Alexandre Leoratti
O Brasil é o país onde incidentes de vazamento de dados, chamados em inglês de data breaches, são os mais baratos, segundo um ranking mundial produzido pelo Ponemon Institute, especializado em pesquisas independentes de proteção de dados pessoais. Isso significa que empresas brasileiras, nas quais houver vazamento de dados pessoais de seus clientes, terão menos prejuízo, em média, do que outros países.
Esse cenário, porém, deve mudar até a entrada em vigor da nova Lei Geral de Proteção de Dados (LGDP), em 2020, de acordo com advogados especialistas em privacidade.
Na pesquisa do Ponemon Institute, foram realizadas mais de 2.200 entrevistas com profissionais de compliance e proteção de dados de 477 empresas de 19 países para fazer um “raio-x” de valores de data breaches. Na lanterna do ranking de menor custo de vazamento de dados, o Brasil é seguido pela Índia.
Para “precificar” um data breach a pesquisa analisou fatos como a perda de clientes após uma incidente, a quantidade de informação “roubada” e vazada, o tempo para identificar e mitigar o vazamento de dados e o gerenciamento de crise após o incidente. Com isso, o pesquisadores calcularam os custos envolvidos durante um incidente de data breach.
No Brasil, o preço médio para um incidente de vazamento de dados foi de US$1.24 milhão. Na Índia, que junto ao Brasil apresentou o segundo menor valor, o custo foi de US$1.77 milhão.
Já nos Estados Unidos, onde o custo médio de um data breach foi o maior identificado pela pesquisa, esse custo é de quase US$ 8 milhões.
Esses valores representaram um aumento médio do valor global dos datas breaches de 6,4% em relação a 2017. O número de informações roubadas e compartilhadas ilegalmente também sofreu aumento de 2,2% em relação ao último ano.
A pesquisa também identificou que 46% dos casos de vazamento de dados, no Brasil, são causados por ataques externos ilegais, identificados como “criminal attack” .
Além disso, 27% dos incidentes com dados pessoais no país foram gerados por causa de problemas com o sistema de armazenamento das informações. Vazamentos decorrentes de erros humanos também foram causados em 27% dos incidentes monitorados pela pesquisa.
Os dados são similares à média das causas de data breaches em outros países:
A criação de um time especializado em planos de ação contra incidentes e o uso de criptografia nos dados pessoais foram os melhores métodos de redução de custos em um caso de vazamento de dados.
Equipes que utilizaram a criptografia reduziram os custos de um data breach em U$13 por cada informação ou dado vazado. Um time especializado para lidar com uma suposta crise economiza U$ 14 por cada informação compartilhada ilegalmente.
Por outro lado, falhas no setor de compliance acrescentam quase U$ 12 no valor de cada dado vazado. O uso contínuo de plataformas de celular e a transferência de dados para a nuvem(cloud migration) também são estratégias que geram custos adicionais em data breaches de, no mínimo, U$ 10.
O estudo mostra que a perda de confiança de clientes após um vazamento causa prejuízo de U$ 2.8 milhões, em média, para uma empresa. O valor foi calculado com base em empresas que perderam 1% de seus clientes por causa de data breach. O valor do prejuízo pode chegar ao valor de U$ 6 milhões, caso a perda de clientes seja maior.
Uma forma de evitar a perda excessiva de dinheiro em casos de vazamento de dados, segundo a pesquisa, é a rápida identificação de um incidente. Quanto mais ágil a identificação, menor será a perda financeira da empresa.
Sobre a reincidência de casos de data breach, a pesquisa aponta que organizações no Brasil, Índia e África do Sul possuem maiores chances de apresentarem novos episódios de vazamento de dados.
Além disso, as empresas no Brasil possuem as maiores chances de envolvimento em um incidente de vazamento com, no mínimo, 10.000 dados vazados. A média brasileira de probabilidade de um data breach foi de 38% nos últimos cinco anos. Em 2018, o número subiu para 43%.
Notificação
Para o advogado Bruno Bioni, do Data Privacy Brasil, os casos de data breach ainda não possuem valores altos no Brasil por causa da falta de obrigatoriedade das empresas de notificarem para órgãos reguladores e titulares de dados sobre incidentes ocorridos.
A LGPD, sancionada em agosto deste ano e que passará a vigorar em 2020, prevê que as empresas informem incidentes como vazamentos de dados.
“A obrigação legal de notificação só passará a valer em fevereiro de 2020, quando a Lei Geral de Proteção de Dados entrar em vigor, o que representará um custo adicional a todas as empresas”, explicou Bioni.
Ele acrescenta que a pesquisa realizada pelo Instituto Ponemon pode não necessariamente mostrar a realidade atual dos vazamentos de dados no país. Para ele, os dados apresentados pelo estudo representam somente a “ponta do iceberg” do atual cenário de proteção de dados no país.
“Ainda não há uma publicidade nos casos de data breach no Brasil. Talvez nem tenhamos grandes casos concretos para compararmos com outros países, onde há uma obrigatoriedade de notificação e maior conhecimento sobre vazamentos”, afirmou Bioni.
Segundo o advogado, um aspecto que o resultado da pesquisa não mostra é o lucro que uma empresa pode ter com um vazamento de dados. Ele cita o exemplo de empresas como a multinacional de transporte e logística Maersk que, após uma ocorrência de data breach, adotou políticas consideradas “transparentes” com seus clientes, o que gerou uma valorização da marca no mercado.
“A Maersk atualizou a situação e as ações que realizadas para conter o vazamento em tempo real no Twitter e comunicou todos os funcionários e titulares envolvidos”, afirmou Bioni.
Segundo o especialista em proteção de dados, as empresas devem criar mecanismos de prevenção contra data breaches em vez de iniciarem um plano de proteção dos dados após um vazamento.
“A LGPD indica que a autoridade nacional de dados aplicará uma penalidade de acordo com os esforços da organização para a prevenção de um caso de vazamento. Quem tiver um bom plano de mitigação terá multas menos severas”, declarou Bioni, acrescentando que, com a LGPD, não basta somente cumprir o dever de notificação. “Será necessário um plano de resposta.”
Novo Panorama
Para Dirceu Santa Rosa, advogado no Montaury Pimenta Advogados, os números da pesquisa mudarão rapidamente.
“Já em 2019, casos de data breach no Brasil terão valores mais relevantes. A mídia está mais ligada no assunto, tornando necessária uma notificação das empresas para órgãos de defesa do consumidor e até mesmo para o Ministério Público. Isso gera um custo adicional”, explicou.
De acordo com o advogado, antes de um maior conhecimento sobre o assunto pela sociedade no geral, as empresas conseguiam fazer apenas notificações internas sobre vazamentos, sem levar casos de vazamento de dados ao público externo.
Mesmo com uma maior publicidade na área de proteção de dados, Dirceu analisa que a situação das empresas brasileiras é “preocupante”.
“A maior parte das empresas que recebemos ainda está criando um programa de ação de proteção de dados ou está no início do processo. Entretanto, um vazamento de dados pode ocorrer a qualquer momento”, afirmou o advogado.
Com isso, indica Dirceu, as empresas precisam estar preparadas para lidar com órgãos como Ministério Público, imprensa e, ao mesmo tempo, gerenciar uma possível crise de reputação.
“Mesmo as empresas pequenas ou com uma estrutura menor devem treinar suas equipes para um plano de ação caso ocorra um data breach”, afirmou o advogado, acrescentando que há poucas empresas, a maioria com grandes estruturas, que já formaram planos de ação para vazamento de dados pessoais.
Preparação Interna
Segundo Rony Vainzof, sócio do escritório Opice Blum Advogados, a proteção contra ataques cibernéticos externos não é suficiente para evitar um data breach. Para ele, é necessário um monitoramento sobre como os funcionários e operadores internos tratam os dados da própria empresa.
“A empresa precisa definir quais funcionários internos podem acessar os dados e quem terá acesso às chaves de segurança. Se não houver controle, pessoas podem ser compradas para vazarem os dados e informações pessoais”, explicou Vainzof.
O advogado acrescenta que a fase inicial para a proteção interna de uma empresa é a etapa de diagnóstico do ciclo de vida dos dados. Em outras palavras, o mapeamento de quais informações são usadas por cada setor da empresa e como os dados são tratados e compartilhados.
“Em um caso de data breach esse mapeamento é lucrativo para a empresa, pois será possível identificar de qual setor houve o incidente. O problema é quando ocorre algum vazamento e a empresa não consegue identificar de onde isso veio”, afirmou o Vainzof.