Foto: Shutterstock
Custos indiretos relacionados a um ataque podem aumentar com o tempo. Essas são as despesas e riscos dos quais os CISOs devem estar cientes
Ransomware é um dos ataques de segurança cibernética que mais crescem rapidamente. Um dos fatores que tornam essas ameaças especialmente intimidantes é que os custos podem ser de longo alcance. Um relatório de agosto de 2021 da consultoria de segurança NCC Group mostra que o número de ataques de ransomware em todo o mundo analisados pela equipe de Research Intelligence and Fusion da empresa aumentou 288% entre o primeiro e o segundo trimestres deste ano, “com as organizações continuando a enfrentar ondas de extorsão digital na forma de ransomware direcionado”.
Embora seja de conhecimento comum que o ransomware pode ser caro para as empresas vitimadas por eles – com custos tendendo a se concentrar em negócios perdidos, resgate pago, honorários de consultores, etc. – também existem impactos financeiros menos conhecidos. A seguir estão alguns dos custos inesperados, diretos e indiretos, de um ataque de ransomware. Alguns não estão relacionados à segurança, mas os CISOs e outros líderes de segurança precisam estar cientes desses custos potenciais quando se trata de justificar investimentos em segurança que possam proteger contra ransomware.
Manter o negócio funcionando
Após um ataque de ransomware, manter a continuidade dos negócios pode ser uma grande despesa, diz Allie Mellen, Analista da empresa de pesquisa Forrester. “Ataques de ransomware bem-sucedidos podem afetar as operações comerciais por dias, semanas ou meses”, diz ela. “Se nenhum de seus funcionários puder fazer logon em suas contas comerciais ou acessar seus dados comerciais, eles não podem fazer o trabalho vital necessário para apoiar o negócio”.
Os custos de recuperação de ransomware são em média dez vezes maiores que o custo do pagamento do resgate, diz Christopher Rence, ex-Diretor de Dados, Conformidade, Segurança e Risco da Equus Holdings e agora Presidente e CEO da Rimage. Recuperação e continuidade “é onde a borracha cai na estrada”, diz ele. “A maioria das empresas não sabe onde estão todos os seus dados. Eles não sabem se o backup está completo ou [feito] até que o processo de recuperação seja iniciado”.
Após a recuperação, as empresas que foram comprometidas não se sentem fora de perigo, disse Rence. “Dependendo da complexidade dos dados, uma empresa pode levar até 12 meses para se recuperar totalmente”, diz ele. “As habilidades necessárias para continuar a recuperação e a devida diligência estão fora das habilidades da maioria das equipes de TI, deixando-as vulneráveis por muitos anos”.
Taxas de seguro cibernético mais altas
Muitas organizações têm apólices de seguro contra ataques de cibersegurança atualmente, o que, é claro, faz sentido, considerando o que está potencialmente em jogo em termos de impacto financeiro de tal intrusão. Uma das possíveis consequências de um ataque de ransomware é o aumento das taxas de seguro. Além disso, os valores recuperados de apólices podem não ser tão altos quanto o esperado.
“As seguradoras estão agindo rapidamente para limitar seus pagamentos e os prêmios estão aumentando”, diz Pete Lindstrom, Vice-Presidente de Pesquisa, Segurança Corporativa/Next Generation da empresa de pesquisa International Data Corp. (IDC).
As organizações devem trabalhar com seus corretores de seguros e quaisquer outras empresas que façam parte de suas apólices para descobrir como podem manter os custos baixos. “Depois de um evento, as seguradoras estão fazendo a devida diligência para garantir que você tenha seguido os processos, o treinamento e as ações” dos funcionários, diz Rence.
Perda de confiança do cliente
Embora seja difícil de quantificar, a perda de confiança do cliente após um ataque de ransomware pode ser um problema significativo. “No caso de um ataque de ransomware, os clientes podem não conseguir acessar o suporte ao cliente, vendas ou qualquer outra função no negócio, levando à perda de vendas, frustração do cliente e do cliente potencial e uma sensação de que o negócio simplesmente não é confiável”, diz Mellen.
Mesmo que os clientes percam o senso de confiança por um breve período, isso pode causar danos. Essa perda de confiança não afeta apenas os clientes existentes, mas também os novos clientes em potencial. O que pode ser particularmente problemático se o ataque de ransomware envolver a exposição de informações pessoais dos clientes. A questão da confiança também pode se estender a parceiros de negócios, como fornecedores, prestadores de serviços, consultores e outros.
Investimentos de marketing e relações públicas
Relacionado à perda de confiança está o esforço e investimento de marketing e relações públicas necessários para reconstruir essa confiança e a reputação da organização.
Uma tendência significativa identificada pelo NCC Group em seu estudo é a questão predominante de gangues de ransomware que ameaçam vazar dados confidenciais roubados de vítimas inadimplentes para prejudicar a reputação organizacional.
Essa pressão adicional para forçar um pagamento é conhecida como “extorsão dupla”, que é uma tática cada vez mais usada por agentes de ameaças, de acordo com a empresa. “São necessários gastos adicionais em nome da equipe de marketing e do restante da organização para recuperar sua reputação e provar aos clientes e clientes potenciais que o negócio é confiável, seguro e válido”, diz Mellen.
Esses esforços podem envolver não apenas a criação de comunicados à imprensa e atualizações, mas também publicidade, iniciativas de mídia social, entrevistas com a mídia e palestras. Tudo isso leva um tempo que poderia ter sido gasto em empreendimentos mais produtivos.
Avaliação de risco por parceiros
Outra despesa adicional que está aumentando com o tempo são os custos de avaliação por parceiros e clientes para risco de terceiros, diz Mellen. “Cada vez que uma empresa é violada, as empresas que fazem parceria ou são clientes de outra empresa devem avaliar como estão examinando outras organizações e quais padrões adicionais devem obedecê-las”, diz ela. “À medida que esses processos se tornam mais definidos e mais comuns entre os setores, isso inevitavelmente aumentará os custos dos negócios para garantir a conformidade com esses padrões crescentes”.
Perda de funcionários qualificados
Ataques de ransomware prejudiciais podem resultar não apenas na perda de clientes e parceiros, mas também de funcionários. Alguns dos atritos podem envolver habilidades técnicas difíceis de encontrar, como aquelas relacionadas à segurança, data analytics e outras áreas. Algumas pessoas não querem se associar a uma empresa que foi comprometida, diz Rence.
O custo de substituir essas habilidades é alto, diz Rence, especialmente porque os esforços de recrutamento podem ter que ser ainda mais agressivos e a remuneração pode ser um pouco mais alta. Em alguns casos, as empresas perdem habilidades porque são forçadas a eliminar empregos após um ataque. Um estudo sobre o impacto do ransomware pela empresa de segurança Cybereason, baseado em uma pesquisa com 1.263 profissionais de segurança cibernética em todo o mundo, conduzida em abril de 2021, mostrou que 29% dos entrevistados disseram que tiveram que cortar empregos por causa de um ataque de ransomware.
Custos sociais
Os custos dos ataques de ransomware podem se estender muito além daqueles incorridos pela organização vitimada. “O custo real aqui é o custo social que todos compartilhamos sempre que uma empresa decide pagar o resgate”, diz Lindstrom. “Felizmente, isso não é frequente e tem seu próprio conjunto de riscos significativos, mas esses ataques que levam a pagamentos diretos em dinheiro são tão lucrativos para os invasores que perpetuam os ataques a outros”.
Os custos econômicos para as empresas giram em torno daqueles que decidem pagar o resgate, diz Lindstrom. “Pode ser a maneira mais conveniente de manter os custos baixos para qualquer organização individual, mas aumenta os benefícios do invasor e, portanto, o risco para todos os outros”, diz ele. “Dado que o mundo do ransomware desenvolveu um ecossistema completo com corretores, opções de seguro, etc., surgem mais conflitos de interesse entre abordar qualquer situação única versus fazer o que é melhor para o mundo inteiro”.