Vazamentos de dados resultaram em multas astronômicas para nomes como Equifax, Facebook e British Airways
Por Leonardo Scudere*
A semana de 22 de julho nos trouxe as notícias do acordo recorde de cerca de US$ 700 milhões feito pelo FTC (Federal Trade Commision) em ação coletiva de 50 Estados contra a empresa de dados de crédito Equifax. Vale ressaltar que os estados de Massachusetts e Indiana mantêm processos separados contra a empresa pela mesma invasão ocorrida no final de Maio de 2017 contra seus sistemas.
No anúncio dos resultados do 1º trimestre a empresa informou ter provisionado U$ 690 milhões para este acordo, o que representa um valor ligeiramente inferior a um trimestre de vendas, considerando que em 2018 a Equifax gerou U$ 3,41 bilhões. Desta forma o acordo final consumiu 20,52% das vendas anuais, até o momento, sem considerar os dois Estados ainda pendentes.
No dia 25 de Julho foi a vez de a mesma FTC chegar a um acordo recorde com o Facebook no valor de U$ 5 bilhões, decorrentes do escândalo envolvendo a empresa inglesa Cambridge Analytica sobre a exposição indevida dos dados de 87 milhões de usuários. Este acordo corresponde a cerca de um trimestre de vendas e ultrapassa em 30 vezes a maior multa anterior de U$ 168 milhões aplicados pela FTC contra a Dish Network em 2017, que também supera os U$ 148 milhões que o Uber pagou pelo ataque sofrido em 2016.
Associadas as multas, a Equifax assinou um compromisso de investir ate US$ 1 bilhão para reforçar sua segurança cibernética nos próximos anos, considerando que esta invasão comprometeu diretamente 147 milhões de consumidores. Embora o número absoluto de U$ 700 milhões possa ser percebido como substancial, em função do número de usuários prejudicados, o custo médio por usuário ficou entre irrisórios U$ 2,00 a U$ 3,00.
Durante as negociações do acordo, inicialmente, os advogados do Facebook ofereceram pagar simplesmente nada, mantendo uma postura típica de dissociar a marca de procedimentos negligentes que possam implicar culpa ou dolo a terceiros. Ao perceber a mudança de postura do FTC, esta oferta teria subido a U$ 100 milhões e, em seguidas rodadas, concluindo com o histórico valor de U$ 5 bilhões.
Da Europa e como impacto direto da GDPR a companhia de aviação British Airways foi multada em U$ 230 milhões, o que representa 6% do lucro operacional projetado para 2019. A rede de hotéis Marriott também sofreu recentemente pesada multa em função de uma falha nos sistemas resultante da integração das redes de uma das aquisições feitas pelo grupo.
As cifras são inéditas e tem todo o viés de alta substancial pela entrada em vigor nos Estados Unidos de regulamentações mais rígidas através do “Califórnia Consumer Protection Act” que deverá ser replicado e/ou adaptado pelos demais Estados da Federação.
Obviamente no Brasil teremos impactos proporcionais pela efetivação da Lei Geral de Proteção de Dados (LGPD) que estará em vigor em 20 de Agosto de 2020. Nesta semana estive em debates em um escritório de advocacia e pude, novamente, constatar como estes dois mundos (segurança cibernética e gestão de riscos corporativos) ainda navegam por oceanos diferentes.
Esta afirmação até o momento também e verídica no que se refere à percepção de valor de mercado pelos investidores e acionistas. Embora, a Equifax tenha sofrido desde 2017 publicidade negativa, o valor das suas ações sofreu apenas leves oscilações, o mesmo se pode dizer do Facebook e das demais empresas descritas acima.
Intrigante entender na lógica pragmática no processo de decisão o que move um conselho ou o CEO de empresa envolvida num ataque cibernético. Nos Estados Unidos, a saída da zona de conforto sempre ocorre com uma forte queda no valor das ações. As prioridades se refazem caso este indicador aponte para um viés negativo subitamente. Então todos os projetos tecnológicos entram na pauta e as aprovações ocorrem rapidamente.
Isto seria uma indireta maneira de transmitir ao mercado que algo está sendo feito para corrigir os problemas e que a empresa tem a segurança cibernética como alta prioridade. Uma resposta subjetiva e reativa após algo já ter ocorrido visando acalmar o mercado (clientes e investidores). Desconectada de medição quantitativa anterior ou qualquer outra forma tangível de medir sua real efetividade.
Da ciência de gestão de riscos aprendemos que todos os modelos matemáticos e/ou analíticos apontam para três caminhos (após a medição quantitativa do nível de riscos existentes):
1. Manter/reter riscos (de acordo com o apetite para riscos da empresa). Como descrito acima, uma determinada porcentagem sobre as vendas projetadas deve ser considerada para um determinado período (ano ou trimestre) ou equivalente sobre o lucro anual estimado;
2. Enfrentar/mitigar (através de projetos de médio e longo prazo em segurança cibernética envolvendo produtos e serviços). Segmentados em análises de ROI por categorias de tecnologias envolvidas. Ou seja, para cada dólar investido qual o equivalente ao valor de risco a ser reduzido e/ou eliminado. Projetos com ROI negativo, a princípio deveriam ser reavaliados;
3. Transferir/terceirizar (contratação de zonas de seguros cibernéticos): Encontrar o melhor equilíbrio financeiro entre o valor dos prêmios a serem pagos x baixa e/ou remota probabilidade de ocorrência dos eventos (invasões, roubo de dados, fraudes diversas).
Percebo que estes dois mundos estão se aproximando gradualmente. Existem muitas diferenças entre suas dinâmicas, linguagens, procedimentos, valores, equipes etc. a serem enfrentados, porém a adoção de programas de gestão de riscos cibernéticos preventivos e quantitativos (em valores financeiros) torna-se o único caminho viável para a solução desta dissociação.
CISOs e CEO/CFOs devem estabelecer uma forma de diálogo compatível a todos (surge à figura do CRO = Chief Risk Officer) como uma liderança capacitada a interligar as várias áreas e seus interesses específicos num programa contínuo de gerenciamento dos riscos e não apenas reagir após as consequências das multas impostas pelos reguladores, visibilidade negativa em mídias sociais ou qualquer outro fato relevante que venha a comprometer a credibilidade da marca.
*Leonardo Scudere possui ampla experiência em segurança cibernética e gestão de riscos tendo atuado como executivo líder na Oracle, IBM Latin América, Computer Associates (CA) além de ter introduzido na região empresas inovadoras como Check Point, Internet Security Systems, NetWitness, Archer, Mandiant, NARUS (Boeing Defesa), BRS Labs, VidSys, SS8 entre outras. Foi também o fundador e primeiro presidente do Capítulo Brasileiro da HTCIA (High-Tech Crime Investigation Association). É, atualmente, diretor executivo e fundador da Cyberbric Solutions
https://cio.com.br/multas-serao-suficientes-para-elevar-investimentos-em-seguranca/
Information Security 