Quando uma tentativa de ataque cibernético a uma empresa de capital aberto é bem-sucedida e vem a público, o efeito é instantâneo: o preço das ações da companhia cai vertiginosamente, não importa se a tendência anterior era de alta ou de baixa, e a queda média chega a 7,5% do valor, juntamente com uma perda média de capitalização de mercado que chega a US$ 5,4 bilhões, segundo estudo publicado pela Harvard Business Review em maio deste ano.
O que as análises gráficas desses casos mostram de ainda mais alarmante é que o impacto sobre o valor de mercado das empresas atacadas é não só de curto, como de médio prazo. Um levantamento deste mês, reunindo dados recentes de vários estudos internacionais, feito pelo Security Design Lab (SDL) – rede global de pesquisa e desenvolvimento de cibersegurança com operação na América do Sul e Europa – destaca que a maior queda nas ações ocorre não no primeiro ou segundo dia, mas geralmente no 59º dia após o ataque, segundo publicou em outubro de 2022 o Morningstar Sustainalytics e, um ano depois, 7 entre cada 10 empresas nessa situação ainda têm dificuldades em se recuperar e alcançar os níveis dos seus respectivos setores de atuação.
As empresas que sofrem um incidente significativo de violação de dados apresentam desempenho inferior ao índice NASDAQ em 8,6% após um ano do incidente, sendo que essa diferença pode aumentar para 11,9% após dois anos.
Em outubro de 2022, o ataque cibernético sofrido pela Medibank (ASX:MPL) na Austrália resultou na suspensão da venda das ações por uma semana e, na retomada ao mercado, o preço despencou 15% e permanece bem abaixo do preço pré-ataque até hoje.
No Brasil, o Grupo Fleury (FLRY3), uma das maiores redes de laboratórios de exames do país, foi alvo de dois ataques, em 2021 e em maio de 2023, reportando queda de 12% no lucro líquido no 4T22. Horas após o incidente de 2021, os papéis apresentaram queda de 2,34%. No mesmo ano, as Lojas Renner (BVMF:LREN3) também foram alvos de ataques cibernéticos e queda logo depois do anúncio de 1,5%.
“O sequestro de dados pode impactar 26 vezes o tamanho do ecossistema de negócios de uma empresa. O que definitivamente é um desastre para ela, pode se tornar também para toda sua cadeia de suprimentos”, enfatiza Flávia Brito, CEO da Bidweb, empresa especialista em cibersegurança. No caso do Fleury, o ataque ao seu sistema afetou não apenas a operação da companhia, que foi paralisada, como também a sua cadeia de suprimentos, em especial diversos hospitais que utilizam, prioritariamente, seus serviços.
De acordo com o último Relatório de Custo da Violação de Dados da IBM Security, em 2022, o custo médio global de uma violação atingiu US$ 4,35 milhões e continua aumentando. Essas despesas podem incluir desde pagamentos de resgate e perda de receitas até tempo de inatividade da empresa, honorários advocatícios, sem considerar os custos intangíveis, como reputação.
“Os custos de auditoria após um ciberataque podem ser 13,5% mais caros do que aqueles para empresas que não sofreram violações. Além disso, 60% das organizações que foram vítimas de violações de dados aumentaram os preços de seus produtos e serviços para tentar recuperar os prejuízos financeiros”, reforça Cristiano Iop da Sikur.
A falta de segurança cibernética também pode resultar em rebaixamento da classificação de crédito, afetando a capacidade e o custo de uma empresa para garantir financiamento. Em 2018, a Moody’s anunciou que avaliaria as práticas de segurança cibernética das empresas ao atribuir classificações de crédito. De fato, a gigante de avaliação de risco reduziu a classificação de crédito da Equifax em 2019 após o incidente cibernético que a empresa sofreu em 2017.
Atualmente, os crimes cibernéticos custam à economia mundial mais de US$ 1 trilhão por ano, o que representa cerca de 1% do PIB global. Em 2022, o Brasil foi o segundo país mais atingido da América Latina, com mais de 103 bilhões de tentativas de ataques cibernéticos, um aumento de 16% com relação a 2021, atrás apenas do México, que sofreu com 187 bilhões de tentativas.