2021 foi o ano mais prolífico já registrado para violações de dados
A Spirion lançou um guia que fornece uma visão detalhada das violações de dados confidenciais em 2021, derivadas de análises realizadas no banco de dados do Identity Theft Resource Center (ITRC) de violações de dados relatadas publicamente nos Estados Unidos.
O guia é baseado na análise de mais de 1.500 incidentes de dados ocorridos nos Estados Unidos em 2021 que envolveram especificamente dados confidenciais, incluindo informações de identificação pessoal (PII). O relatório identifica as principais violações de dados confidenciais pelo número de indivíduos afetados, número de registros comprometidos, agente de ameaças, vetor de exposição e tipos de dados confidenciais expostos por setor da indústria.
2021 foi o ano mais prolífico já registrado para violações de dados, superando o recorde histórico de 2017. No ano passado, um total de 1.862 comprometimentos de dados foram relatados por organizações dos EUA – um aumento de 68% em relação a 2020. Os dados do ITRC revelaram que 83% dos incidentes do ano expuseram 889 milhões de registros de dados confidenciais que afetaram mais de 150 milhões de indivíduos.
“Embora tenhamos visto um direcionamento significativo de dados confidenciais nos anos anteriores, uma combinação do estado estável do trabalho remoto e maior sofisticação nas metodologias de ataque fez com que os ataques a dados confidenciais disparassem em 2021”, disse Kevin Coppins , CEO da Spirion .
Os dados mais comuns direcionados durante violações de dados confidenciais no ano passado
- Número de segurança social : 65% de todos os incidentes de dados confidenciais envolveram SSN
- Informações pessoais de saúde : 41% de todos os incidentes de dados confidenciais
- Informações da conta bancária : 23% de todos os dados confidenciais
- Carteira de motorista : 23% de todos os dados confidenciais
- Detalhes do cartão de crédito/débito : 12% de todos os incidentes de dados confidenciais
- Credenciais de e-mail/senha : 10% de todos os incidentes de dados confidenciais
A maioria das violações de dados confidenciais foi executada por agentes externos, representando 93% do total de incidentes. Os ataques cibernéticos direcionados foram a principal maneira pela qual os atores externos obtiveram acesso não autorizado a dados pessoais em 2021. Os atores externos realizaram mais de 1.440 ataques cibernéticos (89% de todos os incidentes de dados confidenciais), capturando as informações pessoais de 148 milhões de pessoas.
Principais vetores de ataque ciberataques aproveitados para acessar dados confidenciais
- Vulnerabilidades de terceiros/cadeia de suprimentos : 25% dos incidentes de dados confidenciais afetaram 6,9 milhões de indivíduos
- Phishing/smishing/correspondência de e-mail comercial : 23% dos incidentes de dados confidenciais afetaram 4,8 milhões de indivíduos
- Ransomware : 17% dos incidentes de dados confidenciais afetaram 14 milhões de indivíduos
- Malware : 8% dos incidentes de dados confidenciais afetaram 2,5 milhões de indivíduos
Enquanto isso, os atores internos foram responsáveis por 7% dos comprometimentos de dados confidenciais que colocaram em risco as PII de 878.556 pessoas, principalmente por erro humano, incluindo correspondência por e-mail e segurança na nuvem ou firewalls mal configurados.
Em 2021, a violação média de dados confidenciais teve um ciclo de vida duas vezes maior que as violações de dados não confidenciais. Da detecção inicial à contenção da violação, a violação média de dados confidenciais levou 112 dias para ser resolvida, enquanto uma violação de dados não confidenciais levou apenas 52 dias. Também levou o dobro do tempo para detectar e conter erros internos do que ciberataques externos. Em média, o ciclo de vida da exposição de dados induzida por erro humano levou 207 dias para ser detectado e contido, enquanto os ataques externos tiveram um ciclo de vida médio de 75 dias.
Três setores foram responsáveis pela maioria das violações de dados confidenciais que afetaram 84% de todos os indivíduos em 2021:
- Serviços profissionais e empresariais : 157 incidentes que impactaram 52 milhões de indivíduos (ou 35% do total de indivíduos)
- Telecomunicações : 8 incidentes que impactaram 47,8 milhões de pessoas (ou 32% do total de pessoas)
- Saúde : 447 incidentes que impactaram 24,8 milhões de indivíduos (ou 17% do total de indivíduos)
Tendências interessantes
Evolução de vetores de ataque : os ataques de cadeia de suprimentos e de terceiros se tornaram os principais contribuintes para comprometimentos de dados confidenciais em 2021. Um total de 93 ataques de terceiros afetaram 559 organizações, expondo mais de 1,1 bilhão de registros de dados. Desses incidentes, 83% continham dados confidenciais, revelando PII para 7,2 milhões de pessoas. Notavelmente, o setor de saúde foi impactado em 53% de todos os ataques à cadeia de suprimentos em 2021.
Vários ataques em um único ano : mais de duas dúzias de organizações sofreram várias violações de dados no ano passado. Dos três incidentes de dados da Aetna ACE aos dois vazamentos massivos de dados do LinkedIn que afetaram 1,2 bilhão de pessoas, o surgimento dessa tendência inquietante é resultado dos níveis crescentes de trabalho remoto que estão colocando em risco maiores quantidades de dados do que nunca.
Subnotificação de violações de dados : apesar de mais organizações sofrerem comprometimentos de dados, no entanto, 34% das organizações e agências estaduais subnotificaram violações de dados no ano passado por não relatar seus incidentes de dados em tempo hábil ou por não incluir detalhes relevantes. Embora os estados individuais exijam que as empresas notifiquem os clientes sobre uma violação, atualmente não há leis federais americanas gerais determinando que as empresas devem relatar todos os comprometimentos de dados.
