Violações de dados pressionam ações mas não quebram empresas. Violações maciças de dados são manchetes, pressionam os valores das ações, minam a credibilidade dos clientes e muitas vezes levam os executivos a serem demitidos. No entanto, algumas empresas não apenas se recuperam de violações, mas acabam prosperando após a poeira assentar, diz Eric Pinkerton, diretor regional da consultoria de segurança da informação Hivint, sediada em Sidney.

Resultado de imagem para Violações de dados pressionam ações mas não quebram empresas

Segundo o BankInfo Security, Pinkerton, falou em uma conferência na Australia sobre uma pesquisa realizada por eles, sobre os efeitos da violações de dados que representaram relevãncia e foram notícias. Pinkerton, pesquisou como as violações afetam tudo, desde o preço das ações e a reputação das organizações até o desempenho de longo prazo das empresas envolvidas. Ele examinou algumas das violações mais notórias e divulgadas nos últimos anos, incluindo Ashley Madison, Equifax e HackingTeam.

Uma violação não é necessariamente uma sentença de morte para uma empresa, embora possa levar a duras consequências para os que estão no comando”.  “Mas com certeza, as violações são também podem ser uma bagunça cara, desde contratar com serviços de resposta a incidentes até entrar em contato com os reguladores e lidar com ações coletivas. Mas algumas empresas também parecem ter se beneficiado da má publicidade, eventualmente permitindo-lhes, a longo prazo, mudar a narrativa” afirma Pinerton.

Abaixo relacionamos algumas das observações de Pinkerton de cinco importantes violações de dados que ele estudou:

O HBGary Federal: que prestou serviços relacionados à segurança ao governo dos EUA, foi atingido por hackers associados ao Anonymous em 2011. O diretor executivo da HBGary Federal, Aaron Barr, planejou expor as identidades de alguns dos membros do grupo atacante em uma conferência de segurança.  O grupo Anonymous respondeu a ameaça, liberando dezenas de milhares de emails expondo o funcionamento interno da empresa. Ainda assim, o ataque não foi fatal. Pinkerton afirma que o ataque gerou publicidade para a empresa HBGary que teve uma de suas subsidiarias adquirida em 2012 pela ManTech International. No entanto o relato feito pela BankInfo Security não explicou se Pinkerton analisou se a publicidade gerou o efeito de depreciação que culminou com venda da empresa ou se a publicidade ajudou na venda, fica aqui a interrogativa do Blog Minuto da Segurança.

HackingTeam A empresa italiana HackingTeam, especializada em ferramentas de interceptação para governos, viu seu código-fonte, documentos internos, listas de clientes e outros serem vazados em 2015. A violação foi embaraçosa e os críticos alegaram que os documentos mostravam que a empresa estava vendendo seus produtos para países com registros de direitos humanos ruins. Apesar do vazamento, a notícia diz que segundo Pinkerton, “eles receberam publicidade gratuita e estavam de volta e anunciando o fato de que eles eram melhores e mais fortes na segunda vez“. Mas, novamente o Blog Minuto da Segurança verificando as informações apresentadas, nos parece que Pinkerton desconsiderou, ou ao menos não foi citado na reportagem, o caso de 2018 onde pesquisadores de segurança da ESET identificaram, em catorze países, amostras anteriormente não relatadas do Sistema de Controle Remoto (Remote Control System – RCS), o software de vigilância desenvolvido pela HackingTeam, que atua como um spyware sofisticado, capaz de transformar o dispositivo em uma ferramenta de vigilância, ativando a webcam e o microfone, extraindo informações de um dispositivo de destino e interceptando e-mails e mensagens instantâneas.

Uber : O Uber pagou US$ 100.000 a um hacker para excluir as informações de 57 milhões de usuários, obtidas em outubro de 2016. A Uber não divulgou a violação até um ano depois e posteriormente admitiu que havia sido atacada, mas omitiu a oferta de pagamento da recompensa e foi investigada e sofreu sasões do FTC. Pinkerton diz que a Uber é uma empresa privada, então não houve impacto sobre as ações. Mas seu CSO, Joe Sullivan, foi demitido. Quando a divulgação da violação foi anunciada, a Uber já estava atolada em outros confrontos, como a compensação de motoristas, que poderia ofuscar a violação e afetar a reputação da empresa. Mas seis meses após a revelação, Uber ainda parece estar se saindo “fantasticamente bem“, diz Pinkerton. aqui no Blog noticiamos este caso, e nos parece que Pinkerton ao menos tem razão em uma coisa: “além da notificação do FTC que o forçou a ter um compromisso maior com a proteção de informações dos clientes“, nada parece ter ocorrido.

Equifax: A violação da Equifax é uma das maiores violações conhecidas na história de violações de dados. Os invasores exploraram uma falha de software não corrigida na infra-estrutura da Equifax para roubar informações pessoais de 147,9 milhões de consumidores dos EUA, além de dezenas de milhares de outras pessoas no Reino Unido, Argentina e no Canadá .  As consequências da violação levaram à saída do CEO, CIO e CSO da empresa, e o ex-CEO foi mais tarde chamado para testemunhar sobre o incidente no Congresso Americano.

No dia seguinte à divulgação inicial da violação, as ações da Equifax também despencaram 35%. Equifax no entanto, continua em atividade. Segundo Pinkerton, em março, a empresa reportou receita no quarto trimestre de 2017 de US $ 838,5 milhões, acima dos US $ 801 milhões do ano anterior, superando as previsões dos analistas. O preço das ações da empresa caiu de US $ 147 por ação para US $ 90 após a quebra, mas a média foi de cerca de US $ 120 nos últimos meses. Em outras palavras, o preço das ações da Equifax sofreu com o vazamento e “Aqui está a melhor evidência palpável de que uma violação dessa magnitude afeta o preço das ações“, diz Pinkerton. No entanto a reportagem do BankInfo Security não informa se Pinkerton levou em consideração as ações movidas contra a Equifax, que remontam cerca de US$ 70Milhões .

No entendimento deste redator que vos escreve, as informações passadas, ou ao menos noticiadas, por Pinkerton, parece ter duas faces: A primeira é que Pinkerton afirma nestas análises que os efeitos das violações forma mais benéficas do que desastrosas para as empresas que sofreram violação; A segunda é que acredito que uma análise mais ampla deva ser considerada sobre o mercado de varejo como WallmartBestbuy, Sears e Bancos como a do banco de Montreal e Simplii Financial do Canadá, que tiveram informações de clientes igualmente violadas e neste caso a reputação, principalmente no caso de bancos, sofrem efeitos diferentes dos observados por Pinkerton na análise apresentada na reportagem.

Uma coisa é fato, avaliações frias e com resultados como os apresentados por Pinkerton, em nada ajuda os CSOs em sua dura jornada, ao contrário, parece fortalecer a cultura do “deixa acontecer e vejamos quais benefícios e resultados podemos tirar” . Em uma análise executiva fria está parece a melhor opção, mas agora temos que reavaliar tudo isto frente as novas regulamentações como o GDPR e as leis de privacidade que se multiplicam em diversos países neste último ano.

Fontes: BankInfo Security, Security Affairs e Minuto da Segurança