Quando um ataque cibernético bem-sucedido atinge uma empresa de capital aberto e se torna público, seus efeitos são imediatos e avassaladores. O valor das ações da empresa mergulha rapidamente, independente da tendência anterior, com uma queda média de 7,5%. A perda média de capitalização de mercado chega a impressionantes US$ 5,4 bilhões, conforme apontado em um estudo recente da Harvard Business Review, publicado em maio deste ano.
As análises gráficas desses incidentes revelam um aspecto ainda mais preocupante: o impacto não é apenas de curto prazo, mas também de médio prazo. Segundo levantamento do Security Design Lab (SDL), uma rede global de pesquisa e desenvolvimento em cibersegurança, essa queda mais expressiva nas ações das empresas geralmente ocorre no 59º dia após o ataque. O Morningstar Sustainalytics também corroborou esses achados em outubro de 2022. Mesmo um ano depois, sete em cada dez empresas afetadas ainda enfrentam dificuldades para se reerguer e recuperar seus patamares setoriais.
Paulo Moura, co-fundador do SDL na França, destaca que a diferença na recuperação das empresas está diretamente relacionada ao nível de conformidade com as melhores práticas, políticas de segurança e legislação de proteção de dados. Empresas mais avançadas em medidas preventivas e reativas, que investem em segurança cibernética e compliance, mantêm o ritmo de seu benchmark setorial mesmo um ano após os ataques. Em contrapartida, as empresas com menor conformidade apresentam um desempenho significativamente inferior, com uma queda máxima de até 62% em comparação com as empresas altamente conformes.
O SDL, em colaboração com a Associação Brasileira das Companhias Abertas (Abrasca), está conduzindo a primeira pesquisa sobre cibersegurança entre empresas de capital aberto no Brasil, denominada Cyber Score. O objetivo é compreender a maturidade das empresas nesse aspecto e apoiar as áreas técnicas e de compliance na disseminação da importância da cibersegurança entre os principais executivos e acionistas. Esse esforço visa também contribuir para o desenvolvimento de políticas públicas que garantam mais segurança tanto para as empresas quanto para os investidores.
Os dados compilados pelo SDL revelam que empresas que sofrem violações significativas de dados apresentam um desempenho inferior ao índice NASDAQ em 8,6% após um ano do incidente, podendo aumentar para 11,9% após dois anos.
Exemplos concretos ilustram essa realidade. Na Austrália, o ataque cibernético à Medibank (ASX:MPL) resultou em uma queda de 15% no preço das ações após uma semana de suspensão da venda, e o valor permanece abaixo do pré-ataque. No Brasil, o Grupo Fleury (FLRY3) foi alvo de dois ataques em 2021 e 2023, resultando em uma queda de 12% no lucro líquido no último trimestre de 2022. As Lojas Renner (BVMF:LREN3) também enfrentaram ataques cibernéticos, resultando em uma queda de 1,5% no preço das ações após o anúncio.
Flávia Brito, CEO da Bidweb, enfatiza que o sequestro de dados pode afetar toda a cadeia de suprimentos de uma empresa, ampliando em até 26 vezes o impacto no ecossistema de negócios.
O custo de uma violação de dados é significativo e em constante crescimento. O Relatório de Custo da Violação de Dados da IBM Security destaca que o custo médio global de uma violação atingiu US$ 4,35 milhões em 2022 e continua aumentando. Isso engloba desde pagamentos de resgate e perda de receitas até tempo de inatividade da empresa e honorários advocatícios. Além disso, as despesas com auditoria após um ataque podem ser 13,5% mais altas do que aquelas para empresas não afetadas. A falta de segurança cibernética também pode resultar em rebaixamento da classificação de crédito e afetar a capacidade de financiamento da empresa.
O cenário global de cibercrimes é alarmante, com um custo anual superior a US$ 1 trilhão, representando cerca de 1% do PIB global. O Brasil figura como o segundo país mais atingido da América Latina, com mais de 103 bilhões de tentativas de ataques cibernéticos em 2022, um aumento de 16% em relação ao ano anterior.
Em suma, a ameaça dos ciberataques e suas consequências devastadoras destacam a importância crítica da cibersegurança para as empresas de capital aberto. A adoção de melhores práticas, políticas de segurança e conformidade com regulamentações desempenham um papel fundamental na proteção do valor das empresas e na confiança dos investidores.