Quando i dati vengono persi in una violazione, i costi e le conseguenze per le aziende e le persone i cui dati vengono rubati possono essere significativi e di lunga durata.
Che cos’è una violazione dei dati?
Una violazione dei dati è un incidente di sicurezza in cui un malintenzionato supera le misure di sicurezza per accedere illecitamente ai dati.
I dati delle persone – nomi, date di nascita, informazioni finanziarie, numeri di previdenza sociale, numeri di patente di guida e altro ancora – risiedono in innumerevoli copie su un numero imprecisato di server presso aziende private, agenzie pubbliche e nel cloud. Se qualcuno che non è autorizzato ad accedere alle informazioni di identificazione personale (PII) riesce ad accedere, può avere gravi conseguenze sia per l’individuo che per l’organizzazione che ha archiviato i dati e avrebbe dovuto tenerli al sicuro.
Le PII sono preziose per diversi tipi di hacker malintenzionati. D’altra parte, le aziende e le organizzazioni governative che archiviano i dati spesso non riescono a proteggerli adeguatamente e in alcune giurisdizioni la legislazione mira a reprimere pratiche di sicurezza permissive che possono portare a violazioni dei dati.
Un’ultima nota sulla terminologia: a volte le persone fanno una distinzione tra una violazione dei dati e una fuga di dati, in cui si inseriscono accidentalmente dati sensibili su un sito Web o in un’altra posizione senza adeguati (o alcuno) controlli di sicurezza in modo che possano essere liberamente accessibili da malintenzionati. Ma il confine tra una violazione e una perdita è sottile e il risultato finale è spesso lo stesso.
Come si verificano le violazioni dei dati?
Una violazione dei dati si verifica quando qualcuno ottiene l’accesso a un database a cui non dovrebbe accedere. Questa è una descrizione ampia e potrebbe includere qualcosa di semplice come un impiegato di una biblioteca che dà una sbirciatina a dei libri quando non ha motivo di lavoro legittimo per farlo, per esempio.
La maggior parte delle persone non lo troverebbe così problematico, ma è vero che alcune violazioni dei dati sono all’interno del lavoro, ovvero i dipendenti che hanno accesso alle PII come parte del loro lavoro potrebbero prelevare quei dati per guadagni finanziari o altri scopi illeciti. In altri casi le violazioni dei dati si verificano con lo stesso schema da parte di estranei, in cui gli hacker malintenzionati violano le difese e riescono ad accedere ai dati delle loro vittime.
4 tipi di violazione dei dati
Furto di insider: gli insider possono essere compromessi dagli aggressori, possono avere il proprio problema personale con i datori di lavoro o possono semplicemente cercare di fare soldi velocemente.
Accesso non autorizzato: un criminale informatico esperto che naviga tra firewall e altri sistemi di difesa o sfrutta zero-day per accedere a database pieni di numeri di carte di credito o dati medici che può sfruttare. Gli aggressori utilizzano phishing, spyware e altre tecniche per entrare nei sistemi. Questo tipo di attacco prevede il furto fisico dell’hardware in cui sono archiviati dati sensibili, da un ufficio o da persone che portano a casa i laptop e li proteggono in modo improprio.
Dati in movimento: quandole informazioni personali vengono trasmesse su reti aperte senza un’adeguata crittografia diventano particolarmente vulnerabili, quindi è necessario prestare molta attenzione nelle situazioni in cui grandi quantità di dati allettanti vengono spostati in questo modo.
Esposizione accidentale: questo è lo scenario di fuga di dati di cui abbiamo discusso sopra. È comune che i database sensibili finiscano in luoghi in cui non dovrebbero, ad esempio copiati per fungere da dati di sviluppo e caricati su qualche sito accessibile al pubblico. Gli aggressori dispongono di strumenti automatizzati che scansionano Internet alla ricerca di firme rivelatrici di PII. Poi ci sono quelle organizzazioni che caricano dati cruciali su un servizio cloud ma configurano male i permessi di accesso. Un caso analogo quando le aziende smaltiscono in modo insicuro vecchi laptop e dischi rigidi, consentendo l’accesso ai rovistatori di cassonetti.
Per quelle organizzazioni che cercano di prevenire i danni, vale la pena considerare cosa hanno in comune questi scenari. La maggior parte delle aziende probabilmente crede che la propria sicurezza e le proprie procedure siano sufficientemente buone da evitare che le proprie reti vengano violate o che i propri dati vengano esposti accidentalmente. Alcuni hanno ragione su questo; molti hanno torto. Se ti sbagli, e l’aumento delle violazioni della rete rende sempre più probabile che lo farai, l’approccio zero trust può mitigare la possibilità di un disastro. Anche se un utente malintenzionato ottiene l’accesso alla tua rete, le PII dovrebbero essere circondate da ulteriori difese per mantenerle al sicuro. L’accesso ai database che memorizzano le PII dovrebbe essere il più limitato possibile, e l’attività di rete dovrebbe essere continuamente monitorata per individuare l’esfiltrazione. Le password memorizzate devono essere trattate con particolare attenzione, crittografate (cosa che anche le aziende spesso non riescono a fare).
Quali sono gli esempi di violazione dei dati?
Il CSO ha compilato un elenco delle più grandi violazioni del secolo finora, con dettagli sulla causa e l’impatto di ciascuna violazione. Questi includono anche centinaia di milioni di account violati su Yahoo, Adobe, LinkedIn e MyFitnessPal. Quel che è peggio, alcune aziende compaiono nell’elenco più di una volta.
Ecco una breve sequenza temporale di tali violazioni significative:
2012
LinkedIn – 165 milioni di utenti
2013
Yahoo – 3 miliardi di account
Adobe – 153 milioni di record utente
Court Ventures (Experian) – 200 milioni di record personali
MySpace – 360 milioni di account utente
2014
Yahoo – 500 milioni di account
2015
NetEase – 235 milioni di account utente
Adult Friend Finder – 412,2 milioni di account
2018
My Fitness Pal – 150 milioni di account utente
Dubsmash – 162 milioni di account utente
Marriott International (Starwood) – 500 milioni di clienti
2019
Facebook – 533 milioni di utenti
Alibaba – 1,1 miliardi di dati utente
2020
Sina Weibo – 538 milioni di conti
2021
LinkedIn – 700 milioni di utenti
Violazioni di dati recenti: 2022
Sebbene il 2022 non abbia visto violazioni di così alto profilo come quelle sopra elencate, ciò non significa che gli hacker siano rimasti fermi:
- Shields Healthcare Group ha rivelato che i loro dati potrebbero essere stati compromessi, colpendo fino a 2 milioni di persone
- gli hacker hanno rubato 1,5 milioni di record, inclusi i numeri di previdenza sociale, per i clienti della Flagstar Bank con sede nel Michigan
- Trapelati i nomi di centinaia di partecipanti al cosiddetto Freedom Convoy di Ottawa dopo aver violato GiveSendGo, una piattaforma cristiana di crowdfunding utilizzata dagli organizzatori
Statistiche sulla violazione dei dati
Il fornitore di software di sicurezza Varonis ha compilato un elenco completo; eccone alcuni degni di nota:
- Il 58% delle violazioni dei dati riguarda PII
- Il 64% degli americani non sa cosa fare dopo una violazione dei dati
- Nel 2020, un’azienda violata ha impiegato in media 207 giorni per rendersi conto di essere stata violata
Impatto di una violazione dei dati sulle persone
In un certo senso, l’idea che le tue PII vengano rubate può sembrare piuttosto astratta, ma c’è molto che i criminali possono fare con i tuoi dati personali se li raccolgono in una violazione (o, più probabilmente, li acquistano da qualcuno che li ha raccolti; il mondo criminale è sempre più specializzato).
PII fornisce gli elementi costitutivi fondamentali del furto di identità. Un criminale intelligente può sfruttare l’OPSEC e le tecniche di ingegneria sociale per sfruttare una serie di informazioni su di te in carte di credito o altri account falsi a tuo nome. Se la tua password era nei dati rubati e se sei il tipo di persona che usa la stessa password su più account, gli hacker potrebbero essere in grado di evitare la frode e semplicemente svuotare direttamente il tuo conto bancario.
Detto questo, la correlazione tra violazioni dei dati e identità rubate non è sempre facile da dimostrare. Sebbene le PII rubate abbiano un valore di rivendita sufficientemente alto che sicuramente qualcuno sta cercando di ricavarne dei soldi, alcune delle violazioni dei dati di più alto profilo (come le grandi violazioni di Equifax, OPM e Marriott ) sembrano essere state motivate non dall’avidità criminale, ma piuttosto dallo spionaggio dello stato/nazione da parte del governo cinese, quindi l’impatto sugli individui sono molto più oscuri.
Cosa fare dopo una violazione dei dati
Le organizzazioni dovrebbero disporre di piani dettagliati sucome affrontare le violazioni dei dati, includendo passaggi come la creazione di una task force, l’emissione di eventuali notifiche richieste dalla legge e l’individuazione e la risoluzione della causa principale.
Il primo pensiero di una vittima di una violazione dovrebbe essere sulle password. Se l’account violato contiene una password che utilizzi anche in altri account, dovresti cambiarle il prima possibile, soprattutto se sono per istituti finanziari o simili. Molti gestori di password oltre ad aiutarti a scegliere password complesse diverse tra i siti Web, includono anche funzionalità di data intelligence che ti informano automaticamente se uno dei tuoi account è associato a una violazione dei dati pubblicizzata.
Inoltre dovresti prestare particolare attenzione al tuo stato finanziario, congelare il tuo credito in modo che nessuno possa aprire una nuova carta a tuo nome è una buona idea.
Conseguenze di una violazione dei dati
Un’azienda che consente la violazione dei dati subirà conseguenze negative. Tale violazione può danneggiare la reputazione di un’azienda e affondare i rapporti con i clienti, soprattutto se i dettagli della violazione rivelano negligenze gravi.
Ci sono anche costi finanziari diretti associati alle violazioni, nel 2020 il costo medio di una violazione dei dati è stato vicino ai 4 milioni di dollari. Gran parte di questi costi sono il risultato di normative sulla privacy a cui le aziende devono attenersi: non solo multe, ma anche regole su come le violazioni vengono rese pubbliche alle vittime che comportano lavoro amministrativo da parte dell’azienda. L’obiettivo generale è incoraggiare le aziende a bloccare i dati degli utenti in modo che non vengano violati.
Violazioni dei dati e GDPR
Esistono numerose normative che determinano come le aziende devono rispondere alle violazioni. L’ HIPAA negli Stati Uniti è importante, sebbene la sua portata sia limitata ai dati relativi alla salute. Ma il gorilla nel mondo della privacy dei consumatori è il GDPR dell’UE, a cui molte grandi aziende finiscono per conformarsi su tutta la linea perché rappresenta la regolamentazione dei dati più restrittiva delle giurisdizioni con cui hanno a che fare.
Il GDPR richiede che gli utenti i cui dati sono stati violati debbano essere informati entro 72 ore dalla scoperta della violazione e le aziende che non lo fanno potrebbero essere soggette a sanzioni fino al 4% dei ricavi annuali dell’azienda. I dettagli, tuttavia, sono estremamente complessi e dipendono dal fatto che tu possa dimostrare di aver compiuto uno sforzo in buona fede per implementare controlli di sicurezza adeguati.
