Um estudo do Ponemon Institute encomendado pela IBM demonstra preocupação com o aumento do uso de ferramentas de inteligência artificial sem autorização em empresas brasileiras, o Shadow AI. Em média, o uso sem consentimento das aplicações de IA em corporações aumentou em R$ 591 mil os custos totais de violação de dados.
Feita em março deste ano com 600 organizações de 17 setores afetados por vazamento de dados, sendo que 8% (48 empresas) são do Brasil, a análise ainda revelou que a adoção de ferramentas de IA (internas ou públicas) trouxe um custo médio de R$ 578 mil à violação de dados em média, apesar de seus benefícios.
De acordo com Fernando Carbone, sócio de serviços de segurança da IBM Consulting na América Latina, a IA tem o lado positivo que ajuda as organizações, mas também expõe as organizações: “O Shadow IA vai aumentar o custo dentro da violação”, afirmou.
“Os colaboradores utilizando IA sem controle, sem segurança, expondo dados, obviamente, traz crescimento do custo de violação de dados”, complementou.
IBM: impacto total
Ao todo, o estudo da IBM e do Ponemon estima que o custo médio de violação de dados para empresas no Brasil é de R$ 7,2 milhões, um aumento de 6,5% contra R$ 6,75 milhões da pesquisa em 2024. “Não é alto, mas é uma linha crescente do custo”, disse Carbone nesta manhã de quarta-feira, 30. O executivo credita esse crescimento no valor da violação de dados à própria IA “chegando sem as devidas camadas de proteção” e às “dificuldades ainda na detecção e na contenção de incidentes”.
Os setores mais impactados por ataques são de saúde, com R$ 11,4 milhões, finanças, com R$ 9 milhões, e serviços, com R$ 8,5 milhões. Se considerar apenas esses três setores, a média é mais alta que os R$ 7,2 milhões e o custo médio de violação de dados chega a R$ 9,6 milhões. Para Carbone, as empresas desses setores devem ficar atentas e ter segurança por design, investir em segurança (pois é mais barato e mais efetivo que correr atrás após uma violação) e incentivar o Identity Access Management (IAM).
As formas mais comuns de ataque são phishing, com 18% do total, e uma estimativa de custo médio de violação de dados de R$ 7,2 milhões, fornecedores terceirizados, com 15% e R$ 9 milhões, e exploração de vulnerabilidades, com 13% e R$ 7,5 milhões.
Esses cálculos do estudo excluem as violações maiores e menores e focam na camada do meio, ou seja, entram apenas as empresas que tiveram de 3 a 13 mil registros violados, como dados pessoais, propriedade intelectual, dados bancários, sigilosos ou confidenciais. Também considera os custos de identificação da violação, notificação, resposta pós violação e perda de negócio inerente ao vazamento dos dados.
