Atualizado em: 24 de maio de 2024
Colaborador: Matthew Kosinski
Uma violação de dados é qualquer incidente de segurança no qual partes não autorizadas obtêm acesso a dados sensíveis ou informações confidenciais, incluindo dados pessoais (números de Segurança Social, números de contas bancárias, informações de saúde) ou dados corporativos (dados de clientes, propriedade intelectual, informações financeiras).
Os termos "violação de dados" e "violação" são frequentemente usados de forma intercambiável com "ataque cibernético." No entanto, nem todos os ataques cibernéticos são violações de dados. As violações de dados incluem somente as violações de segurança na que alguém obtém acesso não autorizado aos dados.
Por exemplo, um ataque dedistributed denial-of-service (DDoS) que sobrecarrega um site não é uma violação de dados. Um ataque de ransomware que bloqueia os dados dos clientes de uma empresa e ameaça vazá-los, a menos que a empresa pague um resgate, é uma violação de dados. O roubo físico de discos rígidos, unidades flash USB ou até mesmo arquivos em papel contendo informações confidenciais também é uma violação de dados.
Obtenha insights para gerenciar melhor o risco de uma violação de dados com o relatório mais recente do custo das violações de dados.
De acordo com o relatório de custo da violação de dados da IBM de 2023 , o custo médio global de uma violação de dados é de US$ 4,45 milhões. Embora as organizações de todos os tamanhos e tipos sejam vulneráveis a violações, a gravidade dessas violações e os custos para remediá-las podem variar.
Por exemplo, o custo médio de uma violação de dados nos Estados Unidos é de US$ 9,48 milhões, mais de 4 vezes o custo de uma violação na Índia (US$ 2,18 milhões).
As consequências das violações tendem a ser especialmente graves para organizações em áreas altamente regulamentadas, como saúde, finanças e setor público, onde multas e penalidades pesadas podem agravar os custos. Por exemplo, de acordo com o relatório da IBM, o custo médio das violações de dados na área de saúde foi de US$ 10,93 milhões, mais do que o dobro do custo médio de todas as violações.
Os custos da violação de dados decorrem de vários fatores, e o relatório da IBM aponta os quatro principais: perda de negócios, detecção e contenção, resposta pós-violação e notificação.
A perda de negócios, receita e clientes resultante de uma violação custa às organizações US$ 1,30 milhão, em média. O preço de detectar e conter a violação é ainda maior, de US$ 1,58 milhão. As despesas pós-violação – incluindo multas, acordos, taxas legais, fornecimento de monitoramento de crédito gratuito aos clientes afetados e despesas semelhantes – custam à vítima média de violação US$ 1,20 milhão.
Os custos de notificação, que incluem a comunicação das violações aos clientes, reguladores e outros terceiros, são os mais baixos, de US$ 370.000. No entanto, os requisitos de comunicação ainda podem ser onerosos e demorados.
A Lei de Relato de Incidentes Cibernéticos para Infraestrutura Crítica dos EUA de 2022 (CIRCIA) exige que organizações nos setores de segurança nacional, finanças e outros setores designados relatem incidentes de cibersegurança que afetem dados pessoais ou operações comerciais ao departamento de segurança interna dentro de 72 horas.
As organizações dos EUA sujeitas à Lei de Portabilidade e Responsabilidade de Planos de Saúde (HIPAA) devem notificar o Departamento de Saúde e Serviços Humanos dos EUA, os indivíduos afetados e, às vezes, a mídia se as informações de saúde protegidas forem violadas.
Todos os 50 estados dos EUA também têm suas próprias leis de notificação de violação de dados.
O Regulamento Geral de Proteção de Dados (GDPR) exige que as empresas que fazem negócios com cidadãos da UE notifiquem as autoridades sobre as violações dentro de 72 horas.
Cadastre-se no X-Force Threat Intelligence Index
As violações de dados são causadas por:
Erros inocentes, como um funcionário enviar informações confidenciais por e-mail para a pessoa errada.
Agente interno malicioso, incluindo funcionários irritados ou demitidos que querem prejudicar a empresa e funcionários gananciosos que querem lucrar com os dados da empresa.
Hackers, pessoas de fora mal-intencionadas que cometem crimes cibernéticos intencionais para roubar dados. Os hackers podem atuar como operadores solitários ou como parte de uma rede organizada.
O ganho financeiro é a principal motivação para a maioria das violações maliciosas de dados. Os Hackers roubam números de cartão de crédito, contas bancárias ou outras informações financeiras para retirar fundos diretamente das pessoas e empresas.
Alguns invasores roubam informações de identificação pessoal (PII)–como números da segurança social e números de telefone–para roubar a identidade, contrair empréstimos e contratar cartões de crédito em nome de suas vítimas. Os cibercriminosos também podem vender as informações de identificação pessoal e das contas roubadas na dark web, onde podem receber até US$ 500 pelas credenciais de login de um banco.1
Uma violação de dados também pode ser a primeira fase de um ataque maior. Por exemplo, os hackers podem roubar as senhas das contas de e-mail de executivos corporativos e usar essas contas para realizar golpes de comprometimento de e-mail comercial.
As violações de dados podem ter outros objetivos além do enriquecimento pessoal. Organizações sem escrúpulos podem roubar segredos comerciais dos concorrentes e intervenientes estatais podem violar os sistemas do governo para roubar informações sobre negociações políticas confidenciais, operações militares ou infraestrutura nacional.
Algumas violações são puramente destrutivas, e os hackers acessam os dados confidenciais para destruí-los ou descaracterizá-los. De acordo com o relatório do custo das violações de dados, esses ataques destrutivos representam 25% das violações maliciosas. Esses ataques geralmente são obra de agentes de estados-nação ou grupos hacktivistas que buscam prejudicar uma organização.
A maioria das violações intencionais de dados causadas por agentes de ameaças internos ou externos segue o mesmo padrão básico:
- Pesquisa: o agente de ameaça identifica um alvo e procura pontos fracos que eles podem usar para invadir o sistema do alvo. Esses pontos fracos podem ser técnicos, como controles de segurança inadequados, ou humanos, como funcionários suscetíveis à engenharia social.
- Ataque: o agente da ameaça inicia um ataque ao alvo usando o método escolhido. O invasor pode enviar um e-mail spear phishing, explorar diretamente as vulnerabilidades do sistema, usar credenciais de login roubadas para assumir uma conta ou aproveitar outros vetores comuns de ataque de violação de dados.
- Comprometer dados: dentro do sistema, o invasor localiza os dados que deseja e faz o que tem que fazer. As táticas comuns incluem a exfiltração de dados para venda ou uso, a destruição dos dados ou o bloqueio dos dados para exigir um resgate.
Agentes maliciosos podem usar vários vetores de ataques ou métodos para realizar violações de dados. Alguns dos mais comuns incluem:
De acordo com o relatório decusto das violações de dados de 2023,as credenciais roubadas ou comprometidas são o segundo vetor de ataque inicial mais comum, representando 15% das violações de dados.
Os hackers podem comprometer as credenciais usando ataques de força bruta para decifrar senhas, comprando credenciais roubadas na dark web ou enganando os funcionários para que revelem suas senhas por meio de ataques de engenharia social.
A engenharia social é o ato de manipular psicologicamente as pessoas para que, sem querer, comprometam a própria segurança da informação.
O phishing, o tipo mais comum de ataque de engenharia social, também é o vetor de ataque de violação de dados mais comum, representando 16% das violações. Os golpes de phishing usam e-mails, mensagens de texto, conteúdo de mídia social ou sites fraudulentos para enganar os usuários e fazer com que compartilhem suas credenciais ou baixem um malware.
O ransomware, um tipo de malware que mantém os dados reféns até que a vítima pague o resgate, está envolvido em 24% das violações maliciosas, de acordo com o relatório do custo das violações de dados. Essas violações também tendem a ser mais caras, custando em média US$ 5,13 milhões. Esse valor não inclui os pagamentos de resgate, que podem chegar a dezenas de milhões de dólares.
Os cibercriminosos podem obter acesso a uma rede-alvo explorando pontos fracos em sites, sistemas operacionais, endpoints, APIs e softwares comuns, como o Microsoft Office ou outros ativos de TI.
Os agentes da ameaça não precisam atingir seus alvos diretamente. Nos ataques à cadeia de suprimentos, os hackers exploram as vulnerabilidades nas redes dos prestadores de serviços e fornecedores de uma empresa para roubar seus dados.
Quando os hackers localizam uma vulnerabilidade, eles geralmente a usam para plantar um malware na rede. O spyware, que registra as teclas pressionadas de uma vítima e outros dados confidenciais e os envia de volta para um servidor que os hackers controlam, é um tipo comum de malware usado nas violações de dados.
Outro método de violação direta de sistemas de destino é o SQL injection, que tira proveito dos pontos fracos dos bancos de dados em Linguagem de Consulta Estruturada (SQL) de sites não seguros.
Os hackers inserem códigos maliciosos em campos voltados para o usuário, como barras de pesquisa e janelas de login. Esse código faz com que o banco de dados divulgue dados privados, como números de cartão de crédito ou informações pessoais dos clientes.
Os agentes de ameaça podem aproveitar os erros dos funcionários para obter acesso às informações confidenciais.
Por exemplo, sistemas mal configurados ou desatualizados podem permitir que partes não autorizadas acessem dados que não deveriam. Os funcionários podem expor dados ao armazená-los em locais não seguros, perder dispositivos com informações confidenciais salvas em seus discos rígidos ou conceder privilégios de acesso excessivos a usuários da rede por engano. Os cibercriminosos podem usar falhas de TI, como interrupções temporárias do sistema, para entrar em bancos de dados confidenciais.
De acordo com o relatório do custo das violações de dados, as configurações incorretas na nuvem são responsáveis por 11% das violações. As vulnerabilidades conhecidas e não corrigidas são responsáveis por 6% das violações. A perda acidental de dados, incluindo dispositivos perdidos ou roubados, representa outros 6%. Ao todo, esses erros estão por trás de quase um quarto de todas as violações.
Os agentes de ameaças podem invadir os escritórios da empresa para roubar dispositivos, documentos em papel e discos rígidos físicos dos funcionários contendo dados confidenciais. Os invasores também podem colocar dispositivos de espionagem em leitores físicos de cartões de crédito e débito para coletar informações de cartões de pagamento.
A violação de 2007 da TJX Corporation, a empresa-controladora das varejistas TJ Maxx e Marshalls, foi na época a maior e mais cara violação de dados do consumidor na história dos EUA. Cerca de 94 milhões de registros de clientes foram comprometidos, e a empresa sofreu mais de US$ 256 milhões em perdas financeiras.
Os hackers obtiveram acesso aos dados instalando sniffers de tráfego nas redes sem fio de duas lojas. Os sniffers permitiram que os hackers capturassem informações à medida que eram transmitidas das caixas registradoras da loja para os sistemas de back-end.
Em 2013, o Yahoo sofreu o que pode ter sido a maior violação de dados da história. Os hackers exploraram uma falha no sistema de cookies da empresa para acessar os nomes, datas de nascimento, endereços de e-mail e senhas de todos os 3 bilhões de usuários do Yahoo.
A gravidade total da violação foi revelada em 2016, quando a Verizon estava em negociações para comprar a empresa. Como resultado, a Verizon reduziu sua oferta de aquisição em US$ 350 milhões.
Em 2017, hackers violaram a agência de relatórios de crédito Equifax e acessaram os dados pessoais de mais de 143 milhões de americanos.
Os hackers exploraram uma vulnerabilidade não corrigida no site da Equifax para obter acesso à rede. Os hackers então se deslocaram lateralmente para outros servidores para encontrar números da Segurança Social, números da carteira de motorista e números de cartão de crédito. O ataque custou à Equifax US$ 1,4 bilhão entre liquidações, multas e outros custos associados à reparação da violação.
Em 2020, os agentes de ameaças russos executaram um ataque à cadeia de suprimentos atacando o fornecedor de software SolarWinds. Os hackers usaram a plataforma de monitoramento de rede da organização, Orion, para distribuir secretamente malware para os clientes da SolarWinds.
Os espiões russos obtiveram acesso a informações confidenciais de várias agências governamentais dos EUA, incluindo os Departamentos do Tesouro, da Justiça e de Estado, que utilizam os serviços da SolarWinds.
Em 2021, hackers infectaram os sistemas da Colonial Pipelin com ransomware, forçando a empresa a desligar temporariamente o pipeline que fornece 45% do combustível da costa leste dos EUA.
Os hackers violaram a rede usando a senha de um funcionário que encontraram na dark web. A Colonial Pipeline Company pagou um resgate de US$ 4,4 milhões em criptomoedas, mas a polícia federal recuperou cerca de USD 2,3 milhões desse pagamento.
No outono de 2023, hackers roubaram os dados de 6,9 milhões de usuários da 23andMe. A violação foi notável por alguns motivos. Primeiro, como a 23andMe realiza testes genéticos, os invasores obtiveram algumas informações não convencionais e altamente pessoais, incluindo árvores genealógicas e dados de DNA.
Em segundo lugar, os hackers violaram contas de usuários por meio de uma técnica chamada "preenchimento de credenciais." Nesse tipo de ataque, os hackers usam credenciais expostas em vazamentos anteriores de outras fontes para invadir as contas não relacionadas dos usuários em diferentes plataformas. Esses ataques funcionam porque muitas pessoas reutilizam as mesmas combinações de nome de usuário e senha em vários sites.
De acordo com o relatório do custo das violações de dados, as organizações levam em média 277 dias para identificar e conter uma violação ativa. A implementação das soluções de segurança certas pode ajudar as organizações a detectar e responder a essas violações com mais rapidez.
Medidas padrão, como avaliações regulares de vulnerabilidade, backups programados, aplicação de correções em tempo hábil e configurações adequadas do banco de dados, podem ajudar a evitar algumas violações e amenizar o impacto das que ocorrem.
No entanto, muitas organizações hoje implementam controles mais avançados e melhores práticas para impedir mais violações e mitigar significativamente os danos que elas causam.
As organizações podem implementar soluções especializadas de segurança de dados para descobrir e classificar automaticamente dados confidenciais, aplicar criptografia e outras proteções e obter informações em tempo real sobre o uso de dados.
As organizações podem mitigar os danos causados por violações adotando planos formais de resposta a incidentes para detectar, conter e erradicar ameaças cibernéticas. De acordo com o relatório de custo das violações de dados, as organizações com planos de resposta a incidentes testados regularmente e equipes de resposta dedicadas reduzem o tempo necessário para conter as violações em uma média de 54 dias.
As organizações que integram amplamente a inteligência artificial (IA) e a automação nas operações de segurança resolvem as violações 108 dias mais rápido do que aquelas que não o fazem, de acordo com o relatório do custo das violações de dados. O relatório também descobriu que a IA e a automação de segurança também reduzem o custo médio de uma violação em USD 1,76 milhão ou 40%.
Muitas ferramentas de segurança de dados, prevenção contra perda de dados e gerenciamento de acesso e identidade agora incorporam IA e automação.
Como os ataques de engenharia social e phishing são as principais causas de violações, treinar funcionários para que reconheçam e evitem esses ataques pode reduzir o risco de violação de dados de uma empresa. Além disso, treinar os funcionários para que lidem adequadamente com os dados pode ajudar a evitar violações e vazamentos acidentais de dados.
Gerenciadores de senhas, autenticação de dois fatores (2FA) ou autenticação multifator (MFA), login único (SSO) e outras ferramentas de gerenciamento de acesso e identidade (IAM) podem proteger as contas e credenciais dos funcionários contra roubo.
As organizações também podem aplicar controles de acesso baseados em funções e o princípio do menor privilégio para limitar o acesso dos funcionários somente aos dados de que precisam para suas funções. Essas políticas podem ajudar a impedir ameaças internas e hackers que sequestram contas legítimas.
Proteja os dados em nuvens híbridas e facilite a conformidade com os requisitos.
Fortaleça a proteção da privacidade de dados, conquiste a confiança do cliente e expanda seus negócios.
Melhore o programa de resposta a incidentes da sua organização, minimize o impacto de uma violação e experimente respostas rápidas a incidentes de cibersegurança.
Saiba como melhorar a segurança dos seus dados e a postura de conformidade centralizando a segurança, lidando com vulnerabilidades e muito mais.
Saiba como o cenário de segurança atual está mudando e como enfrentar os desafios e aproveitar a resiliência da IA generativa.
Saiba como o ransomware funciona, por que ele se proliferou nos últimos anos e como as organizações se defendem contra ele.
Notas de rodapé
1 How Much Do Hackers Make From Stealing Your Data? (link externo ao site ibm.com), Nasdaq. 16 de outubro de 2023