtenção de dados sensíveis. Um exemplo é o e-mail falso, feito para parecer real ou similar a algum e-mail conhecido.
Desse modo, este e-mail pode pedir informações, oferecer um crédito ou qualquer outra coisa e, ao clicar nos links do e-mail, a pessoa acaba instalando malwares, spywares ou mesmo ser direcionada para logins falsos em páginas similares às conhecidas.
Nesse caso, o ataque tira proveito de vulnerabilidades ou bugs de softwares para obter acesso não autorizado a um sistema ou aos seus dados.
Sistemas operacionais, navegadores e aplicações populares são alguns dos principais alvos e existem até exploit kits, que tornam simples a exploração de vulnerabilidades sem conhecimento técnico por criminosos.
Documentos impressos também podem ser vazados. Isso porque muitos documentos ficam expostos ou abandonados em impressoras e mesas no ambiente corporativo. A vulnerabilidade também mora aí.
Por isso, um software de impressão segura é uma boa medida quando se trata da segurança dos dados impressos.
Com o intuito de inibir e punir os crimes cibernéticos, o Brasil conta com leis específicas, voltadas para a proteção de dados. Entre elas, está a mais conhecida, a Lei Geral de Proteção de Dados (LGPD), de 2018, que
“dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”
Embora a LGPD não determine sanções para o vazamento de dados especificamente, ela prevê punições e multas para as empresas que forem denunciadas e tiverem comprovada a falta de cuidado com os dados coletados em seus sites.
Há também a Lei 12737, de 2012, que caracteriza como crimes cibernéticos:
“A invasão a dispositivos por violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados, ou informações sem autorização expressa, ou tácita do titular do dispositivo, ou instalar vulnerabilidades para obter vantagem ilícita” ;
“Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública”;
“Falsificação de documento particular”;
“Falsificação de cartão de crédito ou débito”.
Já a Lei 14.155/21, sancionada em 2021, estabelece maiores penas por crimes de furto e estelionato que partem de celulares, computadores e dispositivos eletrônicos, em razão do aumento dos casos e da gravidade das ações e consequências dos crimes cibernéticos.
A legislação brasileira busca fechar o cerco aos ataques cibernéticos e para além das multas, há casos previstos de reclusão do criminoso.
Dessa forma, é possível compreender que o vazamento de dados é um crime, algo grave, sério, passivo de multas altas e de prisão.
Por isso, ao compreender o impacto financeiro e reputacional de violações de dados, as empresas devem tomar medidas proativas para proteger os seus valiosos ativos de dados e salvaguardar a sua reputação em um mundo cada vez mais digital.
O tempo todo, sem parar, grandes volumes de dados trafegam pelas redes das empresas, incluindo informações confidenciais de clientes, parceiros e colaboradores, relatórios financeiros, etc.
Com um vazamento de dados, todas essas informações podem cair nas mãos de criminosos e se tornar mercadoria, comercializada de forma ilegal.
O vazamento de dados pode ser moeda de troca e motivo de chantagem. No Brasil, um dos maiores responsáveis pelo vazamento de dados é o ataque de ransomware. Nesse tipo de invasão, o criminoso se apropria do dispositivo da vítima, impedindo seu acesso a dados ou a todo o sistema operacional.
Então, para restabelecer o acesso do usuário, o cibercriminoso exige resgate, normalmente em criptomoedas. Mas o que acontece é que, mesmo mediante ao pagamento, não há garantias de que o hacker irá cumprir o acordo e devolver os acessos. Ele ainda pode expor todas as informações contidas ali.
Quando uma organização sofre um ataque de ransomware ou DoS (Ataque de Negação de Serviço), por exemplo, ela fica parcialmente incapaz de acessar os seus dados e de interagir com os seus clientes.
O restabelecimento das atividades pode levar desde algumas horas até dias, gerando prejuízos e afetando a produtividade da empresa.
Como falamos no início deste texto, um dos prejuízos causados pelo vazamento de dados é o reputacional.
Uma marca com dados sigilosos vazados pode ter sua integridade afetada perante o mercado, e a reconstrução da reputação pode levar muito tempo.
Além disso, a repercussão negativa pode fazer com as pessoas se afastem do negócio, com medo de compartilhar suas informações com uma empresa que já foi alvo de um ataque cibernético. Uma consequência bastante complicada para uma organização que verá seu faturamento despencar.
Como citamos acima, existem leis que tratam de crimes cibernéticos e visam proteger os dados. Quando as empresas estão em desacordo, elas podem sofrer com as penalidades.
No caso de organizações que tiveram vazamento de dados comprovado, as penas podem variar de advertência até multa, que pode chegar a 2% do faturamento anual da empresa, limitada a R$ 50 milhões por cada infração cometida.
Como forma de ilustrar e tornar mais palpável a questão do vazamento de dados, apresentamos alguns casos que ficaram famosos no Brasil. Por meio dessas situações, é possível compreender melhor a gravidade e as consequências de uma segurança digital falha e vulnerável.
A operação Deepwater foi deflagrada pela Polícia Federal, em 2021, com o objetivo de combater o crime de vazamento de dados.
A iniciativa partiu da apuração de um desvio em larga escala, em que inúmeros números de CPFs e CNPJs foram divulgados em fóruns obscuros de troca de informações sigilosas.
Os cibercrimes chegaram ao conhecimento das autoridades por meio de denúncia e os criminosos foram presos nos estados de Pernambuco e Minas Gerais.
Um caso de vazamento de dados na esfera pública ocorreu em 2020, quando golpistas se aproveitaram de falhas para obter dados sigilosos do Ministério da Saúde.
O ciberataque levou à divulgação indevida de dados de 243 milhões de pessoas – uma quantidade de nomes maior do que toda a população brasileira.
Nessa situação, o volume muito acima da população se deu por conta do vazamento de dados de pessoas já falecidas, cujas informações seriam usadas para praticar novos crimes.
O PIX se tornou rapidamente um meio comum para aplicar golpes e sua facilidade em fazer transferências digitais virou alvo dos hackers.
Um estudo divulgado em setembro de 2023 mostrou que os brasileiros sofreram 1,7 milhão de golpes financeiros via Pix em 2022.
De acordo com a pesquisa da Silverguard, quatro em cada dez entrevistados foram vítimas de alguma tentativa de fraude ao usar esse meio de pagamento. Dentre os alvos de enganações, um em cada cinco caiu no golpe.
Em um dos casos de vazamento de dados e golpe via Pix, a 2ª Vara do Juizado Especial Cível de São José dos Campos condenou um banco a pagar R$ 32.800,00 a uma correntista.
Na ocasião, o juiz entendeu que a vítima caiu no golpe depois de ter seus dados vazados pela instituição financeira e, por isso, o banco deveria responder ativamente pelos danos causados em razão das falhas no seu sistema de segurança.
Segurança, esta é a palavra de ordem quando se trata de proteção de dados. O investimento em cibersegurança é a maneira mais eficiente de evitar o vazamento de informações sigilosas.
Um relatório aprofundado, conduzido pelo Ponemon Institute, sobre as violações de dados em todo o mundo, entre março de 2022 e março de 2023, identificou que Inteligência Artificial (IA) e automação impulsionam a velocidade de identificação e contenção, em casos de ciberataques nas organizações analisadas.
Desse modo, no Brasil, as organizações com uso extensivo de IA e automação experimentaram um ciclo de violação de dados que foi 68 dias mais curto, em comparação com aqueles que não implantaram essas tecnologias. No entanto, apenas 23% das empresas estudadas no Brasil estão usando de forma extensiva a segurança impulsionada por IA e automação – 17% menos do que a média global.
Importante destacar que o tempo necessário para identificar e conter uma violação impacta o custo geral da violação de dados.
Nesse sentido, de acordo com o relatório, no Brasil, se uma empresa gasta menos de 200 dias contendo o incidente, o custo médio é de aproximadamente R$ 5,11 milhões, mas, se passar de 200 dias, o custo pode subir para R$ 7,31 milhões.
Portanto, diante do alto custo, tanto financeiros quanto de reputação nos casos de vazamento de dados, é fundamental que as empresas invistam em práticas, programas e formações voltadas à segurança da informação.
As ações podem estar relacionadas ao reforço da proteção dos dados com softwares robustos e às políticas internas, capazes de educar os colaboradores frente às possíveis situações de ataques cibernéticos.
Por fim, para evitar o vazamento de dados, conter mais rapidamente os dados e preservar o bolso e a imagem da empresa, é essencial contar com um pessoal preparado, com conhecimento em cibersegurança e domínio de ferramentas e métodos de proteção da informação. Tudo com eficiência e seriedade.
Quer saber como a Fundação Vanzolini pode ajudar sua empresa com cursos, certificações e formações ligadas à Segurança da Informação e à Cibersegurança? Então acesse nosso site e veja as possibilidades!
Conheça as certificações: ISO 27001 e ISO 27701
Conheça os cursos de Segurança de Dados da Fundação Vanzolini.
Até o próximo!
Fontes:
istoedinheiro.com.br/seguranca-de-dados-brasil-e-o-6o-pais-com-mais-vazamentos-diz-pesquisa/
tiinside.com.br/24/08/2023/custos-de-violacao-de-dados-no-brasil-reduzem-para-r-640-milhoes/
