O que é uma violação de dados?

Os termos “violação de dados” e “invasão” são frequentemente usados como sinônimos de “ataque cibernético”. No entanto, nem todo ataque cibernético é uma violação de dados. Violações de dados se referem apenas a incidentes em que alguém obtém acesso não autorizado a dados.

Por exemplo, um ataque dedistributed denial-of-service (DDoS) que sobrecarrega um site não é uma violação de dados. Um ataque de ransomware que bloqueia os dados dos clientes de uma empresa e ameaça vazá-los, a menos que a empresa pague um resgate, é uma violação de dados. O roubo físico de discos rígidos, unidades flash USB ou até mesmo arquivos em papel contendo informações confidenciais também é uma violação de dados.

Segundo o relatório do custo das violações de dados da IBM, o custo médio global de uma violação de dados é de USD 4,88 milhões. Embora organizações de todos os tamanhos e tipos sejam vulneráveis a violações, a gravidade dessas violações e os custos de remediação podem variar.

Por exemplo, o custo médio de uma violação de dados nos Estados Unidos é de USD 9,36 milhões, cerca de 4 vezes o custo de uma violação na Índia (USD 2,35 milhões).

As consequências de uma violação tendem a ser particularmente severas para organizações de setores altamente regulados, como integridade, finanças e setor público, onde multas pesadas e penalidades podem aumentar os custos. Por exemplo, segundo um relatório da IBM, o custo médio de uma violação de dados no setor de saúde é de USD 9,77 milhões, o dobro da média geral das violações.

Os custos de uma violação de dados decorrem de diversos fatores. Segundo um relatório da IBM, quatro elementos principais se destacam: perda de negócios, detecção e contenção, resposta após a violação e notificação.

A perda de negócios, receita e clientes resultante de uma violação custa às organizações, em média, USD 1,47 milhão. O custo para detectar e conter a violação é ainda maior, chegando a USD 1,63 milhão. As despesas após a violação, incluindo multas, acordos, honorários legais, monitoramento de crédito sem custo para os clientes afetados e outros gastos semelhantes, custam, em média, USD 1,35 milhão às vítimas de violações.

Os custos de notificação, que incluem relatar violações a clientes, órgãos reguladores e outras partes interessadas, são os mais baixos, somando USD 430.000. No entanto, os requisitos de notificação ainda podem ser onerosos e demorados.

• A Lei de notificação de incidentes cibernéticos para infraestruturas críticas dos EUA de 2022 (CIRCIA) exige que organizações dos setores de segurança nacional, financeiro e outros setores designados relatem incidentes cibernéticos que afetem dados pessoais ou operações comerciais ao Departamento de Segurança Interna dentro de 72 horas.
  
  

• Organizações dos EUA sujeitas à Lei de portabilidade e responsabilidade de planos de saúde (HIPAA) devem notificar o Departamento de Saúde e Serviços Humanos dos EUA, as pessoas afetadas e, em alguns casos, a mídia, se houver violação de informações de saúde protegidas.
  
  

• Todos os 50 estados dos EUA também têm suas próprias leis de notificação de violação de dados.
  
  

• O Regulamento Geral sobre a Proteção de Dados (GDPR) exige que as empresas que fazem negócios com cidadãos da UE notifiquem as autoridades sobre violações dentro de 72 horas.
  

As violações de dados são causadas por:

• Erros inocentes, como um funcionário enviar informações confidenciais para a pessoa errada por e-mail.
  
   

• Agentes internos maliciosos, como funcionários demitidos ou insatisfeitos que desejam prejudicar a empresa e funcionários gananciosos que querem lucrar com os dados da empresa.
   

• Hackers, agentes externos maliciosos que cometem crimes cibernéticos intencionais para roubar dados. Hackers podem agir sozinhos ou como parte de um grupo organizado.

O ganho financeiro é a principal motivação para a maioria das violações maliciosas de dados. Os Hackers roubam números de cartão de crédito, contas bancárias ou outras informações financeiras para retirar fundos diretamente das pessoas e empresas.

Alguns invasores roubam informações de identificação pessoal (PII)–como números da segurança social e números de telefone–para roubar a identidade, contrair empréstimos e contratar cartões de crédito em nome de suas vítimas. Os cibercriminosos também podem vender as informações de identificação pessoal e das contas roubadas na dark web, onde podem receber até USD 500 pelas credenciais de login de um banco.¹

Uma violação de dados também pode ser a primeira fase de um ataque maior. Por exemplo, hackers podem roubar senhas de contas de e-mail de executivos corporativos e usar essas contas para realizar golpes de comprometimento de e-mails comerciais.

As violações de dados podem ter outros objetivos além do enriquecimento pessoal. Organizações sem escrúpulos podem roubar segredos comerciais dos concorrentes e intervenientes estatais podem violar os sistemas do governo para roubar informações sobre negociações políticas confidenciais, operações militares ou infraestrutura nacional.

A maioria das violações de dados intencionais causadas por agentes de ameaça internos ou externos segue o mesmo padrão básico:

1.  Pesquisa: o agente de ameaça identifica um alvo e procura por vulnerabilidades que possa usar para invadir o sistema. Essas vulnerabilidades podem ser técnicas, como controles de segurança inadequados, ou humanas, como funcionários suscetíveis a engenharia social.
   
   
2. Ataque: o agente de ameaça inicia um ataque ao alvo usando o método escolhido. O atacante pode enviar um e-mail de spear phishing, explorar diretamente vulnerabilidades no sistema, usar credenciais de login roubadas para assumir uma conta ou recorrer a outros vetores comuns de ataque em violações de dados.
   
   
3. Comprometimento de dados: dentro do sistema, o atacante localiza os dados desejados e executa sua ação. Táticas comuns incluem exfiltração de dados para venda ou uso, destruição dos dados ou bloqueio dos dados para exigir um resgate.
   

Agentes maliciosos podem usar vários vetores de ataques ou métodos para realizar violações de dados. Alguns dos mais comuns incluem:

A violação sofrida pela TJX Corporation (controladora das redes TJ Maxx e Marshalls) em 2007 foi, à época, a maior e mais cara violação de dados de consumidores da história dos EUA. Cerca de 94 milhões de registros de clientes foram comprometidos, e a empresa teve mais de USD 256 milhões em prejuízos financeiros.

Os hackers obtiveram acesso aos dados instalando sniffers de tráfego nas redes sem fio de duas lojas. Os sniffers permitiram que os hackers capturassem informações à medida que eram transmitidas das caixas registradoras da loja para os sistemas de back-end.

Em 2013, o Yahoo sofreu o que pode ter sido a maior violação de dados da história. Hackers exploraram uma falha no sistema de cookies da empresa para acessar os nomes, datas de nascimento, endereços de e-mail e senhas de todos os 3 bilhões de usuários da plataforma.

A gravidade total da violação foi revelada em 2016, quando a Verizon estava em negociações para comprar a empresa. Como resultado, a Verizon reduziu sua oferta de aquisição em USD 350 milhões.

Em 2017, hackers invadiram a agência de crédito Equifax e acessaram os dados pessoais de mais de 143 milhões de norte-americanos.

Os hackers exploraram uma vulnerabilidade não corrigida no site da Equifax para obter acesso à rede. Os hackers então se deslocaram lateralmente para outros servidores para encontrar números da Segurança Social, números da carteira de motorista e números de cartão de crédito. O ataque custou à Equifax USD 1,4 bilhão entre liquidações, multas e outros custos associados à reparação da violação.

Em 2020, os agentes de ameaças russos executaram um ataque à cadeia de suprimentos atacando o fornecedor de software SolarWinds. Os hackers usaram a plataforma de monitoramento de rede da organização, Orion, para distribuir secretamente malware para os clientes da SolarWinds.

Espiões russos obtiveram acesso a informações confidenciais de várias agências governamentais dos EUA, incluindo os Departamentos do Tesouro, Justiça e Estado, que utilizavam os serviços da SolarWinds.

Em 2021, hackers infectaram os sistemas da Colonial Pipeline com ransomware, forçando a empresa a interromper temporariamente o funcionamento do oleoduto que abastece 45% do combustível da Costa Leste dos EUA.

Os hackers conseguiram acesso à rede usando uma senha de funcionário que encontraram na dark web. A empresa pagou USD 4,4 milhões em resgate, em criptomoeda, mas as autoridades federais recuperaram cerca de USD 2,3 milhões desse valor.

No outono de 2023, hackers roubaram os dados de 6,9 milhões de usuários da 23andMe. A violação foi notável por alguns motivos. Primeiro, como a 23andMe realiza testes genéticos, os invasores obtiveram informações extremamente pessoais, como árvores genealógicas e dados de DNA.

Em segundo lugar, os hackers violaram contas de usuários por meio de uma técnica chamada "preenchimento de credenciais." Nesse tipo de ataque, os hackers usam credenciais expostas em vazamentos anteriores de outras fontes para invadir as contas não relacionadas dos usuários em diferentes plataformas. Esses ataques funcionam porque muitas pessoas reutilizam o mesmo nome de usuário e senha em vários sites.

De acordo com o relatório do custo das violações de dados, são necessários, em média, 272 dias para identificar e conter uma violação ativa em todos os setores. Implementar as soluções de segurança adequadas pode ajudar as organizações a detectar e responder mais rapidamente a essas violações.

Medidas padrão, como avaliações regulares de vulnerabilidade, backups programados, aplicação de correções em tempo hábil e configurações adequadas do banco de dados, podem ajudar a evitar algumas violações e amenizar o impacto das que ocorrem.

No entanto, muitas organizações hoje implementam controles mais avançados e melhores práticas para impedir mais violações e mitigar significativamente os danos que elas causam.

As organizações podem implementar soluções especializadas de segurança de dados para descobrir e classificar automaticamente dados sensíveis, aplicar criptografia e outras proteções e obter insights em tempo real sobre o uso dos dados.

As organizações podem mitigar os danos causados por violações adotando planos formais de resposta a incidentes para detectar, conter e erradicar ameaças cibernéticas. Segundo o relatório do custo das violações de dados, a área de segurança que mais recebeu investimentos neste ano foi o planejamento e testes de resposta a incidentes, representando 55% de todos os entrevistados.

Organizações que integram amplamente inteligência artificial (IA) e automação nas operações de segurança resolvem violações quase 100 dias mais rápido do que aquelas que não o fazem, segundo o relatório Cost of a Data Breach. O relatório também constatou que IA e automação reduzem o custo médio de uma violação em USD 1,88 milhão, uma economia de mais de 30%.

Muitas ferramentas de segurança de dados, prevenção contra perda de dados e gerenciamento de acesso e identidade agora incorporam IA e automação.

Como ataques de engenharia social e phishing são causas principais de violações, treinar funcionários para reconhecer e evitar esses ataques pode reduzir o risco de uma empresa sofrer uma violação de dados. Além disso, treinar os funcionários para lidar corretamente com dados pode ajudar a prevenir violações e violações acidentais de dados.

Gerenciadores de senhas, autenticação de dois fatores (2FA) ou autenticação multifator (MFA), logon único (SSO) e outras ferramentas de gerenciamento de acesso e identidade (IAM) podem proteger as contas e credenciais dos colaboradores contra roubo.

As organizações também podem aplicar controles de acesso baseados em funções e o princípio do menor privilégio para limitar o acesso dos funcionários somente aos dados de que precisam para suas funções. Essas políticas podem ajudar a impedir ameaças internas e hackers que sequestram contas legítimas.