Erro humano se torna tendência de violação de dados do GDPR em 2020

Foi amplamente relatado que o erro humano causou 90% das violações de dados cibernéticos em 2019. As informações fornecidas pelo UK Information Commissioner's Office (ICO) levaram os especialistas em segurança a acreditar que nove em cada dez das 2376 violações cibernéticas relatadas foram causadas por erros cometidos pelos usuários finais.

Embora, de relance, essa estatística possa ser usada para tirar conclusões e generalizações rápidas, em toda a realidade é menos útil do que pode parecer originalmente. Nos dados brutos fornecidos pela OIC, o "erro humano" abrange uma enorme variedade de casos - desde falhas no sistema a divulgação não autorizada até campanhas bem-sucedidas de phishing ou spear-phishing. Portanto, embora isso traga uma boa abordagem cativante, a declaração de alguns especialistas em segurança de que nove em cada dez violações foram causadas por erro humano é bastante pouco informativa.

O que é bom saber é que aproximadamente 32% das violações de dados confirmadas no último ano envolveram phishing de um tipo ou de outro. Naturalmente, esse número pode variar dependendo de fatores diferentes, mas é originado no Relatório de investigações de violação de dados (DBIR) de 2019 da Verizon. Segundo o referido relatório, aproximadamente um terço de todas as violações de dados relatadas envolviam phishing de um tipo ou de outro.

Os relatórios também indicam que, apesar das campanhas e cursos destinados a aumentar a conscientização sobre o assunto, o mundo, em geral, é lamentavelmente despreparado para esses ataques. Uma organização líder em treinamento em conscientização cibernética observa em seu Relatório de Benchmarking de Phishing por Indústria de 2020 que quase quarenta por cento dos usuários que não realizam algum tipo de treinamento dedicado em conscientização cibernética provavelmente serão vítimas de um ataque de phishing bem pensado.

Esse é um problema sério quando você considera o fato de que a pesquisa indica que 84% das pequenas e médias empresas que têm algo a ver online relataram serem alvo de ataques de phishing.

А A pesquisa de violação de dados do GDPR realizada em janeiro de 2020 informou que houve 160.921 violações de dados pessoais na área econômica europeia desde 25 de maio de 2018, até o ponto da pesquisa. As empresas que confirmaram ter manipulado incorretamente os dados do usuário pelas autoridades de proteção de dados incorrem em multas do GDPR no total de € 153 milhões. Apesar disso, e a ameaça iminente de uma multa que pode chegar a € 20 milhões ou 4% da receita anual mundial da empresa, o que for maior, as empresas ainda relutam em relatar violações de dados corretamente e os especialistas em segurança de TI estimam que as centenas das milhares de violações observadas nas estatísticas do GDPR estão longe de serem precisas.

Então, o que você deve fazer de tudo isso?

Os usuários da Internet precisam conhecer os perigos que se escondem online . É uma boa ideia que usuários regulares e provedores de serviços online se mantenham atualizados sobre as melhores práticas do setor de segurança de TI. Além disso, as pessoas precisam estar cientes de que não há substituto para uma solução sólida de segurança de TI e que ficar sem uma ou com uma medíocre pode ter consequências terríveis.