Non passa quasi settimana senza che una violazione dei dati finisca sulle prime pagine dei giornali. I criminali informatici hanno normalizzato il phishing e il risultato è una grande quantità di dati rubati.
Un recente rapporto dell'ente di sicurezza ISACA mostra che meno di un quarto dei consumatori britannici ritiene che le aziende proteggano i loro dati personali. Il rapporto sottolinea anche l'impatto reale delle perdite di dati, con quasi la metà dei consumatori che dichiara di non voler più trattare con un'azienda che ha subito una violazione dei dati.
La perdita di dati significa perdita di clienti, multe salate e danni alla reputazione. È importante sapere come affrontare una violazione dei dati quando si verifica.
Ecco i nostri consigli sulle migliori pratiche per affrontare una violazione dei dati.
Informazioni personali e protezione dei dati
I dati personali sono tutto ciò che può essere utilizzato per identificare una persona. Ad esempio, nome, indirizzo, età, indirizzo e-mail, numero di telefono e così via. Questi dati sono come polvere d'oro per i criminali informatici e sono a rischio anche per una semplice esposizione accidentale.
I dati personali devono essere protetti in base a diverse normative sulla protezione dei dati e sulla privacy. Ad esempio, il Data Protection Act 2018 (DPA2018) del Regno Unito descrive le regole di protezione dei dati per garantire la sicurezza dei dati personali. I principi fondamentali del DPA2018 sono che i dati devono essere:
- utilizzato in modo equo, legale e trasparente
- utilizzati per scopi specifici ed espliciti
- utilizzato in modo adeguato, pertinente e limitato solo a ciò che è necessario
- accurati e, ove necessario, aggiornati
- conservati per un periodo non superiore a quello necessario
- gestiti in modo da garantire un'adeguata sicurezza, compresa la protezione da trattamenti illegali o non autorizzati, accesso, perdita, distruzione o danneggiamento
Il DPA 2018 viene talvolta paragonato al GDPR dell'UE. Per questo motivo, il DPA 2018 viene anche indicato come GDPR del Regno Unito. Esistono alcune differenze tra il DPA 2018/GDPR britannico e il GDPR dell'UE, ad esempio il trattamento dei dati penali è meno rigoroso nel Regno Unito. Inoltre, i motivi legittimi per la profilazione sono meno severi nel Regno Unito rispetto all'UE.
Tuttavia, entrambi richiedono la protezione dei dati personali e, in caso di violazione, devono essere soddisfatte alcune condizioni successive alla violazione. Ciò include regole di notifica delle violazioni e potenziali multe in caso di non conformità.
Come avviene una violazione dei dati?
Ovunque vengano creati, archiviati, condivisi o utilizzati, i dati rischiano di essere rubati o esposti accidentalmente. Le violazioni dei dati sono causate da una serie di minacce informatiche, tra cui:
- Phishing - i truffatori rubano i dati direttamente utilizzando siti web dannosi. In alternativa, i criminali informatici utilizzano lo spear phishing per rubare le credenziali di accesso. Queste credenziali vengono poi utilizzate per accedere alle reti e alle applicazioni aziendali. Anche le credenziali del personale senza privilegi possono portare ad hackeraggi di database e a massicce violazioni di dati.
- Social engineering - i criminali informatici ingannano i dipendenti e li costringono a consegnare dati personali che poi utilizzano per commettere ulteriori reati. I truffatori utilizzano diversi mezzi per effettuare il social engineering, tra cui le telefonate e i social media. Questi attacchi possono infine portare a violazioni di dati più significative.
- Componenti web mal configurati: semplici errori di configurazione possono lasciare server web e database aperti agli hacker.
- Vulnerabilità del software: le falle nel codice del software possono rendere vulnerabili a un attacco database, server web e altri software. Spesso le vulnerabilità del software vengono utilizzate insieme ad altri vettori di attacco, come il phishing, per installare malware, come il ransomware. Questo porta a violazioni dei dati più significative.
- Infezione da malware: tutte le tecniche e le tattiche di cui sopra possono portare all'infezione da malware. Ad esempio, il malware può portare all'esfiltrazione dei dati verso un criminale informatico in attesa di metterli in vendita su un mercato del dark web. Oppure può portare a un'infezione da ransomware. Spesso il ransomware ruba i dati prima di criptarli e tentare l'estorsione.
- Violazioni accidentali dei dati: i dati personali non sono a rischio solo per i criminali informatici. L'esposizione accidentale dei dati è una forma di violazione dei dati che può verificarsi a causa di semplici errori e azioni incaute.
Il rapporto di IBM The Cost of a Data Breach 2022 ha rilevato che:
- I principali vettori di attacco che causano una violazione dei dati: credenziali rubate o compromesse (19% delle violazioni), phishing (16% delle violazioni) e errata configurazione del cloud (15% delle violazioni). Tutti questi vettori possono essere causati da un errore umano; ad esempio, un dipendente non si rende conto di essere stato vittima di un phishing e clicca su un link dannoso che porta al furto delle credenziali.
Dati simili provengono dal Verizon Data Breach Investigation Report per il 2022:
- L'82% delle violazioni coinvolge un essere umano, ad esempio, che clicca su un link di phishing a un certo punto dell'attacco.
- Il 62% delle violazioni di dati riguarda fornitori della catena di approvvigionamento. Anche in questo caso, gli aggressori hanno utilizzato tattiche di social engineering per colpire fornitori terzi e attaccare le aziende a monte della catena.
I danni che gli hacker possono fare
I truffatori utilizzano le informazioni personali per perpetuare una serie di crimini informatici. Ad esempio, il furto di identità: il CIFAS National Fraud Database del Regno Unito ha registrato un aumento dell'11% dei furti di identità nella prima metà del 2021. Inoltre, il CIFAS ha registrato una crescita ancora più significativa nel 2022, con un aumento di un terzo dei casi di furto di identità rispetto ai dati del 2021.
Il furto d'identità comporta perdite finanziarie per gli individui e le aziende che hanno a che fare con il truffatore dietro l'identità rubata. Le aziende e gli individui del Regno Unito perdono circa 4 miliardi di sterline all'anno a causa di frodi legate all'identità.
Il rapporto Cost of Data Breaches presenta le prove dell'impatto di una violazione dei dati:
- Il costo medio di una violazione dei dati nel 2022 è stato di 4,2 milioni di dollari (3,8 milioni di sterline).
Il costo di una violazione dei dati comprende:
- Costi di riparazione dei danni diretti ai sistemi IT
- Danni alla reputazione
- Multe per non conformità normativa
- Danni ai clienti; spesso le violazioni dei dati possono portare ad azioni collettive.
- Licenziamento del personale e problemi di morale
- Potenziale perdita di proprietà intellettuale o di segreti aziendali.
Come comportarsi in caso di violazione dei dati personali
Ogni organizzazione che subisce una violazione dei dati deve avere un piano solido per mitigare l'impatto. Ecco alcune idee e suggerimenti su come gestire una violazione dei dati:
Mantenere la calma
È avvenuta una violazione di dati personali: la gestione della situazione è fondamentale per contenere l'evento e minimizzare l'impatto. Mantenete la calma e risolvete i problemi.
Valutare il danno
L'indagine sull'evento è un'attività sensibile al tempo. È necessario informare le autorità se la violazione soddisfa i criteri necessari per essere notificata. Ad esempio, nel Regno Unito, l'Information Commissioner's Office (ICO) deve essere informato entro 72 ore dalla scoperta di una violazione dei dati.
Indagine sull'incidente
Registrate tutti i fatti relativi all'incidente man mano che li scoprite. È essenziale registrare gli eventi e includere i danni. Questo registro può essere utilizzato come prova se il caso finisce in tribunale.
Contenere la violazione
È possibile sviluppare una strategia di contenimento della violazione mentre si valuta il danno e si registra l'accaduto. Le misure di contenimento dipendono dal tipo di incidente che si è verificato. Ad esempio, un attacco ransomware richiederà misure di contenimento più tecniche rispetto a un'errata consegna di un'e-mail contenente dati di clienti. Il tipo di misure per contenere i diversi tipi di incidenti deve essere accuratamente delineato in una politica di sicurezza.
Valutare il rischio
Valutare il grado di dannosità della violazione dei dati per le persone coinvolte. Ad esempio, c'è un rischio di furto d'identità o qualcuno potrebbe rischiare di subire danni fisici? La comprensione del livello di rischio aiuterà la vostra azienda a reagire in modo appropriato.
Rispondere all'incidente
La risposta a un attacco informatico ha molti livelli. Comprende la gestione delle conseguenze della perdita di dati personali dal punto di vista delle persone colpite. Significa anche che la vostra organizzazione deve rivalutare la propria posizione di sicurezza. Esaminate dove le misure esistenti hanno fallito. Avete bisogno di una formazione più regolare sulla consapevolezza della sicurezza? State utilizzando la crittografia in modo appropriato? Una risposta misurata esaminerà l'intera catena di eventi dell'incidente, in modo da poter rafforzare la sicurezza aziendale.
Misure utili per la risposta alle violazioni di dati
Una violazione dei dati può causare danni incommensurabili a un'organizzazione. Tuttavia, come già detto, il fattore umano nella catena di eventi che porta a una violazione dei dati è il punto in cui è possibile apportare un reale cambiamento.
I risultati del rapporto ISACA dimostrano l'efficacia della formazione sulla sicurezza. Il rapporto registra che l'80% delle organizzazioni ha dichiarato che la formazione sulla consapevolezza della sicurezza ha effetti positivi sulla consapevolezza dei dipendenti.
Utilizzando la formazione sulla sicurezza del personale come misura fondamentale nella lotta contro gli attacchi informatici, un'organizzazione può prevenirli. L'aggiunta di misure come la crittografia dei dati e l'autenticazione robusta a questa formazione sulla sicurezza rende molto meno probabile una violazione dolosa o accidentale dei dati.