SÃO PAULO, SP (FOLHAPRESS) - O Brasil é o quarto local em termos de volume de informação vazada a cada vez que ocorre um incidente de segurança, mas o prejuízo financeiro para as empresas que falharam na proteção dos dados é o menor de todos. E os custos para as companhias atingidas vêm em alta no país.
Os dados são da pesquisa anual da IBM em parceria com o Instituto Ponemon "Cost of a Data Breach", que, em 2019, avaliou mais de 500 empresas (35 no Brasil) em 16 regiões e países. O relatório foi obtido com exclusividade pela Folha de S.Paulo no Brasil.
Segundo o levantamento, a cada incidente no país, foram 26.523 registros de informação vazados, atrás apenas de Oriente Médio (38.800), Índia (35.636) e EUA (32.434). Na edição anterior do estudo, o Brasil era o quinto colocado.
O volume de dados, no entanto, não se reflete em cifras. Cada episódio gera, em média, prejuízos de US$ 1,35 milhão (R$ 5 milhões) para as empresas e uma média de US$ 69 (R$ 260) por registro, os menores números entre as localidades pesquisadas.
João Rocha, diretor de cibersegurança da IBM Brasil, diz que o valor é alto, apesar de parecer baixo na comparação. O montante é calculado em dólar e isso coloca o somatório em real em desvantagem, justifica o especialista.
O estado da transformação digital também pesa. Como os brasileiros estão mais atrasados do que outros países, diz, não há tanto prejuízo com a perda de clientes. Lá fora, ao sentir quebra de confiança numa empresa por má gestão de dados pessoais, há mais opções de concorrentes a quem migrar.
Numa esfera global, aponta o estudo, a maior parte dos prejuízos ligados a um vazamento se refere à perda de negócios (36,2%), seguida por detecção do problema em si (31,1%), reparo de eventuais problemas (27,3%) e notificação de quem teve sua informação disseminada (5,4%).
A tese da evasão de usuários é corroborada por Renato Leite Monteiro, professor do Data Privacy Brasil.
"Mesmo que uma empresa tenha vazado dados, as pessoas preferem a conveniência do serviço a deixar de usar por não garantir segurança adequada", diz.
Outro aspecto é o legal. No exterior, há um cenário mais robusto de responsabilização de quem é atingido por essas falhas. "No Brasil, ainda não há obrigação de notificação [de pessoas expostas], e as empresas dificilmente vão ser multadas por vazamentos", diz Monteiro. A expectativa é que a situação mude com a Lei Geral de Proteção de Dados, mas a longo prazo.
As séries históricas dos prejuízos a empresas por vazamentos de dados mostram montantes médios mais altos em 2016 em relação a 2019 tanto globalmente quanto no Brasil. Apesar da oscilação, o diretor da IBM João Rocha diz que o cenário geral é de aumento nos danos financeiros sofridos.
"O que acontece é que você sempre tem uma ação e reação. Quando você tem incidentes, investe mais [e o impacto diminui]. Depois dá uma relaxada e volta a acontecer", avalia. Há ainda uma transformação nas características dos ataques. "O cibercrime se expande e cria novas formas de atuar", afirma.
A novidade neste ano é os criminosos passarem a trocar o ransomware --uma espécie de sequestro de informações digitais-- pela extorsão.
Eles passaram a roubar os dados das empresas e ameaçar divulgar as informações caso não recebam dinheiro. Pagar aos criminosos pode compensar financeiramente para as vítimas devido a eventuais multas pelo vazamento.
Outro destaque negativo para o Brasil no estudo é o tempo de resposta a incidentes de segurança. Empresas do país são as que mais demoram a conter um vazamento, uma vez identificado: 111 dias, em média.
A demora também acontece para perceber o problema. Os 250 dias médios entre o vazamento e a detecção são menores só do que o tempo que levam empresas do Oriente Médio (279 dias).
Equifax pagará até R$ 2,6 bi em acordo sobre violação de dados nos EUA
A Equifax pagará até R$ 2,6 bilhões como parte de um acordo com as autoridades dos EUA sobre uma violação de segurança em 2017 que expôs dados de quase 150 milhões de pessoas, cujas informações financeiras confidenciais eram rastreadas pela companhia de classificação de crédito.
