Violações de dados pressionam ações mas não quebram empresas

Violações de dados pressionam ações mas não quebram empresas. Violações maciças de dados são manchetes, pressionam os valores das ações, minam a credibilidade dos clientes e muitas vezes levam os executivos a serem demitidos. No entanto, algumas empresas não apenas se recuperam de violações, mas acabam prosperando após a poeira assentar, diz Eric Pinkerton, diretor regional da consultoria de segurança da informação Hivint, sediada em Sidney.

Segundo o BankInfo Security, Pinkerton, falou em uma conferência na Australia sobre uma pesquisa realizada por eles, sobre os efeitos da violações de dados que representaram relevãncia e foram notícias. Pinkerton, pesquisou como as violações afetam tudo, desde o preço das ações e a reputação das organizações até o desempenho de longo prazo das empresas envolvidas. Ele examinou algumas das violações mais notórias e divulgadas nos últimos anos, incluindo Ashley Madison, Equifax e HackingTeam.

Uma violação não é necessariamente uma sentença de morte para uma empresa, embora possa levar a duras consequências para os que estão no comando”.  “Mas com certeza, as violações são também podem ser uma bagunça cara, desde contratar com serviços de resposta a incidentes até entrar em contato com os reguladores e lidar com ações coletivas. Mas algumas empresas também parecem ter se beneficiado da má publicidade, eventualmente permitindo-lhes, a longo prazo, mudar a narrativa” afirma Pinerton.

Abaixo relacionamos algumas das observações de Pinkerton de cinco importantes violações de dados que ele estudou:

O HBGary Federal: que prestou serviços relacionados à segurança ao governo dos EUA, foi atingido por hackers associados ao Anonymous em 2011. O diretor executivo da HBGary Federal, Aaron Barr, planejou expor as identidades de alguns dos membros do grupo atacante em uma conferência de segurança.  O grupo Anonymous respondeu a ameaça, liberando dezenas de milhares de emails expondo o funcionamento interno da empresa. Ainda assim, o ataque não foi fatal. Pinkerton afirma que o ataque gerou publicidade para a empresa HBGary que teve uma de suas subsidiarias adquirida em 2012 pela ManTech International. No entanto o relato feito pela BankInfo Security não explicou se Pinkerton analisou se a publicidade gerou o efeito de depreciação que culminou com venda da empresa ou se a publicidade ajudou na venda, fica aqui a interrogativa do Blog Minuto da Segurança.

HackingTeam A empresa italiana HackingTeam, especializada em ferramentas de interceptação para governos, viu seu código-fonte, documentos internos, listas de clientes e outros serem vazados em 2015. A violação foi embaraçosa e os críticos alegaram que os documentos mostravam que a empresa estava vendendo seus produtos para países com registros de direitos humanos ruins. Apesar do vazamento, a notícia diz que segundo Pinkerton, “eles receberam publicidade gratuita e estavam de volta e anunciando o fato de que eles eram melhores e mais fortes na segunda vez“. Mas, novamente o Blog Minuto da Segurança verificando as informações apresentadas, nos parece que Pinkerton desconsiderou, ou ao menos não foi citado na reportagem, o caso de 2018 onde pesquisadores de segurança da ESET identificaram, em catorze países, amostras anteriormente não relatadas do Sistema de Controle Remoto (Remote Control System – RCS), o software de vigilância desenvolvido pela HackingTeam, que atua como um spyware sofisticado, capaz de transformar o dispositivo em uma ferramenta de vigilância, ativando a webcam e o microfone, extraindo informações de um dispositivo de destino e interceptando e-mails e mensagens instantâneas.

Uber : O Uber pagou US$ 100.000 a um hacker para excluir as informações de 57 milhões de usuários, obtidas em outubro de 2016. A Uber não divulgou a violação até um ano depois e posteriormente admitiu que havia sido atacada, mas omitiu a oferta de pagamento da recompensa e foi investigada e sofreu sasões do FTC. Pinkerton diz que a Uber é uma empresa privada, então não houve impacto sobre as ações. Mas seu CSO, Joe Sullivan, foi demitido. Quando a divulgação da violação foi anunciada, a Uber já estava atolada em outros confrontos, como a compensação de motoristas, que poderia ofuscar a violação e afetar a reputação da empresa. Mas seis meses após a revelação, Uber ainda parece estar se saindo “fantasticamente bem“, diz Pinkerton. aqui no Blog noticiamos este caso, e nos parece que Pinkerton ao menos tem razão em uma coisa: “além da notificação do FTC que o forçou a ter um compromisso maior com a proteção de informações dos clientes“, nada parece ter ocorrido.

Equifax: A violação da Equifax é uma das maiores violações conhecidas na história de violações de dados. Os invasores exploraram uma falha de software não corrigida na infra-estrutura da Equifax para roubar informações pessoais de 147,9 milhões de consumidores dos EUA, além de dezenas de milhares de outras pessoas no Reino Unido, Argentina e no Canadá .  As consequências da violação levaram à saída do CEO, CIO e CSO da empresa, e o ex-CEO foi mais tarde chamado para testemunhar sobre o incidente no Congresso Americano.

No dia seguinte à divulgação inicial da violação, as ações da Equifax também despencaram 35%. Equifax no entanto, continua em atividade. Segundo Pinkerton, em março, a empresa reportou receita no quarto trimestre de 2017 de US $ 838,5 milhões, acima dos US $ 801 milhões do ano anterior, superando as previsões dos analistas. O preço das ações da empresa caiu de US $ 147 por ação para US $ 90 após a quebra, mas a média foi de cerca de US $ 120 nos últimos meses. Em outras palavras, o preço das ações da Equifax sofreu com o vazamento e “Aqui está a melhor evidência palpável de que uma violação dessa magnitude afeta o preço das ações“, diz Pinkerton. No entanto a reportagem do BankInfo Security não informa se Pinkerton levou em consideração as ações movidas contra a Equifax, que remontam cerca de US$ 70Milhões .

No entendimento deste redator que vos escreve, as informações passadas, ou ao menos noticiadas, por Pinkerton, parece ter duas faces: A primeira é que Pinkerton afirma nestas análises que os efeitos das violações forma mais benéficas do que desastrosas para as empresas que sofreram violação; A segunda é que acredito que uma análise mais ampla deva ser considerada sobre o mercado de varejo como Wallmart, Bestbuy, Sears e Bancos como a do banco de Montreal e Simplii Financial do Canadá, que tiveram informações de clientes igualmente violadas e neste caso a reputação, principalmente no caso de bancos, sofrem efeitos diferentes dos observados por Pinkerton na análise apresentada na reportagem.

Uma coisa é fato, avaliações frias e com resultados como os apresentados por Pinkerton, em nada ajuda os CSOs em sua dura jornada, ao contrário, parece fortalecer a cultura do “deixa acontecer e vejamos quais benefícios e resultados podemos tirar” . Em uma análise executiva fria está parece a melhor opção, mas agora temos que reavaliar tudo isto frente as novas regulamentações como o GDPR e as leis de privacidade que se multiplicam em diversos países neste último ano.

 

fonte: BankInfo Security  & Security Affairs

Veja também:

 

Sobre mindsecblog 1767 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!