A Look at Data Breach Statistics in 2020

2020 provou ser um ano desafiante de todos os pontos de vista. Com a crise de saúde provocada pela pandemia da COVID-19 perturbando a economia mundial e paralisando muitos setores, a ciber-segurança pode ter sido a última coisa na mente de qualquer um. Entretanto, muitos atores maliciosos aproveitaram o caos para causar estragos e dinheiro no relaxamento dos esforços de segurança cibernética. Como consequência, 2020 tem sido um ano estelar para violações de dados e multas regulatórias.

A adoção apressada de políticas de trabalho remoto generalizadas em todos os setores empresariais criou grandes lacunas na ciber-segurança, o que resultou em um aumento dos incidentes de segurança. De acordo com a empresa de segurança cibernética Malwarebytes’s Enduring from Home: Relatório Impact on Business Security da COVID-19, os trabalhadores remotos tornaram-se a fonte de quase 20% dos incidentes de segurança cibernética em 2020. Entre as empresas que responderam à pesquisa, 24% também enfrentaram despesas inesperadas ligadas diretamente a ciberataques e violações que ocorreram devido ao trabalho a partir de casa.

O relatório também mostrou uma tendência preocupante entre os trabalhadores remotos de usar seus dispositivos pessoais em vez dos dispositivos emitidos pela empresa. 27,7% dos entrevistados disseram que usaram seus dispositivos pessoais mais do que os dispositivos fornecidos pelo seu local de trabalho, com mais 31,2% admitindo que algumas vezes usaram dispositivos pessoais para o trabalho. Apenas 39,1% usaram estritamente apenas dispositivos emitidos pelo trabalho para desempenhar suas funções.

Algumas das principais preocupações das empresas quando se tratava de trabalho remoto estavam relacionadas a dispositivos mais expostos em casa, onde indivíduos não autorizados podem ter acesso a eles, à dificuldade de gerenciar dispositivos usando recursos de trabalho remoto, à sombra de TI e a uma diminuição da eficácia do suporte de TI realizado remotamente. Tudo isto na situação em que apenas 61% das empresas forneciam aos funcionários dispositivos de trabalho e 45% não realizavam análises de segurança e privacidade online das ferramentas de software que implementaram para a transição para o trabalho a partir de casa.

Principais Causas das Quebras de Dados

Segundo o relatório 2020 da IBM e do Ponemon Institute, que entrevistou 3200 indivíduos trabalhando para 524 organizações em 17 países e regiões, 52% de todas as quebras de dados foram causadas por estranhos maliciosos, outros 25% por falhas de sistema e 23% por erro humano. A informação pessoal identificável dos clientes (PII), que compreendia 80% de todas as violações de dados, era o tipo de registo mais frequentemente perdido ou roubado. Isto não é surpreendente, dado que as IPI são o tipo de dados mais valioso devido à sua sensibilidade. Como consequência, é também o tipo de dados mais frequentemente protegido pelos regulamentos de protecção de dados.

As credenciais comprometidas e a má configuração da nuvem foram responsáveis por 19% das violações de dados maliciosos, sendo as vulnerabilidades de software de terceiros responsáveis por outros 16%. O erro humano também não foi a única forma como os funcionários contribuíram para as violações de dados. Os infiltrados maliciosos foram a causa principal de 7% das violações de dados, com a engenharia social e os ataques de phishing direcionados diretamente aos funcionários respondendo por mais 17%.

Os funcionários também demonstraram ser mais negligentes em alguns setores do que em outros. No topo da lista estava a indústria de Entretenimento, onde 34% de todas as violações de dados foram causadas por funcionários descuidados, seguida pelos sectores público e de produtos de consumo, onde o erro humano foi responsável por 28% das violações de dados. No setor de saúde, apesar da forte regulamentação, a negligência dos funcionários foi responsável por 27% de todas as violações de dados. No outro extremo do espectro, nos Transportes, apenas 13% das violações de dados foram causadas por erro humano, enquanto que no Varejo e na Tecnologia foram responsáveis por 17%.

GDPR As multas continuam a aumentar

Enquanto a aplicação de alguns regulamentos de proteção de dados, como o HIPAA nos EUA, tem sido relaxada devido à pandemia, as agências européias de proteção de dados têm continuado seu trabalho sem obstáculos. Este ano trouxe uma série de multas recordes devido ao não cumprimento do Regulamento Geral de Protecção de Dados da UE. Até à data, foram emitidas 281 multas este ano, num montante superior a 162 milhões de euros.

Google foi o pior golpe, com o seu recurso da multa de 50 milhões de euros da Autoridade de Protecção de Dados francesa CNIL a ser indeferido pelo mais alto tribunal do país e a Autoridade de Protecção de Dados sueca a aplicar uma outra multa de 7 milhões de euros ao gigante da tecnologia pelo não cumprimento do direito de um indivíduo a ser esquecido.

Em Outubro de 2020, a segunda maior multa GDPR jamais imposta, de aproximadamente 35 milhões de euros, foi emitida pela Autoridade de Protecção de Dados de Hamburgo, Alemanha, ao retalhista de vestuário H&M por ter registado reuniões com funcionários durante as quais foram divulgadas informações sensíveis e depois partilhá-las internamente entre os gestores.

British Airways foi multada em 22 milhões de euros por não ter impedido uma violação de dados que afectou 400.000 clientes devido a más medidas de segurança cibernética. Entretanto, a Marriott foi multada em 20,4 milhões de euros pela espetacular violação de dados que afetou 83 milhões de registros de convidados e foi uma consequência da sua falta de diligência após adquirir o Grupo Starwood que estava na raiz do incidente.

Em conclusão

Como as empresas enfrentam as dificuldades colocadas pela pandemia da COVID-19, é essencial que elas não negligenciem a segurança cibernética. Os actores maliciosos estão sempre à procura de oportunidades de lucro e este ano não tem sido diferente. Ao mesmo tempo, embora as autoridades de proteção de dados tenham se mostrado mais indulgentes devido às circunstâncias atuais, elas não se coibiram de aplicar penalidades de regozijo quando foi identificada uma negligência grosseira nos requisitos de proteção de dados.

Tudo isso mostra que a cibersegurança, que até alguns anos atrás era considerada um pensamento posterior por muitas organizações, é agora uma parte crucial das operações comerciais e não haverá mais um momento em que seja aceitável desconsiderá-la.