Come gestire una violazione dei dati

Non passa quasi settimana senza che una violazione dei dati finisca sulle prime pagine dei giornali. I criminali informatici hanno normalizzato il phishing e il risultato sono grandi quantità di dati rubati.

Un recente rapporto dell’ente del settore della sicurezza ISACA mostra che meno di un quarto dei consumatori britannici ritiene che le aziende proteggano i loro dati personali. Il rapporto sottolinea anche l’impatto reale delle perdite di dati, con quasi la metà dei consumatori che dichiara di non voler più trattare con un’azienda che ha subito una violazione dei dati.

La perdita di dati significa perdita di clienti, multe salate e danni alla reputazione. È importante sapere come affrontare una violazione dei dati quando si verifica.

Ecco i nostri consigli sulle migliori pratiche per affrontare una violazione dei dati.

Informazioni personali e protezione dei dati

I dati personali sono tutto ciò che può essere utilizzato per identificare un individuo. Ad esempio, nome, indirizzo, età, indirizzo e-mail, numero di telefono e così via. Questi dati sono come polvere d’oro per i criminali informatici e sono a rischio anche per una semplice esposizione accidentale.

I dati personali devono essere protetti in base alle varie normative sulla protezione dei dati e sulla privacy. Ad esempio, il Regno Unito  Il Data Protection Act 2018 (DPA2018) descrive le regole di protezione dei dati per garantire la sicurezza dei dati personali. I principi fondamentali del DPA2018 sono che i dati devono essere:

• utilizzato in modo equo, legale e trasparente
• utilizzati per scopi specifici ed espliciti
• utilizzato in modo adeguato, pertinente e limitato solo a ciò che è necessario.
• accurata e, se necessario, aggiornata
• conservati per un periodo non superiore a quello necessario
• gestiti in modo da garantire un’adeguata sicurezza, compresa la protezione contro l’elaborazione, l’accesso, la perdita, la distruzione o il danneggiamento illegali o non autorizzati

Il DPA 2018 viene talvolta paragonato al GDPR dell’UE. Per questo motivo, il DPA 2018 viene anche chiamato GDPR britannico. Ci sono alcune differenze tra il DPA 2018/UK GDPR e il GDPR dell’UE, ad esempio il trattamento dei dati penali è meno severo nel Regno Unito. Inoltre, i motivi legittimi per la profilazione sono meno severi nel Regno Unito rispetto all’UE.

Tuttavia, entrambe richiedono la protezione dei dati personali e, in caso di violazione, devono essere rispettate alcune condizioni successive alla violazione. Ciò include regole di notifica delle violazioni e potenziali multe in caso di non conformità.

Come avviene una violazione dei dati?

Ovunque vengano creati, archiviati, condivisi o utilizzati, i dati rischiano di essere rubati o esposti accidentalmente. Le violazioni dei dati sono causate da una serie di minacce informatiche, tra cui:

• Phishing – i truffatori rubano i dati direttamente utilizzando siti web dannosi. In alternativa, i criminali informatici utilizzano lo spear phishing per rubare le credenziali di accesso. Queste credenziali vengono poi utilizzate per accedere alle reti e alle applicazioni aziendali. Anche  Le credenziali del personale senza privilegi possono portare a hackeraggi di database e a massicce violazioni dei dati.
• Social engineering – i criminali informatici ingannano i dipendenti per farsi consegnare i dati personali che poi utilizzano per commettere altri reati. I truffatori utilizzano molti mezzi per effettuare il social engineering, tra cui telefonate e social media. Questi attacchi possono infine portare a violazioni di dati più significative.
• Componenti web mal configurati: semplici errori di configurazione possono lasciare server web e database aperti agli hacker.
• Vulnerabilità del software – le falle nel codice del software possono rendere vulnerabili a un attacco database, server web e altri software. Spesso le vulnerabilità del software vengono utilizzate insieme ad altri vettori di attacco, come il phishing, per installare malware, come il ransomware. Questo porta a violazioni di dati più significative.
• Infezione da malware: tutte le tecniche e le tattiche di cui sopra possono portare all’infezione da malware. Ad esempio, il malware può portare all’esfiltrazione dei dati verso un criminale informatico in attesa di metterli in vendita su un mercato del dark web. Oppure può portare a un’infezione da ransomware. Spesso il ransomware ruba i dati prima di criptarli e tentare l’estorsione.
• Violazioni accidentali dei dati: i dati personali non sono a rischio solo per i criminali informatici. L’esposizione accidentale dei dati è una forma di violazione dei dati che può verificarsi a causa di semplici errori e azioni incaute.

Il rapporto The Cost of a Data Breach 2022 di IBM ha rilevato che:

• I principali vettori di attacco che causano una violazione dei dati: credenziali rubate o compromesse (19% delle violazioni), phishing (16% delle violazioni) e errata configurazione del cloud (15% delle violazioni). Tutti questi vettori possono essere causati da un errore umano; ad esempio, un dipendente non si rende conto di essere stato vittima di un phishing e clicca su un link malevolo che porta al furto delle credenziali.

Dati simili provengono dal Verizon Data Breach Investigation Report per il 2022:

• L’82% delle violazioni coinvolge un essere umano, ad esempio che clicca su un link di phishing a un certo punto dell’attacco.
• Il 62% delle violazioni di dati utilizza fornitori della catena di approvvigionamento. Anche in questo caso, gli aggressori hanno utilizzato tattiche di social engineering per colpire fornitori terzi e attaccare le aziende più a monte della catena.

I danni che gli hacker possono fare

I truffatori utilizzano le informazioni personali per perpetrare una serie di crimini informatici. Ad esempio, il furto d’identità: il  Il CIFAS National Fraud Database ha registrato un aumento dell’11% dei furti d’identità nella prima metà del 2021. Inoltre, il CIFAS ha registrato una crescita ancora più significativa nel 2022, con un aumento dei casi di furto di identità di un terzo rispetto ai dati del 2021.

Il furto d’identità comporta perdite finanziarie per gli individui e le aziende che hanno a che fare con il truffatore che si cela dietro l’identità rubata. Le aziende e gli individui del Regno Unito perdono circa 4 miliardi di sterline all’anno a causa di frodi legate all’identità.

Il rapporto Cost of Data Breaches presenta le prove dell’impatto di una violazione dei dati:

• Il costo medio di una violazione dei dati nel 2022 è stato di 4,2 milioni di dollari (3,8 milioni di sterline).

Il costo di una violazione dei dati include:

• Costi di riparazione dei danni diretti ai sistemi IT
• Danno reputazionale
• Multe per non conformità normativa
• Danni ai clienti; spesso le violazioni di dati possono portare a class action
• Licenziamento del personale e problemi di morale
• Potenziale perdita di proprietà intellettuale o di segreti aziendali.

Cosa fare in caso di violazione dei dati personali

Ogni organizzazione che subisce una violazione dei dati deve avere un piano solido per mitigare l’impatto. Ecco alcune idee e consigli su come gestire una violazione dei dati:

Mantenere la calma

È avvenuta una violazione di dati personali: gestire la situazione è fondamentale per contenere l’evento e minimizzare l’impatto. Mantieni la calma e risolvi i problemi.

Valutare il danno

L’indagine sull’evento è un compito che richiede tempo. Devi informare le autorità se la violazione soddisfa i criteri necessari per essere notificata. Ad esempio, nel Regno Unito, il  L‘Information Commissioner’s Office (ICO) deve essere informato entro 72 ore dalla scoperta di una violazione dei dati.

Indagare sull’incidente

Registra tutti i fatti relativi all’incidente man mano che li scopri. È fondamentale registrare gli eventi e includere i danni. Questo registro può essere usato come prova se il caso finisce in tribunale.

Contenere la violazione

Puoi sviluppare una strategia di contenimento della violazione mentre valuti il danno e registri l’accaduto. Le misure di contenimento dipendono dal tipo di incidente che si è verificato. Ad esempio, un attacco ransomware richiederà misure di contenimento più tecniche rispetto a un’errata consegna di un’e-mail contenente i dati di un cliente. Il tipo di misure per contenere i diversi tipi di incidenti dovrebbe essere accuratamente delineato in un  politica di sicurezza.

Valutare il rischio

Valuta quanto la violazione dei dati sia stata dannosa per le persone coinvolte. Ad esempio, c’è un rischio di furto d’identità o qualcuno potrebbe rischiare di subire danni fisici? Comprendere il livello di rischio aiuterà la tua azienda a rispondere in modo appropriato.

Rispondere all’incidente

La risposta a un attacco informatico ha molti livelli. Comprende la gestione delle conseguenze della perdita di dati personali dal punto di vista delle persone colpite. Significa anche che la tua organizzazione deve rivalutare la propria posizione di sicurezza. Cerca di capire dove le misure esistenti hanno fallito. Hai bisogno di una formazione più regolare sulla sicurezza? Stai usando la crittografia in modo appropriato? Una risposta misurata analizzerà l’intera catena di eventi dell’incidente in modo da poter rafforzare la sicurezza aziendale.

Misure utili per la risposta alle violazioni di dati

Una violazione dei dati può causare danni incommensurabili a un’organizzazione. Tuttavia, come già detto, il fattore umano nella catena di eventi che porta a una violazione dei dati è il punto in cui è possibile apportare un reale cambiamento.

I risultati del rapporto ISACA dimostrano l’efficacia della formazione sulla sicurezza. Il rapporto indica che l’80% delle organizzazioni ha dichiarato che  La formazione sulla sicurezza ha effetti positivi sulla consapevolezza dei dipendenti.

Utilizzando la formazione sulla sicurezza del personale come misura fondamentale nella lotta contro gli attacchi informatici, un’organizzazione può prevenirli. L’aggiunta di misure come la crittografia dei dati e l’autenticazione robusta a questa formazione sulla sicurezza rende molto meno probabile una violazione dolosa o accidentale dei dati.