Resumo do relatório
Perdas líquidas: estimativa
do custo global do cibercrime
Impacto econômico do cibercrime II
Resumo executivo
O cibercrime é uma indústria em crescimento. O retorno é grande e os riscos são baixos. Estimamos
que o custo anual do cibercrime para a economia global excede US$ 445 bilhões, incluindo tanto
os ganhos para os criminosos quanto os custos das empresas com recuperação e defesa. Uma
estimativa conservadora seria de US$ 375 bilhões em perdas, enquanto o máximo poderia chegar a
US$ 575 bilhões. Isso é mais do que a renda nacional da maioria dos países e o equivalente a algo
entre 0,5% e 0,8% da renda mundial.
Quantificar o custo do cibercrime e da ciberespionagem é apenas o início da conversa. O valor em
dólares levanta questões importantes sobre os danos para as vítimas decorrentes do efeito
acumulado de perdas no ciberespaço. O cibercrime inclui os efeitos do roubo de informações
pessoais de centenas de milhões de pessoas. Uma estimativa estipula um total de mais de 800
milhões de registros individuais em 2013. Só isso custaria até US$ 160 bilhões por ano. Os
constantes relatos de empresas sendo invadidas por hackers contribui para uma sensação cada vez
maior de que o cibercrime está fora de controle.
No entanto, o custo mais importante do cibercrime decorre do dano que ele causa ao desempenho
das empresas e às economias nacionais. Nossa estimativa utilizou dados que levam em consideração
a perda de propriedade intelectual, o roubo de ativos financeiros e de informações confidenciais de
empresas, custos de oportunidade, custos adicionais para proteção de redes e o custo da
recuperação de tais ciberataques, incluindo danos à reputação da empresa atacada. Nossas fontes
incluem dados publicados, entrevistas e estimativas de empresas e agências governamentais de
todo o mundo.
Encontramos centenas de relatos de empresas sendo atacadas. Os EUA, por exemplo, notificaramS
3.000 empresas em 2013 que tinham sido atacadas por hackers. Dois bancos do Golfo Pérsico
perderam US$ 45 milhões. Uma empresa britânica informou ter perdido US$ 1,3 bilhão. Bancos
brasileiros afirmam que seus clientes perdem milhões todo ano. O CERT indiano informou que
308.371 sites foram atacados por hackers entre 2011 e junho de 2013. Simplesmente somando as
perdas dos incidentes conhecidos, totalizaríamos bilhões de dólares, e os casos a serem relacionados
são inúmeros. Devido ao número de incidentes, é surpreendente que tantos países façam tão pouco
ou nada para produzir estimativas oficiais das perdas com o cibercrime. Isso se aplica até mesmo
aos países mais desenvolvidos e é especialmente válido para países de renda média e baixa.
Obviamente, essa falha afeta qualquer possibilidade de estimar com precisão as perdas.
Os países do G20 sofrem a maior parte dessas perdas. As perdas com o cibercrime nas quatro
maiores economias do mundo (EUA, China, Japão e Alemanha) atingiram US$ 200 bilhões. Países
de renda baixa têm perdas semelhantes, mas isso irá mudar conforme esses países aumentarem seu
uso da Internet e os cibercriminosos passarem a explorar plataformas móveis. Para os países
desenvolvidos, o cibercrime tem graves implicações para os empregos. Seu efeito é o de afastar os
empregos que mais agregam valor. Nosso primeiro relatório mostrou que as perdas com o
cibercrime poderiam significar a perda de mais de 200.000 empregos nos EUA. Utilizando dados da
União Europeia, estimamos que a Europa perderia até 150.000 empregos devido ao cibercrime.
Embora correlacionar diretamente perdas por cibercrime com perdas de postos de trabalho não seja
fácil, o efeito sobre os empregos não pode ser ignorado.
Roubo de PI e canibalismo de inovações
As perdas de propriedade intelectual (PI) são as mais difíceis de estimar no custo do cibercrime, mas
também são uma variável importante na determinação das perdas. O roubo de PI mexe com as
balanças comerciais e os índices nacionais de emprego. Países nos quais a criação de PI e indústrias
que dependem intensivamente de PI são importantes para criação de riqueza perdem mais em
termos de comércio, empregos e renda devido ao cibercrime. O efeito da ciberespionagem sobre a
segurança nacional é significativo e o valor monetário da tecnologia militar não reflete
completamente o custo para os países vitimados. O cibercrime prejudica a inovação. Uma maneira
de pensar sobre o custo do cibercrime é perguntar como os investidores agiriam se o retorno sobre
inovação dobrasse. As empresas investiriam mais e a taxa global de inovação aumentaria. Ao
consumir o retorno da propriedade intelectual (PI), o cibercrime cria sub-repticiamente um
desestímulo à inovação.
2
Perdas líquidas: estimativa do custo global do cibercrime
Os países do G20 sofrem a maior
parte das perdas. As perdas
com o cibercrime nas quatro
maiores economias do mundo
(EUA, China, Japão e Alemanha)
atingiram US$ 200 bilhões.
Países de renda baixa têm
perdas menores, mas isso irá
mudar conforme esses países
aumentarem seu uso da Internet
e os cibercriminosos passarem
a explorar plataformas móveis.
Crime financeiro livre de riscos
Quando milhões de pessoas têm suas informações de cartão de crédito roubadas por hackers, isso
chama atenção imediata. O crime financeiro normalmente envolve fraude, mas pode assumir muitas
outras formas de explorar consumidores, bancos e agências governamentais. Os crimes financeiros
mais danosos penetram redes de bancos, com cibercriminosos obtendo acesso e transferindo
dinheiro das contas. Ciberataques de alto perfil que roubam dezenas de milhões de dólares de
bancos são um fenômeno global.
Os varejistas são um alvo favorito dos cibercriminosos. Em 2013, uma série de ataques de grande
perda somaram-se a uma lista que inclui TJ Maxx, Sony e outros. Varejistas do Reino Unido
perderam mais de US$ 850 milhões em 2013. Ocorreram ataques em grande escala contra
varejistas, redes de hotéis, uma linha aérea e empresas de serviços financeiros na Austrália, com
uma média de perda de mais de US$ 100 milhões por empresa. Informações de identificação
pessoal e dados de cartões de crédito roubados são difíceis de monetizar, mas os cibercriminosos
estão melhorando nisso. Como há pouco risco de punição para os hackers, esse tipo de cibercrime
deverá aumentar.
Informações confidenciais de empresas e manipulação de mercados
O roubo de informações confidenciais de empresas (informações sobre investimentos, dados de
exploração e dados sobre negociações comerciais sigilosas) pode render ganhos imediatos. Os
danos para cada empresa são da ordem de milhões de dólares. Uma empresa do Reino Unido
comunicou a agentes britânicos que incorreu em perdas de receita de US$ 1,3 bilhão por perda de
propriedade intelectual e que, em seguida, sofreu uma desvantagem em suas atividades comerciais.
Ataques contra bancos centrais ou ministérios de finanças podem ser uma maneira de se obter
informações econômicas valiosas sobre os rumos dos mercados ou taxas de juros.
A manipulação de bolsas de valores é uma área crescente para o cibercrime. Ao invadir as redes de
uma empresa ou de seus advogados ou contadores, os cibercriminosos podem obter informações
privilegiadas sobre planos de aquisições e fusões, relatórios de lucros trimestrais ou outros dados
que afetam as cotações de mercado de uma empresa. Os criminosos que se aproveitam dessas
informações em operações na bolsa podem ser difíceis de detectar. Os órgãos de regulação
financeira da Turquia, por exemplo, descobriram atividades suspeitas com o intuito de manipular
mercados e preços de ações que foram além dos esquemas de “pump and dump”. Para
cibercriminosos de alto perfil, suas atividades principais podem estar evoluindo para manipulação
financeira, o que será extremamente difícil de detectar.
Custo de oportunidade
O custo de oportunidade é o valor das atividades deixadas de lado. Três tipos de custos de
oportunidade determinam as perdas com o cibercrime: redução do investimento em pesquisa e
desenvolvimento (PD), aversão ao risco por parte de empresas e consumidores e aumento dos
gastos com defesas de rede. Para as empresas, o maior custo de oportunidade pode estar no
dinheiro gasto para proteger suas redes. Enquanto as empresas sempre gastam com segurança,
mesmo que o risco no ambiente digital seja bastante reduzido, há um “prêmio de risco” que elas
pagam devido ao cibercrime que não pode ser evitado.
Uma outra maneira de encarar o custo de oportunidade do cibercrime é considerar a perda como
uma fatia da economia da Internet. Estudos estimam que a economia da Internet gera anualmente
entre US$ 2 trilhões e US$ 3 trilhões, uma participação na economia global que deve crescer
rapidamente. Nossas estimativas sugerem que o cibercrime equivale a algo entre 15% e 20% do
valor criado pela Internet, um imposto pesado sobre o potencial de crescimento econômico e
geração de empregos.
3
Perdas líquidas: estimativa do custo global do cibercrime
Custos de recuperação
Consertar os estragos causados pelo cibercrime é caro. O custo para cada empresa recuperar-se de
ciberfraudes ou violações de dados está aumentando. Embora os cibercriminosos não possam monetizar
todas as informações que roubam, a vítima precisa gastar como se eles pudessem utilizar todos os dados
roubados. O custo agregado da recuperação é maior do que o ganho dos cibercriminosos. Um estudo sobre
o custo do cibercrime na Itália constatou que, embora as perdas reais fossem de apenas US$ 875 milhões, os
custos de recuperação e de oportunidade atingiram US$ 8,5 bilhões. A conta dos custos de recuperação é
onde começam os danos reais para a sociedade. O efeito sobre uma empresa pode incluir danos à marca e
outras perdas de reputação e prejuízos em termos de relacionamento e retenção de clientes.
Incentivos e crescimento continuado
Os incentivos no cibercrime são clássicos. O cibercrime produz um grande retorno com baixo risco e um
custo (relativamente) baixo para os hackers. O oposto vale para os defensores. Empresas e indivíduos tomam
decisões sobre como administrar o potencial de perda com o cibercrime decidindo quanto risco estão
dispostos a aceitar e quanto estão dispostos a pagar para reduzir esse risco. O problema nisso é que se as
empresas não estão cientes de suas perdas ou se subestimam sua vulnerabilidade, elas subestimam o risco.
Conforme mais atividades empresarias entrarem no mundo on-line, consumidores de todo o mundo se
conectarem à Internet e dispositivos autônomos forem conectados na emergente Internet dos
eletrodomésticos, as oportunidades para o cibercrime crescerão. As perdas com o roubo de propriedade
intelectual aumentarão conforme os países adquirentes aumentarem sua capacidade de fazer uso da PI
roubada para fabricar produtos concorrentes. O cibercrime é um imposto sobre a inovação, retardando a
velocidade de inovação global reduzindo a taxa de retorno para inovadores e investidores. Os governos
precisam iniciar um esforço sério e sistemático de coleta e publicação de dados sobre o cibercrime para
ajudar os países e as empresas a fazer escolhas melhores em termos de risco e políticas. Se nada mudar, o
que o cibercrime reserva para o mundo são mais perdas e menos crescimento.
Nota: Colaboraram para este estudo os especialistas brasileiros:
Marcel Grillo Balassiano – Economista do Instituto Brasileiro de Economia / Fundação Getúlio Vargas
(IBRE/FGV)
Marcos Tupinambá Martin Alves Pereira - Especialista em Segurança da Informação e Crimes Eletrônicos
Sobre a McAfee
A McAfee, parte da Intel Security e subsidiária pertencente à Intel Corporation (NASDAQ: INTC), permite
que empresas, o setor público e usuários domésticos desfrutem das vantagens da Internet com segurança.
A empresa fornece soluções e serviços de segurança proativos e comprovados para sistemas, redes e
dispositivos móveis em todo o mundo. Com sua estratégia Security Connected, sua abordagem inovadora
para a segurança aprimorada por hardware e a rede exclusiva do Global Threat Intelligence, a McAfee
está sempre empenhada em manter seus clientes em segurança. http://www.mcafee.com/br
Sobre o CSIS
Durante 50 anos, o Center for Strategic and International Studies (CSIS) desenvolveu soluções práticas
para os maiores desafios do mundo. Enquanto celebramos esse marco, os expoentes do CSIS continuam a
oferecer visões estratégicas e soluções em políticas suprapartidárias para ajudar os tomadores de decisões
a definir um rumo em direção a um mundo melhor.
O CSIS é uma organização suprapartidária e sem fins lucrativos sediada em Washington, DC, EUA. Os 220
funcionários de expediente integral e a grande rede de acadêmicos afiliados do centro realizam pesquisas
e análises e desenvolvem iniciativas políticas que preparam o futuro e anteveem a mudança. http://csis.org/
2821 Mission College Boulevard
Santa Clara, CA 95054
888 847 8766
www.mcafee.com
McAfee e o logotipo da McAfee são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países.
Outros nomes e marcas podem ser propriedade de terceiros. Os planos, especificações e descrições de produtos aqui contidos são fornecidos
apenas para fins informativos, estão sujeitos a alterações sem notificação prévia e são fornecidos sem garantia de qualquer espécie, expressa
ou implícita. Copyright © 2014 McAfee, Inc.
61080rps_csis-econ-cybercrime-sum_fnl_0514