os números de violação de dados podem não estar diminuindo, e reportá-los está ficando mais lento

O relatório da Flashpoint and Risk Based Security descobriu que, apesar dos relatórios iniciais, o número total de violações provavelmente é muito maior do que o relatado, com o tempo necessário para relatar uma violação mais longo desde 2014.

Um estudo divulgado pela Flashpoint and Risk Based Security descobriu dois fatos surpreendentes: o relatório de uma queda no número total de violações provavelmente é errôneo e o tempo que leva para uma organização relatar. uma violação aumentou para os níveis mais altos desde 2014.

Muito do que o Flashpoint e o RBS encontraram foi semelhante a outros relatórios sobre o assunto: a saúde era um dos principais alvos, o ransomware é mais popular do que nunca e bilhões de registros foram roubados. Um dos pontos de dados mais interessantes que o relatório cobre é a queda de 5% relatada no número total de violações entre 2020 e 2021, um número que o colaborador do relatório e analista de inteligência de segurança cibernética da Flashpoint, Ashley Allocca, disse que provavelmente não reflete a realidade.

“Os leitores do Relatório de Fim de Ano de 2020 podem se lembrar, no momento em que o relatório foi publicado, o número de violações divulgadas publicamente era de 3.932. Estimamos que esse número cresceria de 5% a 10% ao longo de 2021. Na verdade, o número aumentou 11,8%”, disse Allocca. Assumindo o mesmo crescimento de 5 a 10%, 2021 provavelmente se estabeleceria na faixa de 4.352 a 4.560, colocando-se no mesmo nível, ou um pouco mais alto, que 2020.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Allocca disse que a questão de saber se o cenário de violação de dados está “melhorando” é uma pergunta frequente que ela ouve. Infelizmente, ela disse, os números não dão uma resposta clara, e há mais a considerar do que apenas os dados brutos. “O tempo que leva para relatar uma violação, juntamente com os efeitos persistentes de uma queda na cobertura da mídia e mais ataques de ransomware que podem ser mantidos fora da vista do público, sem dúvida, desempenhou um papel no declínio das violações relatadas publicamente.” disse Allocca.

Menos relatórios não significa que as coisas estão melhorando

O relatório inclui dados desde 2014 sobre o número médio de dias necessários para divulgar uma violação, começando com 91 dias. Em 2017, esse número caiu para 49 dias, mas desde então voltou a subir, atingindo 89 dias em 2021, perdendo apenas para o tempo de atraso observado em 2014.

2018 foi o ano em que o GDPR entrou em vigor, que impôs um prazo de 72 horas para informar os escritórios de proteção de dados sobre uma violação. Em 2018, o número médio de dias para relatar foi de 50. Em 2019 e 2020, foi de 72, representando um aumento significativo em relação ao mínimo de 49 dias no ano anterior à entrada em cena do GDPR.

Inga Goddijn, EVP de Segurança Baseada em Risco, disse que os atrasos nos relatórios definitivamente se tornaram mais pronunciados desde que os regulamentos sobre relatórios oportunos foram implementados. Goddijn apontou vários dados discrepantes de relatórios que podem estar distorcendo os números.

“Em 2021, 15 violações levaram mais de 365 dias – um ano inteiro – para ir da descoberta ao lançamento de uma carta formal de notificação de violação. Outros 169 eventos levaram seis meses ou mais”, disse Goddijn.

VEJO: Google Chrome: dicas de segurança e interface do usuário que você precisa saber (TechRepublic )

Ela acrescentou que o COVID-19 não é a única causa desse lapso na rapidez dos relatórios. “Seria fácil culpar os atrasos pela pandemia, mas essa tendência começou bem antes de o COVID se tornar um nome familiar. Investigações de incidentes complexos, aplicação fraca e uma cegueira deliberada para as obrigações de notificação parecem estar na raiz dos atrasos”, disse Goddijn.

O relatório concluiu com a declaração de que as violações de dados e ataques em 2022 serão difíceis de prever, mas dificilmente estão em declínio. “Enquanto os atores mal-intencionados tiverem um caminho para atacar a monetização, não haverá escassez de violações para cobrir”, disse o relatório.