Nos próximos cinco minutos que você vai passar lendo essa reportagem, cerca de 672 arquivos eletrônicos contendo informações confidenciais estarão comprometidos. Até o final do ano, mais de 72 milhões de gravações com números de identificação pessoal (da carteira de identidade), de cartões de crédito, datas de nascimento e outros dados pessoais serão expostos.  Isso dá uma média de 200 mil arquivos por mês a mais que no ano passado.

Os principais culpados dessa situação, no entanto, não são os hackers, mas as próprias corporações, de acordo com um novo estudo da Universidade de Washington (EUA).

A conclusão é baseada em uma revisão de 550 brechas de segurança de dados divulgada pela principal empresa de mídia dos Estados Unidos entre 1980 e 2006. O objetivo do estudo foi examinar todo o comportamento da organização em violações de privacidade.

O que se descobriu é que falhas ou confusões internas que resultam, por exemplo, em situações em que os números das carteiras de identidades e CPF vão parar online, além de perda de equipamentos, fitas de backups perdidas ou outros erros administrativos são os maiores responsáveis por 61% dos incidentes.

No entanto, apenas 31% dos acontecimentos foram perpetuados por hackers externos e 9% tiveram causas não especificadas.

“O que isto mostra é uma surpresa no número de incidentes que na verdade envolvem falhas na administração da empresa, mais do que ação de hackers”, afirma Philip Howard, professor assistente de comunicação da Universidade de Washignton e co-autor do relatório. “Eu acredito que é mais fácil, quando uma companhia perde muitos dados de clientes, culpar os hackers ou outras pessoas externas”, alerta.

A realidade, entretanto, é que na maioria dos casos, erros internos são os causadores das brechas de dados”, diz. O estudo reforça conclusões similares de outras pesquisas. O relatório divulgado pela IT Policy Compliance Group na semana passada mostrou que erros humanos são a causa mais decisiva das perdas de dados críticos – contribuindo para 75% de todas as ocorrências, enquanto a atividade de hackers maliciosos contribui para apenas 20% dos dados perdidos.

De acordo com o relatório, o canal primário para perda de dados envolve laptops e equipamentos móveis, assim como o e-mail e ferramentas de mensagens instantâneas.

Similarmente, em uma pesquisa informal realizada na semana passada pelo Computerworld Premier 100 IT Leaders Conference, também na semana passada, respondentes escolheram “atividades da equipe interna” como a maior causa de falha da segurança, seguida de “políticas ineficientes” e “funcionários móveis negligentes”. Hackers externos foram descobertos como a causa de somente 11% dos casos.

Até mesmo incidentes que foram publicamente culpados por hackers, na verdade estão um pouco encobertos, revela Howard. Um exemplo foi a grande quebra dos dados da Acxiom em 2003, quando um corretor de títulos roubou 1,6 bilhões de dados de clientes gravados contendo nomes, endereços e e-mails pertencentes a milhões de americanos. Naquele caso, o hacker foi capaz de gravar uma grande quantia de dados por causa de uma falha da Acxiom ao estabelecer controles de acesso apropriados, segundo Howard.

Quando se trata do volume de dados comprometidos, os hackers externos são responsáveis por 45% das quebras de segurança, enquanto 27% vem de erros internos e 28% continuam sem atribuição. Um total de cerca de 1,9 bilhões de informações gravadas foram comprometidas nos incidentes que foram estudados.

O estudo da universidade também mostrou que existiram mais incidentes reportados em 2005 e 2006 – 424 – do que nos 25 anos anteriores juntos (126). Outra descoberta chave que o relatório traz é o fato de que colégios e universidades apontam para um aumento da porcentagem de todos os incidentes relatados, enquanto setores como o de saúde são dos que menos apresentam problemas.

“Certamente, nós descobrimos que a quebra de dados é freqüentemente o resultado de negligência em uma parte de gerenciamento dos dados das companhias”, garante Avivah Litan, um analista da Stamford.