Qual o custo total dos ataques contra a rede de hotéis da MGM?

Há poucos dias, vimos o ataque cibernético da rede de hotéis MGM. O ataque sofrido pela empresa abrange muitos cenários #FAIR clássicos e controles #NISTCSF que são componentes-chave da quantificação do risco cibernético, incluindo ransomware de atores externos, controles de senha e segurança da nuvem e do fornecedor. Este evento também possibilita a modelagem das perdas em torno de multas e julgamentos, danos à reputação e perda de produtividade além de todo o grupo de perdas secundarias descritas na FAIR.

Com base em uma avaliação básica do NIST CSF a partir de dados da indústria de uma empresa média de hotelaria/alimentação/entretenimento, sendo estas ameaças acima entrando em ação e concluímos pelos modelos analíticos sobre a FAIR, o resultado esperado de US$ 34 milhões em perdas previstas, com potencial subindo para US$ 324 milhões.

Com a MGM Resorts International perdendo em média US$ 8,4 milhões de dólares por dia, isso é bastante preciso e aderente aos valores que foram pagos pelo resgate dos sistemas ate o momento.

Dias antes de os sistemas informáticos da MGM serem derrubados num ataque cibernético, o operador de casino Caesars pagou um resgate no valor de US$ 15 milhões de dólares a um grupo de crimes cibernéticos que conseguiu infiltrar-se e acessar os seus sistemas.

Houve agora dois ataques altamente perturbadores na indústria de jogos em questão de semanas. O Caesars relatou seu incidente em um documento da Comissão de Valores Mobiliários dos EUA na manhã de quinta-feira. O relatório 8-K, semelhante ao apresentado pela MGM Resorts na quarta-feira, reconhece o hack como um evento material.

O grupo de crimes cibernéticos exigiu um resgate de US$ 30 milhões do Caesars, mas a empresa acabou concordando em pagar cerca de metade desse valor, disseram fontes. Os custos serão parcialmente mitigados pelas apólices de seguro cibernético do Caesars.

Como descrevi no artigo anterior as regras da SEC exigem que as empresas apresentem relatórios no prazo de quatro dias após um evento “relevante”. Não ficou imediatamente claro porque o Caesars atrasou a apresentação do relatório revelando o hack e o resgate por semanas. A SEC pressionou para introduzir uma nova regra de divulgação de segurança cibernética no início deste ano, exigindo que as empresas apresentassem um relatório 8-K divulgando a natureza de um ataque cibernético e o efeito nos seus negócios. Essa nova regra entra em vigor no final do ano (vide artigo anterior).

Será consequência natural no Brasil que o Banco Central e a CVM estabeleçam regulamentações semelhantes as da SEC visto que o mesmo perfil de incidentes está em pleno curso em nosso País.