Barracuda full logo

Fazer as contas: A arte de calcular os custos do crime cibernético

Tópicos:
30 jun. 2025
|
Tony Burgess

Quanto custa o cibercrime? Quais são os custos médios associados a um único ataque? E qual é o custo anual acumulado do cibercrime?

Não é preciso ler muito sobre estatísticas de cibercrime para obter uma gama bastante ampla de respostas a essas perguntas. Por isso, é natural perguntar-se como esses números são calculados. E tenho a certeza de que não será surpreendente saber que realmente não existe uma maneira padronizada de o fazer.

O que existe, no entanto — e espero não estar a revelar segredos da indústria — é um incentivo para os fornecedores de cibersegurança usarem as estimativas mais elevadas que conseguem encontrar ou gerar nas suas comunicações. Dizer “um ataque de ransomware pode custar à sua empresa dezenas de milhares de dólares” não tem o mesmo impacto de vendas que “o custo médio de um ataque de ransomware no ano passado foi de cinco milhões de dólares!”

Portanto, é sensato encarar estas estimativas de rápido crescimento com alguma cautela e pensamento crítico — especialmente quando surgem sob a forma de previsões sobre custos futuros.

O que conta como custo de cibercrime?

Claramente, é importante lançar uma rede ampla ao estimar os custos do cibercrime. Conforme relatado em Cybercrime Magazine:

"Os custos do cibercrime incluem danos e destruição de dados, dinheiro roubado, perda de produtividade, roubo de propriedade intelectual, roubo de dados pessoais e financeiros, desfalque, fraude, perturbação pós-ataque ao curso normal dos negócios, investigação forense, restauração e eliminação de dados e sistemas hackeados, danos reputacionais, custos legais e, potencialmente, multas regulatórias, além de outros fatores", disse Steve Morgan, fundador da Cybersecurity Ventures.

Essa é uma lista bastante longa, e o facto de terminar com “mais outros fatores” deixa-me, pelo menos, um pouco cético em relação aos números que surgem.

No mesmo artigo de maio de 2025, prevê-se que o custo global do cibercrime para esse ano ascenderá a $10,5 biliões — um aumento dramático em relação à estimativa de 2020 de $1 bilião. Mas olhando para 2031, a revista prevê que esse número aumentará apenas para $12,2 biliões, com base num aumento constante de 2,5% ao ano. Essa suposição baseia-se na ideia de que a economia do cibercrime está a tornar-se tão grande e tão lucrativa que a sua taxa de crescimento, que no passado tem aumentado de forma constante, irá estabilizar em breve, se é que já não estabilizou.

Custos diretos vs. indiretos

ITPro relatou no mesmo mês de maio de 2025 um estudo que constatou que os custos do cibercrime no Reino Unido ascendiam a “64 mil milhões de libras por ano em pagamentos de resgates, horas extraordinárias do pessoal, negócios perdidos e outros custos associados.”

O estudo distinguiu entre custos diretos e indiretos. Os custos diretos foram identificados como tempo extra de pessoal gasto a lidar com ataques, juntamente com “pagamentos de resgate, fundos roubados ou perdidos, custos legais e regulamentares, interrupção das operações e o custo de trazer especialistas externos, além de prémios de seguro cibernético mais altos.” Isto totalizou, segundo o cálculo do estudo, £37.3 mil milhões.

No entanto, verificou-se que os custos indiretos também eram muito significativos, atingindo 26,7 mil milhões de libras. E a maior categoria de custo indireto foi reportada como sendo o aumento dos orçamentos de cibersegurança após os ataques. “Outros custos indiretos incluíram a perda de clientes, o custo de redirecionar recursos para a resposta a incidentes e a perda de vantagem competitiva devido ao roubo de propriedade intelectual corporativa.”

Lançando dúvidas

Mais um relatório de maio de 2025, este produzido pelo Atlantic Council, constitui uma tentativa muito detalhada de explicar, definir e abordar dois problemas significativos com métricas de cibersegurança em geral, que segundo os autores resultam em não haver forma útil de compreender a eficácia das políticas governamentais e outras para combater o cibercrime.

Este relatório identifica dois problemas principais que impedem o progresso: primeiro, o estado desconhecido do sistema, o que significa que os responsáveis pela formulação de políticas não podem descrever empiricamente quão seguro ou inseguro é atualmente o panorama digital; e segundo, a eficácia das políticas não medida, o que impede os responsáveis pela formulação de políticas de comparar quais intervenções são mais eficazes na melhoria da segurança e na redução de danos. O resultado é um ambiente de formulação de políticas fortemente dependente de intuição, anedotas, dados incompletos e medidas de proxy — tudo insustentável para um domínio com riscos tão sistémicos e crescentes e tanto investimento em segurança.

"Contabilizando os custos: Um quadro de métricas de cibersegurança para políticas", The Atlantic Council

Este extenso relatório apresenta um argumento muito convincente de que as métricas atualmente em uso não estão à altura da tarefa, e propõe mudanças significativas de alto nível na forma como essas métricas são conceptualizadas. O efeito líquido para este leitor é, novamente, inspirar um ceticismo considerável em relação às estimativas de custos em torno da cibersegurança.

O que fazer de tudo isto

Então, qual é a conclusão? Primeiro, independentemente dos números reais, não há dúvida de que o cibercrime impõe custos massivos à economia mundial, e que esses custos estão a aumentar.

Para governos e organizações intergovernamentais, isso por si só não é muito útil no desenvolvimento de políticas e na medição da sua eficácia. Mas para empresas individuais, a conclusão é bastante simples: Fazer investimentos inteligentes e direcionados em cibersegurança e ciberseguro é fundamental na medida em que realmente reduz a exposição dessa organização ao risco de ataques dispendiosos.

Precisa de números precisos, quer se trate de custos médios individuais ou custos globais, para fazer esses investimentos corretamente? Não creio que precise. O que precisa é de uma avaliação precisa das suas próprias vulnerabilidades, baseada em ataques em tendência e superfícies de ataque em expansão. E precisa de um parceiro de cibersegurança que possa ajudar a fazer essa avaliação e oferecer soluções e estratégias que visem as suas áreas específicas de maior risco.

E é exatamente isso que a Barracuda faz, todos os dias, com organizações de todos os tamanhos, em todo o mundo.

Transforme a sua gestão de vulnerabilidades
Tony Burgess

Tony Burgess é um veterano de vinte anos na indústria de segurança de TI e é o Senior Copywriter de Conteúdo e Marketing ao Cliente da Barracuda. Nesta função, ele pesquisa temas técnicos complexos e traduz as descobertas em prosa clara, útil e legível para humanos.

Pode conectar-se com o Tony no LinkedIn aqui.

Artigos Relacionados:
August’s top threat actors: Ransomware, espionage and infostealers
August’s top threat actors: Ransomware, espionage and infostealers
 Resumo de Malware: Phishing astuto, BYOVD e RATs Android
Resumo de Malware: Phishing astuto, BYOVD e RATs Android
 Inquérito vê declínio global nos custos de violação de dados
Inquérito vê declínio global nos custos de violação de dados
 WolfGPT: A "IA Avançada" para Malware
WolfGPT: A "IA Avançada" para Malware
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.