Blog

O verdadeiro custo de um ataque cibernético

Calcular o verdadeiro custo de um ataque cibernético é difícil. Nenhum é igual. No entanto, relatamos isso com o máximo de detalhes possível para representar com precisão o quadro completo de quando isso acontece com sua empresa.

Aug 12, 2024 • 10 min read

Simon Wijckmans Founder & CEO

Calcular o verdadeiro custo de um ataque cibernético é difícil. Nenhum é igual, e as empresas respondem de maneira diferente. No entanto, é importante relatar isso com o máximo de detalhes possível para representar com precisão o quadro completo de quando isso acontece com sua empresa.

Sofrer um ataque geralmente vem com consequências muito grandes. Tomar medidas preventivas deve ser uma prioridade para qualquer empresa que conduza negócios e tenha dados online.

Custos financeiros

Provavelmente a razão mais óbvia pela qual uma empresa está preocupada com ataques cibernéticos são os custos financeiros que eles trazem. Vamos analisar isso com o máximo de detalhes possível, começando com os custos diretos.

Multas e honorários legais

Honorários legais e multas vêm à mente primeiro. Regulamentações como GDPR, HIPAA, PCI DSS são as mais frequentemente violadas, com multas pesadas como resultado.

Em 2018, a British Airways recebeu uma multa de £183 milhões, posteriormente reduzida para £20 milhões. Leia a história completa aqui. E muito recentemente, a Kaiser Permanente violou as regras da HIPAA, o que relatamos aqui. Em ambos os casos, os dados do usuário foram exfiltrados através do lado do cliente, o que poderia ter sido visto e prevenido.

Mas a Meta está atualmente liderando o grupo em termos de estabelecer a multa recorde. Em maio de 2023, o DPC da Irlanda multou a Meta Ireland em €1,2 bilhão por violar o GDPR. A penalidade está relacionada a transferências de dados da UE/EEE para os EUA sem salvaguardas de privacidade suficientes.

Manchete sobre a multa de 1,2 bilhão de euros aplicada pela DPC à Meta Ireland por violação do GDPR

Perda de receita

O tempo de inatividade durante um ataque pode interromper as operações comerciais, levando a perdas significativas de receita. O Relatório de Custo de Violação de Dados 2023 da IBM descobriu que o custo médio de uma violação de dados é de $4,45 milhões, com a perda de negócios representando a maior parte desse custo.

Esse número aumenta algumas centenas de milhares a cada ano, e é apenas a média.

No recente ataque Polyfill, o Google parou de veicular anúncios em sites com o script malicioso neles. Isso pressionou os proprietários dos sites ao retirar sua receita de anúncios para forçá-los a remover os scripts.

O Google agora está enviando um aviso sobre o carregamento de JS de terceiros de domínios como polyfill.io bootcss.com bootcdn.net & staticfile.org que podem fazer coisas desagradáveis aos seus usuários se seu site usar JS desses domínios.

pic.twitter.com/EUVAgbFXJn

— Michal Špaček (@spazef0rze)

25 de junho de 2024

Independentemente disso, essa foi uma ótima reação do Google. Mas também prejudicou a receita de anúncios do site até que eles tomassem medidas, o que é um custo que sofreram.

Compensação ao cliente

Quando os clientes são impactados, eles frequentemente processam por compensação com razão. Em 2019, a Equifax concordou com um acordo de quase $700 milhões para investigações federais e estaduais sobre uma violação que afetou cerca de 150 milhões de pessoas, com $425 milhões do acordo indo diretamente para os consumidores impactados.

Danos à reputação

A reputação é um ativo inestimável, e um ataque cibernético prejudica severamente a confiança. A cobertura negativa da mídia coloca pressão extra sobre as empresas que passam por um ataque e suas consequências. Embora a Marriot tenha registrado lucros em 2018, é justo supor que eles receberam algumas reservas a menos após sua violação de dados de 2018 que afetou 500 milhões de hóspedes.

Ou lembre-se de quando o Yahoo divulgou duas violações significativas e seu preço de aquisição foi reduzido em $350 milhões.

Frequentemente consideramos apenas o impacto imediato, mas também há um de longo prazo. Calcular esses é quase impossível, mas o escândalo da Cambridge Analytica de 2018 serve como um exemplo perfeito.

As consequências desse escândalo foram massivas e alcançaram canais de notícias mundiais por semanas. A Cambridge Analytica posteriormente anunciou que cessaria todas as operações devido ao dano reputacional ser tão severo que afastou praticamente todos os seus clientes e fornecedores.

Citação de notícia sobre o encerramento da Cambridge Analytica após o dano reputacional

Interrupção operacional

O tempo de inatividade é outro resultado imediato de um ataque cibernético. O ataque de ransomware à Norsk Hydro em 2019 resultou em um custo estimado de interrupção operacional de $71 milhões apenas na primeira semana. Nesse exemplo, 35.000 funcionários tiveram arquivos, servidores e PCs bloqueados. As equipes de TI e segurança devem mudar o foco e responder à violação, atrasando outros projetos. Frequentemente, equipes externas são trazidas para ajudar a corrigir o problema, o que aumenta ainda mais os custos.

Pagamento de resgate

Nesse mesmo exemplo da Norsk Hydro, os atacantes deixaram uma nota dizendo:

"O preço final depende da rapidez com que você nos contata." e solicitaram pagamento em Bitcoin.

Bilhete de resgate deixado pelos atacantes nos sistemas da Norsk Hydro

A Norsk Hydro optou por restaurar seus dados através de servidores de backup confiáveis.

Mas a Travelex, uma casa de câmbio de moeda estrangeira com sede em Londres, foi alvo do grupo de ransomware 'Sodinokibi' na véspera de Ano Novo de 2019. Os atacantes criptografaram os dados da Travelex e inicialmente exigiram $6 milhões.

O arquivo readme deixado em seus sistemas dizia:

"É apenas negócio. Absolutamente não nos importamos com você ou seus detalhes, exceto obter benefícios. Se não fizermos nosso trabalho e responsabilidades – ninguém cooperará conosco. Não é do nosso interesse. Se você não cooperar com nosso serviço – para nós não importa. Mas você perderá seu tempo e seus dados, porque apenas nós temos a chave privada. Na prática, o tempo é muito mais valioso do que dinheiro."

Após negociações, eles pagaram um resgate de $2,3 milhões para recuperar o acesso aos seus arquivos. Os atacantes forneceram a chave para resolver a criptografia, e a Travelex retomou as operações.

Atualizações de tecnologia e infraestrutura

Após ser alvo do grupo de ransomware 'LockBit' em janeiro de 2023, o Royal Mail do Reino Unido enfrentou graves interrupções operacionais. O ataque impactou particularmente seu Centro de Distribuição Mundial de Heathrow, que processa quase todas as correspondências que entram e saem do Reino Unido, resultando em caos.

Para remediar o ataque e reforçar sua segurança, o Royal Mail gastou aproximadamente £10 milhões nos seis meses seguintes atualizando sua infraestrutura após o ataque. Isso foi relatado como um aumento anual de 5,6% nos custos de infraestrutura para a empresa.

Artigo relatando o aumento de 5,6% nos custos de infraestrutura da Royal Mail após o ataque

Custos ocultos adicionais

Além dos custos óbvios mencionados acima, a maioria dos artigos que relatam sobre os custos totais após um ataque de segurança cibernética quase sempre falha em incluir o seguinte:

Aumento de prêmios de seguro

Os prêmios de seguro cibernético podem aumentar significativamente após um ataque. De acordo com o relatório Cyber Insurance Seeing Influx of Newcomers as Risk Awareness Grows, 77% dos entrevistados experimentaram aumentos anuais de prêmios, impulsionados em grande parte por um aumento nas reivindicações de violações de dados e outros incidentes cibernéticos.

Seguro não pagando

Embora não tenha sido um ataque cibernético, o recente debacle da Crowdstrike parece também causar problemas significativos de seguro. Eles foram culpados por criar muitos danos, mas como não foi um ataque cibernético, as seguradoras estão hesitantes em pagar.

Se alguém está se perguntando onde o seguro cibernético está em relação ao CrowdStrike - tenho amigos em 3 seguradoras diferentes, e todos dizem que não cobrirão as reivindicações, pois estão fora da apólice.— Kevin Beaumont (@GossiTheDog)

22 de julho de 2024

Esses seguros não são à prova de falhas, fazendo com que as empresas fiquem com a conta em casos como este. Um processo judicial está quase definitivamente pendente para recuperar custos e perdas sofridos contra a Crowdstrike.

Perdas de receita de longo prazo

A perda de clientes após uma violação pode levar a um declínio de receita de longo prazo. Nos EUA, a PCI Pal relata que 83% dos consumidores afirmam que deixarão de gastar com uma empresa por vários meses imediatamente após uma violação de segurança, e mais de um quinto (21%) dos consumidores afirmam que nunca retornarão a uma empresa após a violação.

Queda no preço das ações

Empresas de capital aberto frequentemente veem uma queda nos preços de suas ações após uma violação. Em outubro de 2023, a Okta divulgou uma violação de dados que, juntamente com a resposta tardia da Okta, levou a uma queda notável no preço de suas ações. Após a divulgação, o preço das ações da Okta caiu quase 12% quando os investidores reagiram à notícia e às possíveis implicações de longo prazo de problemas de segurança repetidos.

E, para voltar ao exemplo da Crowdstrike, as ações da Crowdstrike caíram drasticamente, apagando milhões em valor no papel.

Gráfico da ação da CrowdStrike mostrando uma queda acentuada após o incidente de 2024

Relações com fornecedores e parceiros

Embora exemplos relatados sejam raros, não é um exagero imaginar que parceiros e fornecedores procurem novas oportunidades quando uma empresa é atacada.

Custos de oportunidade

Os custos de oportunidade ocorrem quando as equipes devem mudar o foco para lidar com a violação e ajudar a proteger a empresa após o ataque. Isso leva tempo dos funcionários e, frequentemente, recursos adicionais que podem dificultar a inovação e o progresso, além de apenas aumentar os custos mensais de ferramentas adicionadas.

Roubo de propriedade intelectual

Em 2011, o maior cliente da AMSC, o Sinovel Wind Group, obteve ilegalmente o código-fonte da AMSC para software de turbina eólica. O Tribunal investigou essa questão e concluiu:

"Em vez de pagar à AMSC por mais de $800 milhões em produtos e serviços que havia concordado em comprar, a Sinovel elaborou um esquema para roubar descaradamente a tecnologia proprietária de turbina eólica da AMSC, causando a perda de quase 700 empregos e mais de $1 bilhão em patrimônio dos acionistas na AMSC,"

O verdadeiro custo de um ataque cibernético

Portanto, calcular o verdadeiro custo de um ataque cibernético é difícil, já que cada incidente e resposta varia. Mas é crucial entender o quadro completo além das perdas financeiras imediatas. As repercussões de um ataque cibernético podem ser devastadoras, afetando não apenas as finanças, mas também a reputação, as operações e a viabilidade de longo prazo.

Para ter alguma ideia dos custos reais, a Accenture estima que o custo do crime cibernético em todo o mundo chegará a $10,5 trilhões em 2025. Também observou um aumento de 200% nos níveis de interrupção nesse espaço de 2017 a 2022.

Achamos justo dizer que a atenção deve ser dada à segurança cibernética nos termos mais amplos.

Medidas preventivas devem ser uma prioridade máxima para qualquer empresa. É por isso que desenvolvemos nossa abordagem para interromper ataques de scripts de terceiros 0-day. Ao entender os impactos, esperamos que isso sirva como motivação extra para ficar à frente de quaisquer problemas potenciais.

Não seja a história, você pode começar com o cside gratuitamente hoje.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Além de resgate ou remediação, a conta inclui multas regulatórias, reconstrução de infraestrutura, prêmios de seguro mais altos, churn de clientes, perda de parceiros, custo de oportunidade e dano reputacional que pode levar anos para ser absorvido.

Sim. Os gastos de infraestrutura da Royal Mail subiram 5,6% no ano após o ataque. A Meta Ireland foi multada em 1,2 bilhão de euros pelo GDPR. A Cambridge Analytica fechou completamente após o impacto reputacional. A Norsk Hydro perdeu US$ 71 milhões na primeira semana após o ataque de ransomware.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre pixels não autorizados em sites de jogos e responsabilidade pelo GDPR

GDPR e Jogo Online: Por Que Razão os Pixels Não Autorizados Criam um Problema de Responsabilidade Dupla

Pixels não autorizados em sites de jogo criam responsabilidade GDPR e suspensão de contas de anúncios ao mesmo tempo, mesmo sem instalação.

Como Bloquear o Bytespider (o Crawler de IA do TikTok)

O Bytespider rastreia o seu site para os sistemas de IA da Bytedance. Saiba como bloqueá-lo com robots.txt e intervalos de IP, e as principais preocupações de soberania de dados.

Capa escura do blog com três métodos de ataque de scripts maliciosos em casinos: redirects disparados no browser, shadow GTM containers com tags maliciosas e payloads móveis geo-direccionados

Como Scripts Maliciosos Sequestram as Jornadas dos Jogadores em Casinos Online

Scripts injectados redirecionam jogadores de casino antes do lobby. As ferramentas de rede não os detectam. Eis como a detecção deve funcionar.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre segurança de scripts para operadores de jogos na APAC

Segurança de scripts client-side para operadores de jogo online na região APAC

Como operadores de jogo online APAC no Japão, Singapura, Filipinas e Austrália podem monitorizar scripts de terceiros em sessões reais.

Como Bloquear o Amazon Buy for Me no Seu Site

O Amazon Buy for Me compra no seu site em nome de utilizadores Prime. Saiba como recolhe dados de preços e produtos e como a deteção na camada do navegador lhe dá controlo.

Prevenção de account takeover: o playbook completo de 2026

O playbook operativo de ATO para 2026: um modelo integral para login, recuperação, sessão e defesa post-auth contra a apropriação impulsionada por agentes IA e bots.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre scripts de afiliados comprometidos que roubam receita de cassinos

Como Scripts de Afiliados Comprometidos Roubam Receita de Casinos Online

Scripts de afiliados comprometidos redirecionam jogadores e roubam comissões em páginas de casino, de forma silenciosa e em escala.

Capa escura do blog com três vectores de ataque de browser extensions: redirecionamentos para clones de phishing, roubo de token de sessão e reescrita de campos de pagamento no DOM

Como as Browser Extensions Atacam Jogadores de Casinos Online: O Que os Operadores Podem Fazer

As browser extensions roubam tokens de sessão e sequestram pagamentos em casinos. Como detectar estes ataques que os servidores não vêem.

Como Bloquear a Criação de Contas Falsas com IA

Agentes de IA criam contas falsas com comportamento humano que derrota o CAPTCHA. Aprenda os sinais na camada do navegador que expõem os registos automatizados.

Como Bloquear o CCBot (o Crawler de IA da Common Crawl)

O CCBot alimenta os conjuntos de dados da Common Crawl usados para treinar o GPT-3, o BLOOM, o LLaMA e muitos outros modelos de IA. Saiba como bloqueá-lo e o que o bloqueio realmente faz.