Análise dos custos de violação de dados para obter melhores métricas

Equívocos sobre os custos de violação de dados e os efeitos em cascata dessas violações podem ter impactos de longo alcance. Para esclarecer esses equívocos, dois pesquisadores de segurança decidiram determinar as falsidades mais comuns sobre o custo das violações e encontrar métricas de custo mais precisas.

David Severski e Wade Baker, cientista sênior de segurança de dados e cofundador, respectivamente, da empresa de pesquisa e ciência de dados Cyentia Institute, descobriram que as suposições sobre os custos médios por registro em violações de dados geralmente são falhas e que mais dados disponíveis publicamente podem ajudar as organizações a fazer decisões de segurança melhores e orientadas por dados.

Ao estudar os dados de violações disponíveis publicamente, a equipe também descobriu que as suposições sobre terceirizados serem os elos fracos de uma cadeia de suprimentos ofuscaram o impacto significativo que uma violação em uma organização maior pode ter sobre esses mesmos contratados e fornecedores. Esses eventos de ondulação —definidos por Severski e Baker como "perdas diretas ou indiretas incorridas por partes além da organização central da vítima em um incidente cibernético"— significam que as violações de dados com várias partes afetadas podem custar até 13 vezes mais do que se apenas a vítima original é levado em consideração.

Severski e Baker publicaram suas descobertas sobre o custo das violações de dados no Cyentia Information Risk Insights Study (IRIS 20/20) e os efeitos cascata das violações no Ripples Across the Risk Surface (em colaboração com a empresa de avaliação de risco automatizada RiskRecon). Eles discutiram o assunto no Black Hat 2020.

Quais são alguns dos maiores equívocos sobre os custos de violação de dados?

David Severski

David Severski: Estamos agora em uma era em que temos acesso a informações que podem nos ajudar a tomar decisões baseadas em dados sobre o tamanho das perdas por violação de dados. Podemos mostrar quais são essas perdas para violações ao longo do tempo e podemos validar ou refutar algumas métricas comuns para estimar o tamanho das perdas. Essas métricas, que são comumente usadas, têm ramificações graves sobre como os formuladores de políticas e tomadores de decisão orientam seus programas de risco.

Wade Baker: Algumas das coisas que começam a ganhar força e compartilhamento de mente são dados totalmente errados, absurdos ou um mito completo. É meio louco.

Há esse 'fato' —estou colocando a palavra 'fato' entre aspas no ar— que vem acontecendo há anos que 60% das pequenas empresas falham após uma violação de segurança. Já vi isso repetido em vários artigos, mas não há base para isso. A National Cyber ​​Security Alliance foi atribuída como a origem, mas ela divulgou uma declaração dizendo: 'Não é de nós'.

Severski: Outro relatório no início deste ano analisou cerca de 115 violações de segurança relacionadas à nuvem e levou com a manchete de que resultaram em US$ 5 trilhões em perdas. Mas, quando você começa a pensar nisso, percebe que US$ 5 trilhões são 25% do Produto Interno Bruto dos EUA.

De onde vem esse número? Esse relatório em particular pegou 33 ou alguns bilhões de registros potencialmente expostos nessas violações e multiplicou isso por uma métrica comum, que é um custo estático de US$ 150 por registro.

Esse custo por registro é simplesmente incorreto. Foi um ponto de partida bastante decente, dada a falta de informações que tínhamos anos atrás, mas temos acesso a informações muito melhores agora, seja por meio de um parceiro científico ou registros públicos de violação.

Qual seria uma estimativa melhor com base em sua pesquisa?

Severski: Se você quiser fazer uma estimativa melhor, a violação típica divulgada publicamente custa cerca de US$ 200.000. Você tem eventos realmente grandes que têm grandes custos e, em seguida, você tem um evento em que um pequeno número de registros pode ser exposto ou um grande número de registros com um custo total muito pequeno. Usar uma métrica contra todas essas perdas diferentes simplesmente não é apropriado.

Quando dizemos que uma métrica de cerca de US$ 200.000 é o custo de uma violação típica, isso ocorre em toda a população de organizações. Mas, para uma empresa da Fortune 1000, o custo tende a ser em torno de US$ 400.000 a US$ 500.000. Esses custos são certamente reais e não devem ser descartados. Mas, para uma organização cujas receitas são medidas em bilhões, isso não é materialmente significativo.

Por outro lado, se você observar as pequenas e médias empresas em que as receitas anuais são de US$ 100.000 por ano e sofrem uma violação de US$ 200.000, isso é significativo.

Os custos de violação não são sentidos igualmente por todos os setores da economia, o que tem implicações na política quando você analisa isso de uma perspectiva regulatória e tenta considerar: quanto devo me preocupar com a divulgação de informações, seja PII [informações de identificação pessoal], PHI [informações de saúde protegidas] ou informações financeiras?

É melhor levar em conta o tamanho de uma empresa ou o tipo de dados em uma violação?

Wade Baker

Baker: Vimos algumas diferenças de acordo com a indústria, mas o tamanho foi um grande diferencial quando se trata de perdas esperadas. Se você observar a forma como muitas apólices de seguro cibernético são escritas, elas incluem o setor e o tamanho, e devolvem seu prêmio ou sua avaliação de risco. Agora podemos começar a entender quais são os fatores reais, e acho que isso terá impactos positivos à medida que procuramos gerenciar riscos e definir políticas para o futuro.

Por que você acha que os efeitos em cascata de uma violação nos contratados ou fornecedores terceirizados de uma organização não foram abordados em outros relatórios?

Severski: É difícil obter informações sobre isso. Não há relatórios unificados para esses tipos de coisas. Essa é uma das coisas sobre as quais falamos, essa necessidade de mudar de um modelo punitivo de divulgação de violação —onde você tem que responder e é potencialmente multado e recebe a má imprensa etc— para mais de um modelo proativo e benéfico em que uma organização diz: 'Estamos respondendo a isso e compartilhando o que aprendemos sobre essas violações para ajudar outras organizações a responder no futuro'. Podemos obter uma fonte de dados muito melhor.

Baker: O foco está na organização central que sofre a violação. Essas ondulações mais amplas não são realmente trazidas à luz, e as empresas afetadas por elas podem não querer ser expostas.

Nossa pesquisa mostra uma diferença entre organizações que tendem a gerar esses eventos de repercussão e organizações que tendem a recebê-los. As organizações centrais nesses eventos de ondulação são grandes empresas, e os receptores tendem a ser SMBs —esses são os fornecedores.

A maneira como fazemos segurança e definimos políticas de segurança quando se trata de terceiros é da perspectiva de uma organização central tentando se proteger desses fornecedores. Se pudermos mudar nosso entendimento para o fato de que grandes organizações podem impactar os fornecedores, talvez possa haver uma mentalidade mais coletiva de 'estamos juntos nisso'.