O mais recente Relatório de custo de violação de dados da IBM Aqui está: um panorama claro de onde estão os riscos, o que está elevando os custos e quais investimentos realmente compensam. Para os líderes de segurança, é um parâmetro, um alerta e um guia, tudo em um só – com destaques sobre onde concentrar esforços, o que corrigir e como evitar se tornar a próxima manchete.
As informações pessoais identificáveis (PII) ainda são a joia da coroa para os atacantes.
Os dados pessoais dos clientes continuam sendo o ativo mais visado e mais custoso em caso de violação de dados. Mais da metade de todas as violações envolveram [informação faltante]. Informações pessoais do clientee em incidentes envolvendo IA sombra O número saltou para 65%. O custo por registro de PII (Informações Pessoais Identificáveis) de cliente comprometido é de 1.041.600 dólares em todo o mundo e de 1.041.660 dólares em incidentes de IA não autorizada. Isso significa que uma exposição de 50.000 registros pode facilmente ultrapassar 1.048 milhões de dólares em perdas diretas, antes mesmo de considerar multas, cancelamentos e danos à reputação. Para qualquer organização, um único conjunto de dados exposto pode se traduzir em milhões em perdas, multas e danos à reputação.
A lição é simples. Se você não consegue ver onde estão todos os seus dados sensíveis, não consegue protegê-los. É aí que entra a questão da segurança. descoberta e classificação com reconhecimento de identidade, e controles de acesso tornar-se inegociável.
A IA paralela não é apenas um problema de segurança, é também um problema de custo.
Uma em cada cinco organizações sofreu uma violação de segurança relacionada à IA não autorizada este ano. Esses incidentes aumentam os custos de segurança em uma média de £ 1.040.000, e em ambientes de uso intenso, esse valor sobe para £ 1.040.000. Eles levam mais tempo para serem detectados, envolvem mais dados pessoais e de propriedade intelectual e causam interrupções operacionais subsequentes.
Em muitos casos, os funcionários estavam usando ferramentas de IA não autorizadas que manipulavam dados sensíveis sem o conhecimento ou a aprovação das equipes de segurança.
Os incidentes de IA oculta também apresentaram uma janela de detecção mais longa e maior probabilidade de envolver dados pessoais e de propriedade intelectual. Tratar a IA oculta apenas como uma violação de política não é suficiente. A IA oculta não é simplesmente uma dor de cabeça em termos de conformidade. É uma superfície de ataque não monitorada com um custo elevado. DetecçãoA governança e os controles automatizados são essenciais.
- 20% das organizações sofreram uma violação de segurança envolvendo IA paralela.
- + $200K adicionado ao custo médio global de violações de segurança para incidentes de IA não autorizada.
- + $670K para organizações com alto uso de IA paralela.
- 65% de violações de IA paralela envolveram informações pessoais identificáveis do cliente.
- 40% envolvia propriedade intelectual
- Os tempos de detecção e contenção são uma semana mais longos do que a média global.
A adoção da IA está superando a governança da IA.
Sessenta e três por cento das organizações violadas não tinham política de governança de IA em vigor. Entre os que o fizeram, menos da metade tinha um processo formal de aprovação para implementações de IA e apenas um terço realizava auditorias regulares para IA não autorizada. Noventa e sete por cento dos violações relacionadas à IA sistemas envolvidos sem controles de acesso adequados.
Essa lacuna de governança é um dos riscos mais fáceis de corrigir, segundo o relatório. As equipes de segurança e conformidade precisam trabalhar juntas para criar um inventário unificado de sistemas de IA, aplicar políticas de acesso e monitorar continuamente a presença de implantações não autorizadas.
Os controles de acesso por IA são o elo mais fraco.
-
97% das violações relacionadas à IA envolveram sistemas sem controles de acesso à IA adequados.
-
31% de incidentes de segurança de IA autorizados resultaram em acesso não autorizado a dados sensíveis.
-
29% levou a uma perda de integridade dos dados
-
23% causou prejuízo financeiro direto
Os modelos de IA estão acessando dados críticos e regulamentados sem as devidas salvaguardas. Cada uma dessas ocorrências representa um custo potencial de violação de dados.
A inteligência artificial na área de segurança é uma comprovada redutora de custos.
Organizações que utilizam IA e automação extensivamente em todo o ciclo de vida da segurança reduziram seus custos com violações de segurança em uma média de 1,9 milhão de dólares e diminuíram o tempo de resposta a incidentes em oitenta dias. No entanto, apenas 32% relatam uso extensivo, e as taxas de adoção praticamente não mudaram em relação ao ano passado.
A IA na segurança não é apenas um multiplicador de forças para equipes sobrecarregadas, mas também uma forma direta de reduzir custos. Da classificação automatizada à investigação mais rápida e remediação, o retorno do investimento está comprovado.
Violações em múltiplos ambientes acarretam custos mais elevados.
Trinta por cento das violações envolveram dados distribuídos por vários ambientes. Essas violações custaram, em média, 1.045,05 milhões de dólares e levaram 276 dias para serem contidas – o maior tempo entre todos os tipos de violação. Sem visibilidade e controles unificados, os ambientes híbridos se tornam um risco.
A visibilidade de segurança que se limita a um único ambiente já não é suficiente. Os dados modernos residem em nuvens públicas, nuvens privadas e sistemas locais, e as violações atravessam essas fronteiras sem dificuldade. Os controles de segurança e as ferramentas de descoberta devem ser capazes de fazer o mesmo.
Tendências do setor: onde os riscos são mais altos
Assistência médica Continua sendo o setor mais caro em termos de violações de dados, com uma média de 7,42 milhões de dólares. Financeiro As organizações industriais também se situam bem acima da média global. Para esses setores, a combinação de exposição regulatória, dados sensíveis de clientes e infraestrutura complexa significa riscos e custos mais elevados.
O que os líderes de segurança podem aprender com isso
Os dados indicam claramente onde concentrar esforços:
- Encontre e proteja informações pessoais identificáveis em todos os lugares onde elas estiverem.As informações pessoais identificáveis do cliente acarretam o custo e o risco mais elevados.
- Controle a IA paralelaDetecte, controle e elimine antes que se torne uma manchete cara sobre uma violação de segurança.
- Incorpore a governança de IA ao seu programa de segurança.Trate os ativos de IA como qualquer outro sistema de alto valor.
- Utilize IA e automação em segurança de forma ampla, não apenas com parcimônia.Os benefícios em termos de custo e velocidade são comprovados.
- Segurança em todos os ambientes, não em silos.As violações ultrapassarão fronteiras se as suas ferramentas não forem capazes de as impedir.
As organizações vencedoras serão aquelas que combinarem visibilidade, governança e automação em todo o seu cenário de dados – e que tratarem a IA tanto como uma oportunidade de negócio quanto como um risco que exige controle.
Autor
