La mole di dati trattati ogni giorno sul web sta aumentando in maniera esponenziale, grazie all’utilizzo sempre più diffuso di internet. Per chi possiede un’impresa e tratta ogni giorno dati (propri, dei dipendenti e di altre aziende collaboratrici) deve stare molto attento a non subire una violazione dei dati, le conseguenze possono essere molto serie.
Non importa quanto grande o piccola sia un’organizzazione: per mitigare i costi e i rischi di un data breach è importante conoscere le possibili cause degli incidenti di sicurezza ed essere in grado di adottare una corretta strategia di gestione e risposta alla violazione di dati.
Con Data Breach si intende un incidente informatico, di natura colposa o dolosa, che coinvolge informazioni digitali. Lo stesso Regolamento Europeo 2016/679 (GDPR) in materia di dati personali fornisce una definizione di Data Breach agli articoli 33 e 34 definendolo come:
“una violazione di sicurezza – accidentale o illecita – che causa la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato ai dati personali conservati o trattati.”
Si pensi infatti che un data breach può essere causato da un hacker, quindi una persona esterna all’organizzazione, ma per nostra statistica, in oltre l’80% dei casi il data breach è causato da errore umano (ad esempio la trasmissione o il deposito di un file in un luogo non sicuro) o da comportamenti scorretti di dipendenti e collaboratori (white collar crime).
Le tre maggiori cause degli incidenti di sicurezza includono gli attacchi intenzionali, la mancata applicazione degli aggiornamenti di sicurezza (es. patch) e gli errori umani. Prevenire un data breach non è sempre possibile.
Una ricerca condotta da Kaspersky mostra che il 36% delle piccole imprese è stata colpita da data breach nel corso del 2019 mentre uno studio precedente di Verizon del 2017 indica che più del 75% delle vittime di data breach studiate erano proprio piccole imprese.
Le PMI, proprio per le loro minori dimensioni, hanno fondi più limitati, il che significa meno personale e risorse informatiche e tecnologiche rispetto alle grandi imprese. Questo le rende un bersaglio più appetibile per gli hacker.
Data Breach: come prevenirlo
La garanzia della sicurezza di un sistema informatico non è raggiungibile al 100%. Alle aziende viene richiesto dallo stesso legislatore di scegliere in autonomia un adeguato sistema di sicurezza in relazione alla riservatezza, tipologia e volume dei dati trattati. Le linee Guida di Agid per la Pubblica Amministrazione, possono essere un utile punto di riferimento per implementare misure di sicurezza minime/standard/avanzate e verificare il gap positivo o negativo rispetto alla vostra azienda.
Per prevenire un data breach bisogna lavorare bene nelle fasi iniziali del processo di individuazione delle misure di protezione adeguate. Per essere pronti a reagire in caso di attacco informatico è invece utile utilizzare gli esiti delle fasi di censimento dati e analisi dei rischi per implementare efficacemente (a basso costo) sistemi di Forensic Readiness.
Data breach: le conseguenze per le aziende
Il 93% degli attacchi durano meno di un minuto ma le aziende ci mettono anche diverse settimane prima di scoprirlo: nel mentre, il data breach, se i dati non sono ben protetti, può portare a delle conseguenze preoccupanti. Ecco cosa rischia un’azienda se non protegge in modo adeguato i propri dati:
· Perdita di ricavi
Piuttosto comune è la riduzione degli affari per l’azienda con una conseguente perdita significativa di ricavi.
· Danni alla reputazione
I danni si possono ripercuotere anche nei guadagni nel lungo termine: chi rimane vittima del data breach a fatica riporrà ancora la sua fiducia sul brand in questione, diffondendo poi la sua opinione ai propri colleghi e amici. Una buona reputazione aziendale, una volta persa, diventa difficilmente recuperabile.
· Perdita di proprietà intellettuale
Il target di un attacco non è solamente il dato privato di un cliente o di un collaboratore, ma anche informazioni riservate aziendali, quali strategie, progetti, idee di design ecc.
Le aziende più soggette alla sottrazione di proprietà intellettuale sono le imprese di costruzioni e manifatturiere, ma nemmeno le piccole imprese sono al sicuro.
· Costi nascosti
I costi evidenti dovuti alla perdita di ricavo sono solo una parte del tutto: tra le spese da annoverare ci sono le sanzioni amministrative più o meno consistenti da pagare, la responsabilità legale nei confronti degli interessati e la possibilità che gli hacker non si limitino solamente ad azioni malevole contro gli utenti violati, ma anche nei confronti dei loro contatti.
Data breach: i rischi
Possiamo distinguere tre macro-categorie di data breach:
- “Confidentiality Breach”, in caso di divulgazione o accesso accidentale/abusivo ai dati;
- “Availibility Breach”, se si verifica una perdita/distruzione accidentale o non autorizzata di dati;
- “Integrity Breach”, in caso di modifica non autorizzata o accidentale di dati.
L’analisi del breach deve permettere una valutazione del rischio effettivo di diffusione del dato, anche in funzione delle misure di sicurezza adottate, della tipologia dei dati trattati e del grado di identificabilità delle eventuali persone fisiche coinvolte. Da questa stima ne consegue la definizione delle priorità di azione.
I rischi riguardano la probabilità che dalla violazione scaturiscano degli effetti pregiudizievoli e la severità di questi effetti. Molti data breach hanno un impatto limitato o praticamente nullo sui diritti e le libertà degli interessati. Tuttavia, possono verificarsi eventi le cui conseguenze per gli interessati sono serie. A titolo di esempio possiamo citare:
- danno alla reputazione;
- umiliazione o imbarazzo;
- stress emotivo (es. ansia, frustrazione, fastidio);
- furto di identità;
- perdite finanziarie;
- perdita di lavoro o di opportunità lavorative;
- violenza familiare;
- intimidazione;
- danni fisici (es. lesioni);
- spamming o phishing.
Data breach: i costi
I costi interessano diversi aspetti dell’attività di una organizzazione:
- perdita dell’attività: alcune ricerche indicano che il 60% delle PMI che subisce una violazione di sicurezza chiude i battenti entro i sei mesi successivi;
- perdita di valore dell’azienda, soprattutto se si tratta di organizzazioni quotate in borsa;
- tempo occorrente per identificare, contenere, valutare e notificare un data breach;
- costi legati all’assistenza e consulenza di esperti esterni (es. legali, specialisti forensi, esperti IT, ecc.);
- costi legati alle sanzioni previste dalla normativa (es. art. 83, par. 5 e 6 del GDPR), al risarcimento dei danni (es. art. 82, par. 1 del GDPR) oppure alla violazione di clausole contrattuali;
- danni all’immagine dell’organizzazione (es. perdita di fiducia dei clienti, cause giudiziarie).
Il danno finanziario inizia prima che la violazione venga scoperta e continua anche dopo che sia stata contenuta. Nel primo anno dopo una violazione le imprese pagano il 67% del suo costo totale, mentre nel secondo e terzo anno, rispettivamente, il 22% e l’11%.
Data breach: creare un piano di risposta
L’efficacia della risposta ad un incidente dipende dai seguenti fattori:
- creazione di un piano di risposta
- verifica del piano
- correzioni ed aggiornamenti del piano
Un piano di risposta è un documento scritto diretto a tutto il personale ed approvato dall’organizzazione. I suoi obiettivi principali sono:
- agevolare il ripristino dei sistemi e/o dati violati nel più breve tempo possibile;
- limitare i costi e i rischi delle violazioni;
- garantire il rispetto degli obblighi normativi (es. notifica) e contrattuali esistenti;
- migliorare la consapevolezza aziendale sulla sicurezza delle informazioni;
- preservare la fiducia dei soggetti interessati.
Da questi obiettivi scaturisce un insieme minimo di informazioni che il piano deve contenere:
- definire cosa costituisce una violazione dei dati e fornire esempi rilevanti per il contesto organizzativo;
- descrivere i ruoli e le responsabilità delle persone da coinvolgere nella risposta e le informazioni di contatto di ognuna;
- spiegare al personale chi e come debba essere informato in caso di sospetto incidente;
- stabilire quando e chi decide se la violazione possa essere gestita a livello manageriale o dal solo responsabile, oppure se deve essere interessato il team di risposta;
- descrivere in modo dettagliato le azioni e le attività da compiere in caso di violazione;
La verifica serve a valutare l’attendibilità e l’efficacia del piano. È un passo davvero essenziale per migliorare il piano e aggiornarlo con periodicità. Per verificare il piano si possono fare simulazioni ed esercizi a tavolino, ma le esercitazioni pratiche sono quelle che permettono di sviluppare meglio una reale capacità di risposta.
Data Breach: il team di gestione degli incidenti
Una delle possibilità che le organizzazioni hanno per mitigare i rischi e i costi di un data breach è predisporre una strategia di gestione e risposta a questi eventi. In poche parole, prepararsi all’evenienza.
La ricerca condotta dall’Istituto Ponemon indica una possibile riduzione dei costi di un data breach fino al 35% per quelle organizzazioni che hanno un team di gestione degli incidenti e un piano di gestione sottoposto a verifica periodica.
La composizione del gruppo dipende innanzitutto dal contesto organizzativo (es. dimensioni, risorse e competenze) ma può variare anche in relazione alla natura e alle circostanze della violazione. In alcune circostanze può essere utile o necessario il supporto di esperti esterni (es. legali, specialisti forensi, ecc.).
È quindi importante che le organizzazioni identifichino le competenze di cui possono aver bisogno e in che modo possono organizzare tali servizi in caso di necessità. In generale un team di risposta può includere le seguenti figure:
- Team Leader: per guidare il team;
- Project Manager: per coordinare il lavoro del team;
- Responsabile Privacy o Responsabile della protezione dei dati: per fornire competenze in materia di privacy;
- Esperto di sicurezza delle informazioni: per la sicurezza delle informazioni;
- Legale: per individuare gli obblighi legali e fornire consulenza ed assistenza;
- Esperto IT: per dare assistenza nelle indagini riguardanti le violazioni dei dati e i sistemi informativi;
- Responsabile dell’area aziendale interessata dalla violazione: per fornire informazioni di natura operativa;
- Responsabile delle risorse umane: per fornire consulenza quando la violazione coinvolge le azioni di un membro del personale;
- Comunicazioni: per comunicare con i soggetti interessati dalla violazione, con i media e le altre parti esterne interessate.
Dato che la tempestività della risposta è un fattore decisivo che ha una influenza diretta sui costi, il gruppo di intervento e, soprattutto, la figura del team leader deve essere investito dell’autorità di prendere decisioni relative alle azioni e attività da compiere.
Il ricorso all’automazione che include l’utilizzo di strumenti di identificazione e risposta agli incidenti (es. SIEM) può ridurre i costi di un data breach fino al 50%.
D’altra parte, se mancano gli strumenti di monitoraggio dei sistemi, c’è il rischio che gli incidenti non vengano scoperti per molto tempo. E questo comporta un aumento dei costi necessari per investigare e ridurre le conseguenze degli incidenti, oltre a lasciare agli aggressori più tempo per alterare le loro tracce o compromettere in modo più serio gli stessi sistemi.
Backup, piano di continuità e cifratura
La perdita di attività è il maggior costo studiato nella relazione sulla violazione dei dati del 2019. Evitare tale conseguenza significa adottare misure adeguate ad impedire che gli effetti di una violazione siano amplificati dall’impossibilità di utilizzare sistemi importanti o che attacchi distruttivi possano cancellare o compromettere dati o sistemi difficili o costosi da recuperare.
Le organizzazioni dovrebbero perciò predisporre e verificare un piano di continuità che includa l’archiviazione dei backup offline, inaccessibili dai sistemi primari, in modo che gli aggressori non possano comprometterli.
La cifratura dei dati è una misura di contenimento dei rischi molto importante, soprattutto per i dati personali più sensibili. Se i dati sono cifrati gli eventuali aggressori non possono decodificarli e questo riduce il rischio di danni. Inoltre, secondo il GDPR, la cifratura è una di quelle condizioni che esonerano il titolare dall’onere di notificare la violazione dei dati ai singoli interessati.
L’informazione e la prevenzione possono ridurre il rischio
Informarsi sui pericoli e sulla modalità con cui un criminale della rete può avvicinarsi a te e alla tua azienda è il metodo più efficace per valutare il rischio che si corre, per organizzare l’azienda in modo da poter rispondere alla minaccia e per investire sulle giuste infrastrutture e sulle giuste risorse.
La Sicurezza Informatica è il pilastro di qualsiasi sistema operativo e deve essere sempre messa al primo posto quando si progetta e si lavora su qualsiasi infrastruttura. Nexsys si occupa di preservare la sicurezza dei tuoi computer, della tua rete e anche dei tuoi dati. In ambito aziendale, inoltre, la formazione del personale può comportare una notevole riduzione del rischio.
Gli Ethical Hacker sono le figure di spicco in questo ambiente; padroneggiano gli stessi strumenti utilizzati dagli hacker e sfruttano il punto di vista di un attaccante per mettere in campo contromisure utili alla protezione dei sistemi. Attraverso il corso di formazione Ethical Hacking gli studenti potranno formare solide basi per arrivare a specializzarsi in tematiche particolari come Vulnerability Assessment, Penetration Test, Malware Analysis, Incident Response, Digital Forensics.