Sete milhões voando pela janela. E não foi culpa do Dólar (desta vez...)
O custo médio de uma violação de dados no Brasil atingiu R$ 7,19 milhões, uma alta de 6,5% frente aos R$ 6,75 milhões em 2024. Na comparação entre países analisados pelo relatório anual “Cost of a Data Breach” (CODB), com a métrica em dólares, o Brasil aparece com um custo médio de US$ 1,22 milhão em 2025.
Os principais vetores que colaboraram para a alta no prejuízo das empresas incluem:
- Phishing – é “disparado” o acesso inicial de criminosos digitais, representando 18% das violações, resultando em um custo médio de R$ 7,18 milhões.
- Cadeia de suprimentos/fornecedores – terceiros com proteção inferior tornam-se o elo frágil, representando 15%, com custo médio de R$ 8,98 milhões.
- Exploração de vulnerabilidades – serviços expostos, erros internos (acidentais), falhas não corrigidas são alvos fáceis, assim como credenciais comprometidas e infiltrados mal-intencionados, demonstrando a ampla gama de desafios enfrentados pelas organizações na proteção de dados.
“O ponto central não é o setor mais atacado, e sim aquele que traz maiores custos para a empresa, quando ela sofre a violação”, explicou Fernando Carbone, sócio de Serviços de Segurança da IBM Consulting na América Latina, durante apresentação do estudo. Em sua análise do relatório produzido pelo Instituto Ponemon, com publicação da IBM, ele disse que os setores que incorrem em custos mais altos são:
- Saúde – custo médio de R$ 11,43 milhões. “Dados médicos têm valor muito alto para extorsão”, explica Carbone.
- Serviços – custo médio de R 8,92 milhões por ataque. “Estamos falando de exposição de propriedade intelectual/segredos de negócio”, diz.
- Finanças – custo médio de R$ 8,51 milhões por violação. “Aqui os criminosos estão olhando para dados bancários e financeiros.”
No Brasil, as organizações que adotam extensivamente recursos e ferramentas de Inteligência Artificial (IA) integradas com automação relataram custos médios de R$ 6,48 milhões, enquanto aquelas com implementação limitada apresentaram custos de R$ 6,76 milhões. Para empresas que ainda não utilizam essas tecnologias, o custo médio subiu para R$ 8,78 milhões.
IA aumenta segurança, mas falta governança
Ao analisar os elementos que podem reduzir os impactos financeiros de uma violação de dados, o relatório aponta que uma das iniciativas de maior impacto é a implementação de Inteligência de Ameaças, que reduziu custos em uma média de R$ 655.110, e o uso de tecnologia de Governança de IA, que levou a uma redução média de R$ 629.850. E aí vem o problema: apenas 29% das organizações estudadas no Brasil fazem uso dessa tecnologia para mitigar riscos a modelos de IA.
O relatório da IBM mostra que, de modo geral, as organizações ignoram ou não priorizam a governança e a segurança de IA, com 87% das organizações estudadas no Brasil relatando não possuir políticas de governança de IA em vigor e 61% sem controles de acesso à IA.
Ao mesmo tempo em que a IA ajuda a reforçar e otimizar os sistemas de segurança cibernética das empresas, também pode acrescentar lacunas, que são exploradas nos ataques cibernéticos. A versão global do relatório “Cost of a Data Breach”, conduzida pelo Instituto Ponemon e publicada pela IBM, estudou 600 organizações de 17 setores, em 16 países e regiões, incluindo o Brasil, e entrevistou 3.470 líderes de negócios de segurança e executivos da alta liderança, como CEOs e CISOs. O estudo aponta que 63% das organizações violadas não possuem políticas de governança de IA (ou estão desenvolvendo), o que eleva risco e complexidade. Uma em cada 6 violações teve IA explorada pelos atacantes, com phishing gerado por IA (37%) e deepfakes (35%) em destaque.
Em 97% das violações de segurança relacionadas à IA, faltavam controles de acesso adequados, comprovando que a adoção da IA acontece em um ritmo mais rápido do que o estabelecimento da governança. Entre aquelas com políticas, apenas 34% realizam auditorias regulares para detectar o uso não autorizado de IA. Tanto o uso da IA Oculta (Shadow AI) quanto a falta de governança estão aumentando os custos com violações.
Carbone também citou a Shadow AI como uma questão de risco e fator de custo. O estudo mostrou que o uso não autorizado de ferramentas de IA Oculta gerou um aumento médio de R$ 591.400 nos custos. E a adoção de ferramentas de IA (internas ou públicas), apesar de seus benefícios, adicionou um custo médio de R$ 578.850 às violações de dados.
Veja mais dados sobre o relatório no site da The Shift.
Conteúdo originalmente produzido e publicado por The Shift. Reprodução autorizada exclusivamente para a Abranet. A reprodução por terceiros, parcial ou integral, não é permitida sem autorização.
leia
também
ler maisDrex, a moeda digital nacional, teve 500 operações de 11 instituições em 50 dias de piloto
13 de setembro de 2023 | Redação da AbranetO Banco Central (BC) informou que, em 50 dias de projeto piloto, 500 transações foram bem sucedidas no Drex, a moeda digital brasileira, e 11 instituições operam na rede. Segundo a autoridade monetária, os participantes do programa começaram a ser incorporados à plataforma no fim de julho. De lá para cá, vários tipos de operações têm sido simuladas, tanto no atacado quanto no varejo, disse o BC. De acordo com a autarquia, a primeira emissão de títulos públicos federais na plataforma Drex para fins de simulação foi realizada nessa segunda-feira (11). Cada um dos participantes já habilitados recebeu uma cota da versão para simulação dos títulos públicos e, a partir de então, podem iniciar também a simulação de procedimentos de compra e venda desses títulos entre eles e entres clientes simulados, afirmou. Vários tipos de operações têm sido simuladas tanto no atacado quanto no varejo – como criação de carteiras, emissão e destruição de Drex e transferências simuladas entre bancos e entre clientes. Todos os participantes conectados já realizaram ao menos alguns desses tipos de transações, sendo que cerca de 500 operações foram conduzidas com sucesso. A primeira fase do piloto deve ser encerrada no meio de 2024, com o desenvolvimento ainda de outras facilidades na fase seguinte. A cada semana, um tipo novo de operação é realizado pelas instituições participantes. Todas essas transações são apenas simuladas e se destinam ao teste de infraestrutura básica do Drex, que ainda não conta com a soluções de proteção à privacidade que serão testadas ao longo do Piloto Drex, ressaltou o BC.
ler maisBC publica cronograma para testes do Pix Automático
04 de setembro de 2024 | Da Redação AbranetO Departamento de Competição e de Estrutura do Mercado Financeiro do Banco Central publicou nesta quarta, 4/9, uma nova instrução normativa que trata de diferentes aspectos da adesão ao Pix, além de prever a oferta de produtos e serviços adicionais ou facultativos. A norma trata de como os interessados, tenham já ou não autorização do BC para operar, devem fazer para aderirem ao sistema de pagamento instantâneo, as diversas etapas do processo e exigências para a formalização, como o projeto de experiencia do usuário, uso de QR Codes, etc. A autoridade monetária também trata de como instituições autorizadas a funcionar podem oferecer serviços adicionais, se habilitar ao Diretório de Identificadores de Contas Transacionais – DICT, ou serviços de iniciação de pagamentos, saque, por exemplo. Prevê, ainda, que uma instituição já participante do Pix, ou em processo de adesão, poderá apresentar, a qualquer tempo, pedido para ofertar ou consumir funcionalidades, de natureza facultativa, relacionadas ao Pix Automático. Além disso, a IN 511 traz um cronograma relacionado aos testes do Pix Automático: I – instituições que concluíram a etapa homologatória do processo de adesão ao Pix antes de 28 de abril de 2025, inclusive instituições participantes em operação, devem realizar com sucesso os testes entre 28 de abril de 2025 e 6 de junho de 2025; II – instituições que concluíram a etapa homologatória do processo de adesão ao Pix entre 28 de abril de 2025 e 6 de junho de 2025 devem realizar com sucesso os testes no prazo de oito semanas contadas a partir da conclusão com sucesso da etapa homologatória pertinente; III – instituições que não concluírem a etapa homologatória do processo de adesão ao Pix até 6 de junho de 2025 devem concluir os testes do Pix Automático dentro do prazo determinado para a conclusão com sucesso dessa etapa; e IV – instituições participantes em operação que ofertem conta apenas a usuários pessoa jurídica e optem por não ofertar pagamentos via Pix Automático devem encaminhar formulário cadastral indicando dispensa da oferta de Pix Automático até 4 de abril de 2025. Instituições participantes do Pix que estejam obrigadas a ofertar serviços do Pix Automático ou que, de forma facultativa, enviem até 4 de abril de 2025 formulário de atualização cadastral indicando a intenção de oferta de serviços do Pix Automático, devem cumprir os testes entre 28 de abril de 2025 e 6 de junho de 2025.
ler maisComitê que vai definir futuro da internet tem dois brasileiros
15 de julho de 2014 | Roberta PrescottPassado o evento NetMundial, agora representantes de grupos setoriais trabalham juntos para formar comitê que vai elaborar uma proposta para nortear a migração dos trabalhos da Iana, sigla em inglês para Autoridade para Designação de Números da Internet, para, ao que tudo indica, uma entidade multissetorial.; A IANA é um departamento da ICANN (em português, Corporação da Internet para Atribuição de Nomes e Números), cujo controle, até agora, é exercido pela NTIA, agência dos EUA responsável por aconselhar o presidente nos assuntos envolvendo políticas de telecomunicações e de informação.; O atual contrato do governo dos Estados Unidos com a ICANN para gerenciar as funções técnicas de DNS expira em 30 de setembro de 2015, podendo ser estendido por até quatro anos, se a comunidade precisar de mais tempo para desenvolver a proposta de transição. Desde que os Estados Unidos anunciaram sua saída, entidades do mundo todo vêm se organizando para debater como será a feita a transição e quem ficará na coordenação.; Durante o NetMundial, realizado entre 23 e 24 de abril, em São Paulo, o governo dos Estados Unidos se opôs a um modelo multilateral, apontando, entre as condicionantes para a transição, que apoiam o modelo multissetorial (multistakeholder). Os EUA também deixaram claro que não vão aceitar uma proposta de transição que substitua o papel NTIA com uma solução conduzida por algum governo ou uma solução intergovernamental.; O NetMundial foi aclamado por seus participantes por indicar uma série de princípios que devem reger a internet, como a neutralidade de rede, a liberdade de expressão e o direito de acesso. A consolidação destes princípios foi o grande legado, como explicou para a Abranet Vanda Scartezini, representante para a América Latina da ONG PIR. ; ; Cada um dos grupos dos stakeholders, líderes dos principais setores da cada sociedade interessados no tema, elege os participantes que integrarão o comitê, sempre visando ao caráter técnico e não político. No total, cerca de 30 pessoas integrarão o comitê de trabalho cujo objetivo é apresentar uma proposta do que poderia substituir o controle que hoje é da NTIA. Dois brasileiros fazem parte deste comitê: Demi Getschko, do Núcleo de Informação e Coordenação do Ponto BR (NIC.br), e Hartmut Richard Glaser, secretário-executivo do Comitê Gestor da Internet no Brasil – CGI.br.; A expectativa, explica Vanda Scartezini, é ter alguma proposta no próximo encontro da ICANN, em outubro em Los Angeles. Despois disto, as ideias vão para consulta pública, quando recebem críticas e sugestões, que são compiladas e analisadas. “Esta é a primeira fase de trabalhos. Como é um grupo grande, imagino que eles devam se dividir em subgrupos”, comenta. ; ;