Ataques em cadeia são os mais dispendiosos para as empresas

A RiskRecon, uma empresa da Mastercard, e o Instituto Cyentia divulgaram um estudo que indica que, em média, uma violação de dados de múltiplas partes causa dez vezes o dano financeiro de uma tradicional, mas alguns ataques em cadeia causam danos financeiros 26 vezes mais elevados que a pior violação de uma parte. 

As organizações utilizaram a Cyber Loss Database da Advisen, que tem mais de 103 mil eventos cibernéticos recolhidos de fontes publicamente verificáveis, para examinar incidentes desde 2008, ano a partir do qual se verificaram quase 900 incidentes com múltiplas partes e 147 recentemente descobertas foram observadas em todo o conjunto de dados, com 108 ocorridos nos últimos três anos.

Desde 2008, mais de 2.726 incidentes na base de dados do Advisen envolvem mais do que uma organização. Ainda assim, apenas um subconjunto destes é o que os investigadores chamaram de "ripple events" - que envolvem alguma forma de relações B2B entre várias partes. Nesse sentido, a base de dados totalizou 897 incidentes de 2008 a 2020. Mais de metade dos ripples recentemente identificados ocorreram em 2019 e 2020, e o relatório refere que há um atraso de dois anos entre quando ocorre um incidente e quando os efeitos se desenrolam totalmente, com alguns a demorarem até cinco anos.

Normalmente, são necessários 379 dias para um ripple event ter impacto em 75% das suas vítimas, numa média de quatro organizações impactadas. "Embora não seja provável um número estável de infrações multipartidárias em 2020, a nossa análise já desenterrou 37 ripple events que alcançaram vítimas em várias indústrias e cenários no ano passado", refere o relatório. 

"Os eventos desencadeadores são muitas vezes diferentes”, pelo que as relações empresariais, o âmbito do impacto e a profundidade podem variar. “O único fator unificador é a integração técnica ou a partilha de dados - direta e indireta”. O relatório enumera uma série de conhecidas violações multipartidárias, como os incidentes da SolarWinds, Accellion, entre outras. "Muitas empresas são, a dada altura, geradoras de um ripple event e o destinatário de outro gerado por diferentes organizações”, esclarece o relatório, podendo envolver todo o ecossistema da organização, de fornecedores e Parceiros a clientes.

"Entre os ripple events dos quais temos informação de custos, 80% envolvem algum tipo de dano financeiro direto. Uma em cada cinco das ondas envolvidas acaba por incorrer em multas e sanções, e uma em cada 10 delas incorre nos custos de resposta. Embora apenas uma pequena fração cause uma perda de rendimento, tais perdas são particularmente devastadoras. Nesses casos, a perda de rendimento representa 78% dos custos". Segundo os investigadores, um ripple event desencadeia uma perda de 36 milhões de dólares por evento e que os custos são em grande parte suportados pelas primeiras vítimas de ataques em cadeia. 

Adicionalmente, o relatório analisou os intervalos de tempo do ataque entre as empresas visadas. "No total, 25% das empresas estão envolvidas no prazo de 32 dias após o evento inicial, 50% por 151 dias e 75% em pouco mais de um ano, em 379 dias”, acrescentam. 

"A partir dos dados apresentados neste relatório, uma coisa deve ser muito clara - nenhuma organização está a salvo de um ripple event. À medida que empresas de todas as formas e tamanhos continuam a permitir que as empresas acedam aos seus dados, informações dos clientes, detalhes dos colaboradores, etc., também abrem mais caminhos para incidentes de segurança que podem prejudicar o seu negócio", asseguram os investigadores.