Nov82022

Una violazione di sicurezza che comporta (accidentalmente o in modo illecito) la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Questo è il data breach, ossia la violazione dei dati personali: una piaga tutta contemporanea che, ai tempi della clamorosa accelerazione digitale, sta mettendo in difficoltà migliaia di imprese.

 

Cos’è una violazione dei dati personali

Le violazioni dei dati o data breach possono verificarsi in organizzazioni di qualsiasi dimensione, dalle piccole imprese alle grandi società. Possono riguardare informazioni sulla salute personale, informazioni di identificazione private, segreti commerciali o altre informazioni riservate.
Le esposizioni comuni alla violazione dei dati includono informazioni personali come numeri di carte di credito, di previdenza sociale, di patente e precedenti sanitari; nonché informazioni aziendali come elenchi di clienti e codice sorgente.
Se qualcuno che non è autorizzato a farlo visualizza dati personali o li ruba completamente, si dice che l’organizzazione incaricata di proteggere tali informazioni abbia subito un data breach. Se una violazione dei dati si traduce in un furto di identità o in una violazione degli obblighi di conformità del governo o del settore, l’organizzazione incriminata può essere soggetta a sanzioni, contenziosi, perdita di reputazione e persino la perdita del diritto di gestire l’attività.

 

I costi

Recenti casi di attualità parlano di data breach ai danni non solo di piccole e medie imprese ma anche di realtà come IBM e SAP che, proprio di recente, hanno visto esporre su server underground dati e credenziali personali di oltre 30mila tra dipendenti e collaboratori. Una piaga che si è inevitabilmente intensificata in seguito all’accelerazione verso il cloud e i servizi digitali scatenata dall’emergenza sanitaria e da una complessa ripartenza.
Secondo l’ultima edizione del report annuale “Cost of a data breach” realizzato da Ponemon Institute in collaborazione con IBM, emerge infatti che il costo medio globale delle violazioni dei dati ha raggiunto la cifra record di 4,35 milioni di dollari, con un aumento del 13% rispetto all’ultimo biennio. Una progressione che, secondo molti esperti, darà vita, soprattutto nel nostro Paese (l’Italia nel 2021 è stato il secondo Paese in Europa per valore delle sanzioni legate al mancato rispetto del GDPR proprio in materia di privacy e violazione dei dati) ad un aumento sostanzioso di prezzi di beni e servizi.

 

Cosa fare in caso di violazione dei dati personali

A livello legale, il GDPR (regolamento generale sulla protezione dei dati) dell’Unione Europea, entrato in vigore nel giugno 2018, richiede alle organizzazioni di notificare alle autorità una violazione entro 72 ore. Il GDPR non si applica solo alle organizzazioni con sede all’interno dell’UE, ma si applica anche alle organizzazioni con sede al di fuori dell’UE se offrono beni o servizi o monitorano il comportamento degli interessati dell’UE.
Il titolare del trattamento (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.
Il responsabile del trattamento che viene a conoscenza di un’eventuale violazione è tenuto a informare tempestivamente il titolare in modo che possa attivarsi.  Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere accompagnate dai motivi del ritardo.
Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

 

Il caso BeeCyber

Di fronte ad una situazione così delicata, Infor (realtà di eccellenza tutta italiana nel mercato dell’innovazione digitale) ha messo in campo una divisione ad hoc come BeeCyber: un team di esperti con una storia di eccellenza tecnologica lunga oltre 30 anni. Un mix straordinario di passato, presente e futuro che sta permettendo al team di BeeCyber di fare la differenza in maniera determinante sul territorio proprio in questa delicata fase di ripartenza.

«Lo spazio digitale diventa sempre più importante, decisivo per le imprese ma anche più complesso – ci racconta Massimo Germi, Cyber Security Manager at BeeCyber (Infor) -. Una complessità in termini tecnologici, strategici, manageriali. Noi ci stiamo proponendo come partner in grado di farsi carico di questa complessità perché conosciamo come pochi le imprese, il territorio e le richieste che queste realtà fanno proprio al digitale. Essere sicuri, avere sotto controllo i dati, non subire un data breach oggi vuol dire essere più competitivi e vincenti in un mercato semrpe più aggressivo. Per questo – continua il manager– abbiamo investito da tempo su competenze dedicate e sulla capacità di costruire soluzioni personalizzate, una sicurezza su misura».

«Proprio la piaga dei data breach con le conseguenze in termini normativi e anche di investimenti per il recupero e il ripristino dei dati – racconta Massimiliano Belletti, Senior Cybersecurity Sales Engineer at BeeCyber (Infor) – è un tema che sta aiutando le imprese a capire che la security non è una questione meramente tecnologica, ma chiama in causa il business e il futuro stesso di una azienda. Ecco perchè, proprio in tema di gestione e protezione dei dati serve un approccio che parta dall’analisi della “postura” generale di una azienda, bisogna capire, studiare abitudini, processi, modalità di lavoro e condivisione delle informazioni. Solo così nasce la migliore soluzione e soprattutto il miglior servizio di sicurezza per una azienda. Che non è necessariamente il migliore in senso assoluto a livello tecnologico ma è sicuramente il migliore per quella specifica realtà di business. Questo è il nostro modo di sfidare l’allarme data breach e di aiutare le imprese ad evitare guai come quelli che stanno certificando tanti casi di cronaca recente».

 

Come avvengono i data breach

Le tipologie di violazione dei dati sono piuttosto varie ma possono quasi sempre essere attribuite ad una vulnerabilità o ad una lacuna nella “postura” di sicurezza che i criminali informatici utilizzano per accedere ai sistemi o ai protocolli dell’organizzazione. Quando ciò accade, il rischio finanziario della perdita di dati può essere devastante. Secondo l’ “Internet Crime Report” del Federal Bureau of Investigation del 2021, le organizzazioni hanno perso 6,9 miliardi di dollari nel 2021 a causa della criminalità informatica in tutto il mondo. Gran parte di questa perdita è dovuta a violazioni dei dati.
Osservando l’attuale panorama informatico, le potenziali cause di una violazione dei dati possono includere quanto segue:

  • Fuga o esposizione accidentale di dati: errori di configurazione o errori di valutazione nella gestione dei dati possono creare opportunità per i criminali informatici.
  • Dati in movimento: i dati non crittografati possono essere intercettati mentre ci si sposta all’interno di una rete locale aziendale, in una rete geografica o in transito su uno o più cloud.
  • Malware, ransomware o Structured Query Language (SQL): l’accesso a sistemi o applicazioni apre la porta a malware e attività correlate al malware, come SQL injection.
  • Phishing: sebbene il phishing utilizzi spesso malware per rubare dati, può anche utilizzare altri metodi per raccogliere informazioni che possono essere utilizzate per accedere ai dati.
  • Denial of Service (DDoS) distribuito: gli attori delle minacce possono utilizzare un attacco DDoS come un modo per distrarre gli amministratori della sicurezza per accedere ai dati utilizzando metodi alternativi. Inoltre, le modifiche da parte dell’azienda per mitigare un attacco possono portare a configurazioni errate che creano nuove opportunità di furto di dati.
  • Registrazione delle sequenze di tasti: questa forma di software dannoso registra ogni sequenza di tasti immessa in un dispositivo informatico e la utilizza per rubare nomi utente e password da cui è possibile accedere ai dati.
  • Password indovinate: quando sono consentiti tentativi illimitati di password o accettate password semplici, è possibile utilizzare strumenti di cracking delle password per accedere a sistemi e dati. Per aiutare gli utenti a gestire password complesse, gli strumenti di gestione delle password sono un modo per mantenere le password organizzate e protette centralmente.
  • Violazione della sicurezza fisica: l’accesso a una posizione fisica o a una rete in cui sono archiviati dati sensibili può causare gravi perdite o danni all’azienda.
  • Card skimmer e intrusione nei punti vendita: una minaccia incentrata sull’utente legge le informazioni sulla carta di credito o di debito che possono essere utilizzate in seguito per infiltrarsi o aggirare le misure di sicurezza.
  • Hardware perso o rubato: un hardware lasciato incustodito o non sicuro offre un modo semplice e poco tecnologico per rubare i dati.
  • Ingegneria sociale: i criminali informatici manipolano gli esseri umani per ottenere l’accesso non autorizzato ai sistemi o ai processi di cui sono in possesso. Queste minacce tendono a concentrarsi sugli strumenti di comunicazione e collaborazione e, più recentemente, sul furto di identità sui social media
  • Mancanza di controlli di accesso: i controlli di accesso mancanti o obsoleti sono un ovvio punto di ingresso che può portare a una violazione di un sistema con l’ulteriore minaccia di movimento laterale. Un esempio di mancanza di controlli di accesso è la mancata implementazione dell’autenticazione a più fattori (MFA) su tutti i sistemi e le applicazioni.
  • Backdoor: qualsiasi metodo non documentato per ottenere l’accesso, intenzionale o non intenzionale, è un ovvio rischio per la sicurezza che spesso porta alla perdita di dati.
  • Minaccia interna: numerosi incidenti di sicurezza informatica provengono da utenti interni che hanno già accesso o conoscenza di reti e sistemi. Questo è il motivo per cui il monitoraggio delle azioni degli utenti è così fondamentale.

 

Come prevenire la violazione dei dati e i data breach

I manager di BeeCyber spiegano che non esiste uno strumento di sicurezza o di controllo in grado di prevenire completamente le violazioni dei dati. I mezzi più ragionevoli per prevenire le violazioni dei dati coinvolgono pratiche di sicurezza di buon senso e nozioni di base sulla sicurezza, come le seguenti:

  • Istruire i dipendenti sulle best practice di sicurezza dell’organizzazione.
  • Condurre valutazioni di vulnerabilità continue.
  • Implementare un piano di backup e ripristino dei dati.
  • Aggiornare la propria BYOD (bring your own device), e le politiche di sicurezza dei dati.
    Condurre penetration test.
  • Implementare una protezione antimalware.
  • Usare password complesse e passphrase.
  • Implementare l’autenticazione a più fattori e garantire modifiche periodiche della password.
  • Applicare costantemente le patch software e gli aggiornamenti necessari su tutti i sistemi.

Sebbene questi passaggi aiutino a prevenire le intrusioni in un ambiente, gli esperti di sicurezza delle informazioni incoraggiano anche la crittografia dei dati sensibili, sia in locale che nel cloud. In caso di intrusione nell’ambiente, la crittografia impedisce agli attori delle minacce di accedere ai dati effettivi.

 

Fonte: Sergente Lorusso