24 maggio 2024
Una violazione dei dati è costituita da qualsiasi incidente di sicurezza in cui parti non autorizzate accedono a informazioni sensibili o riservate, inclusi dati personali (numeri di previdenza sociale, numeri di conto bancario, dati sanitari) e dati aziendali (record dei clienti, proprietà intellettuali, informazioni finanziarie).
I termini "violazione dei dati" e "violazione" sono spesso usati in modo intercambiabile con "attacco informatico". Tuttavia, non tutti gli attacchi informatici sono delle violazioni dei dati. Le violazioni dei dati includono solo le violazioni di sicurezza in cui qualcuno accede illegalmente ai dati.
Ad esempio, un attacco DDoS (Distributed Denial-of-Service) che colpisce un sito web non è una violazione dei dati. Un attacco ransomware che blocca i dati dei clienti di un'azienda e minaccia di divulgarli a meno che l'azienda non paghi un riscatto è una violazione dei dati. Anche il furto fisico di dischi rigidi, unità flash USB o persino file cartacei contenenti informazioni sensibili è una violazione dei dati.
Rafforza la tua intelligence sulla sicurezza
Rimani al passo con le minacce con notizie e insight su sicurezza, AI e altro ancora, ogni settimana con la newsletter Think.
Secondo il report Cost of a Data Breach di IBM, il costo medio globale di una violazione dei dati si attesta a 4,88 milioni di dollari. Sebbene queste violazioni possano colpire organizzazioni di ogni tipo e dimensione, la gravità e i costi per porvi rimedio possono variare.
Ad esempio, il costo medio di una violazione dei dati negli Stati Uniti è di 9,36 milioni di dollari, circa 4 volte il costo di una violazione in India (2,35 milioni di dollari).
Le conseguenze delle violazioni tendono a essere particolarmente gravi per le organizzazioni in settori altamente regolamentati come quello sanitario, finanziario e pubblico, dove multe e sanzioni elevate possono far lievitare i costi. Ad esempio, secondo il report di IBM, la violazione media dei dati sanitari costa 9,77 milioni di dollari, il doppio del costo medio di tutte le violazioni.
I costi delle violazioni dei dati derivano da diversi fattori. Il report di IBM ne evidenzia i quattro più importanti: perdita di opportunità commerciali, rilevamento e contenimento, risposta post-violazione e notifica.
La perdita di opportunità commerciali, ricavi e clienti derivante da una violazione costa alle organizzazioni in media 1,47 milioni di dollari. Il prezzo per rilevare e contenere la violazione è ancora più alto, pari a 1,63 milioni di dollari. Le spese a seguito della violazione, tra cui sanzioni, accordi, spese legali, monitoraggio gratuito del credito per i clienti colpiti e altre spese simili, costano alla vittima media 1,35 milioni di dollari.
I costi delle notifiche, che includono la segnalazione delle violazioni a clienti, alle autorità normative e ad altre terze parti, sono i più bassi: 430.000 dollari. Tuttavia, gli obblighi di rendicontazione possono essere comunque onerosi e richiedere molto tempo.
Il Cyber Incident Reporting for Critical Infrastructure Act del 2022 (CIRCIA) degli Stati Uniti impone alle organizzazioni operanti nel settore della sicurezza nazionale, della finanza e di altri settori designati di segnalare entro 72 ore al Department of Homeland Security gli incidenti di cybersecurity che interessano dati personali o operazioni di business.
Le organizzazioni statunitensi soggette all'Health Insurance Portability and Accountability Act (HIPAA) devono informare il US Department of Health and Human Services, le persone interessate e talvolta i media in caso di violazione delle informazioni sanitarie protette.
Ogni stato degli Stati Uniti ha le proprie leggi in materia di notifica delle violazioni dei dati.
Il Regolamento generale sulla protezione dei dati (GDPR) impone alle aziende che intrattengono rapporti commerciali con i cittadini dell’UE di notificare alle autorità le violazioni entro 72 ore.
Le violazioni dei dati sono causate da:
Errori innocenti, ad esempio un dipendente che invia tramite e-mail informazioni riservate alla persona sbagliata.
Insider malevoli, tra cui dipendenti arrabbiati o licenziati che vogliono danneggiare l'azienda e dipendenti avidi che vogliono trarre profitto dai dati dell'azienda.
Hacker, ovvero persone malintenzionate esterne che commettono crimini informatici intenzionali per rubare dati. Gli hacker possono agire da soli o all'interno di un gruppo organizzato.
Il profitto economico è la motivazione principale dietro la maggior parte delle violazioni di dati dannose. Gli hacker rubano numeri di carte di credito, conti bancari o altre informazioni finanziarie per sottrarre direttamente fondi a persone e aziende.
Alcuni aggressori rubano informazioni di identificazione personale (PII),come numeri di previdenza sociale e numeri di telefono, per il furto di identità, la stipula di prestiti e l'apertura di carte di credito a nome delle loro vittime. I criminali informatici possono anche vendere le informazioni di identificazione personale e le informazioni sui conti rubate sul dark web, dove possono ottenere fino a 500 USD per le credenziali di accesso alle banche.1
Una violazione dei dati può anche rappresentare la prima fase di un attacco più ampio. Ad esempio, gli hacker potrebbero rubare le credenziali di accesso alla posta elettronica dei dirigenti aziendali e utilizzarle per commettere truffe di compromissione delle e-mail aziendali.
Una violazione dei dati potrebbe avere un obiettivo diverso dall'arricchimento personale. Organizzazioni senza scrupoli potrebbero rubare segreti commerciali ai concorrenti, mentre gli attori che operano a livello di stato/nazione potrebbero violare i sistemi governativi per rubare informazioni su delicati rapporti politici, operazioni militari o infrastrutture nazionali.
Le violazioni intenzionali dei dati causate da criminali informatici interni o esterni seguono lo stesso schema di base:
- Ricerca: il criminale informatico identifica un obiettivo e cerca i punti deboli che può utilizzare per introdursi nel sistema della vittima. Questi punti deboli possono essere di natura tecnica, come controlli di sicurezza inadeguati, o umana, come dipendenti esposti all'ingegneria sociale.
- Attacco: il criminale informatico avvia un attacco utilizzando il metodo prescelto. L'autore dell'attacco potrebbe inviare un'e-mail di spear phishing, approfittare direttamente delle vulnerabilità del sistema, utilizzare credenziali di accesso rubate per assumere il controllo di un account o utilizzare altri vettori comuni di attacco nelle violazioni dei dati.
- Compromissione dei dati: all'interno del sistema, l'aggressore individua i dati desiderati e fa ciò che è venuto a fare. Le tattiche più comuni includono la sottrazione dei dati per la vendita o l'utilizzo, la distruzione dei dati o il blocco dei dati per chiedere un riscatto.
Vettori comuni di attacco di violazione dei dati
Gli attori malintenzionati possono utilizzare diversi vettori o metodi di attacco per effettuare violazioni dei dati. Alcuni dei servizi più comuni comprendono:
Secondo il report Cost of a Data Breach del 2024, le credenziali sottratte o compromesse, che rappresentano il 16% delle violazioni dei dati, sono il secondo vettore di attacco iniziale più diffuso.
Gli hacker possono compromettere le credenziali utilizzando attacchi brute force per decifrare le password, acquistando credenziali rubate sul dark web o inducendo i dipendenti a rivelare le proprie password attraverso attacchi di ingegneria sociale.
L’ingegneria sociale è l’atto di manipolare psicologicamente le persone inducendole a compromettere involontariamente la propria sicurezza informatica.
Il phishing, il tipo più comune di attacco di ingegneria sociale, è anche il più comune vettore di attacco di violazione dei dati e rappresenta il 16% delle violazioni. Le truffe di phishing utilizzano e-mail, messaggi di testo, contenuti di social media o siti web fraudolenti per indurre gli utenti a condividere credenziali o scaricare malware.
Il ransomware, un tipo di malware che tiene in ostaggio i dati fino a quando la vittima non paga un riscatto, costa in media 4,91 milioni di dollari secondo il report Cost of a Data Breach. Queste violazioni tendono a essere costose, in quanto questa cifra non include il pagamento dei riscatti, che possono arrivare a decine di milioni di dollari.
I criminali informatici possono ottenere l'accesso a una rete approfittando delle vulnerabilità di siti web, sistemi operativi, endpoint, API e software comuni come Microsoft Office o altri asset IT.
I criminali informatici non hanno bisogno di colpire direttamente i loro obiettivi. Nelle supply chain, gli hacker sfruttano le vulnerabilità nelle reti dei fornitori di servizi e dei fornitori di un'azienda per rubarne i dati.
Quando gli hacker individuano una vulnerabilità, spesso la utilizzano per immettere malware nella rete. Lo spyware, che registra le sequenze dei tasti premuti dalla vittima e altri dati sensibili e li rimanda a un server controllato dagli hacker, è un tipo comune di malware utilizzato nelle violazioni dei dati.
Un altro metodo per violare direttamente i sistemi bersaglio è l'SQL injection, che sfrutta le debolezze dei database SQL (Structured Query Language) di siti web non protetti.
Gli hacker inseriscono codice dannoso nei campi rivolti all'utente, come le barre di ricerca e le finestre di accesso. Questo codice fa sì che il database divulghi dati privati come numeri di carte di credito o dettagli personali dei clienti.
I criminali informatici possono approfittare degli errori dei dipendenti per accedere a informazioni riservate.
Ad esempio, sistemi configurati in modo errato o obsoleti possono consentire a parti non autorizzate di accedere a dati che non dovrebbero poter raggiungere. I dipendenti possono esporre i dati conservandoli in luoghi non protetti, spostando erroneamente i dispositivi con informazioni sensibili salvate sui dischi rigidi o concedendo erroneamente agli utenti della rete eccessivi privilegi di accesso. I criminali informatici possono sfruttare i guasti IT, come le interruzioni temporanee dei sistemi, per introdursi nei database sensibili.
Secondo il report Cost of a Data Breach, le configurazioni non corrette del cloud rappresentano il 12% delle violazioni. Le vulnerabilità note e prive di patch rappresentano il 6% delle violazioni. La perdita accidentale di dati, compresi i dispositivi smarriti o rubati, rappresenta un altro 6%. Complessivamente, questi errori sono alla base di quasi un quarto di tutte le violazioni.
Gli attori delle minacce possono introdursi negli uffici aziendali per rubare i dispositivi dei dipendenti, i documenti cartacei e i dischi rigidi fisici contenenti dati sensibili. Gli autori degli attacchi possono anche posizionare dispositivi di skimming sui lettori fisici di carte di credito e di debito per raccogliere informazioni sulle carte di pagamento.
TJX
La violazione avvenuta nel 2007 ai danni di TJX Corporation, la casa madre dei rivenditori TJ Maxx e Marshalls, è stata all'epoca la più grande e costosa violazione dei dati dei consumatori nella storia degli Stati Uniti. Sono stati compromessi ben 94 milioni di record di clienti e l'azienda ha subito perdite finanziarie per oltre 256 milioni di dollari.
Gli hacker hanno avuto accesso ai dati installando degli sniffer di traffico sulle reti wireless di due negozi. Gli sniffer hanno permesso agli hacker di acquisire informazioni mentre venivano trasmesse dai registratori di cassa del negozio ai sistemi di back-end.
Yahoo
Nel 2013, Yahoo ha subito quella che potrebbe essere considerata la più grande violazione di dati della storia. Gli hacker hanno approfittato di una debolezza nel sistema di cookie dell'azienda per accedere a nomi, date di nascita, indirizzi e-mail e password di tutti i 3 miliardi di utenti Yahoo.
L'intera portata della violazione è venuta alla luce nel 2016, mentre Verizon era in trattativa per l'acquisto della società. Di conseguenza, Verizon ha ridotto l'offerta di acquisizione di 350 milioni di dollari.
Equifax
Nel 2017, gli hacker hanno violato l'agenzia di controllo del credito Equifax e hanno potuto accedere ai dati personali di oltre 143 milioni di americani.
Gli hacker hanno sfruttato una debolezza non protetta nel sito web di Equifax per accedere alla rete. Gli hacker si sono poi spostati lateralmente su altri server per trovare numeri di previdenza sociale, numeri di patente e numeri di carte di credito. L'attacco è costato a Equifax 1,4 miliardi di dollari tra risarcimenti, multe e altri costi associati alla risoluzione della violazione.
SolarWinds
Nel 2020, degli attori di minacce russi hanno eseguito un attacco a una supply chain hackerando il fornitore di software SolarWinds. Gli hacker hanno utilizzato la piattaforma di monitoraggio della rete dell'organizzazione, Orion, per distribuire malware ai clienti di SolarWinds.
Le spie russe hanno avuto accesso alle informazioni riservate di varie agenzie governative statunitensi, tra cui i dipartimenti del Tesoro, della Giustizia e di Stato, che utilizzano i servizi di SolarWinds.
Colonial Pipeline
Nel 2021, gli hacker hanno infettato i sistemi di Colonial Pipeline con un ransomware, costringendo l'azienda a chiudere temporaneamente l'oleodotto che riforniva il 45% del carburante della costa orientale degli Stati Uniti.
Gli hacker hanno violato la rete utilizzando la password di un dipendente, trovata sul dark web. Colonial Pipeline Company ha pagato un riscatto di 4,4 milioni di dollari in criptovaluta, tuttavia le forze dell'ordine federali sono riuscite a recuperare circa 2,3 milioni di dollari.
23andMe
Nell'autunno del 2023, gli hacker hanno rubato i dati di 6,9 milioni di utenti 23andMe. La violazione è stata grave per un alcuni di motivi. In primo luogo, poiché 23andMe effettua test genetici, gli aggressori hanno ottenuto informazioni non convenzionali e altamente personali, tra cui alberi genealogici e dati sul DNA.
In secondo luogo, gli hacker hanno violato gli account degli utenti attraverso una tecnica chiamata "credential stuffing". In questo tipo di attacco, gli hacker utilizzano credenziali precedentemente trapelate provenienti da altre fonti per entrare negli account non correlati degli utenti su piattaforme diverse. Questi attacchi funzionano perché molte persone riutilizzano le stesse combinazioni di nome utente e password su diversi siti.
Secondo il report Cost of a Data Breach, in media ci vogliono 272 giorni per individuare e contenere una violazione attiva in tutti i settori. L'implementazione delle giuste soluzioni di sicurezza può aiutare le organizzazioni a rilevare e rispondere più rapidamente a queste violazioni.
Le misure standard, come valutazioni periodiche delle vulnerabilità, backup programmati, patch tempestive e configurazioni corrette del database, possono aiutare a prevenire alcune violazioni e ad attenuare il colpo quando queste si verificano.
Tuttavia, molte organizzazioni oggi implementano controlli e best practice più avanzati per bloccare un maggior numero di violazioni e mitigare in modo significativo i danni che causano.
Strumenti per la sicurezza dei dati
Le organizzazioni possono implementare soluzioni specializzate per la sicurezza dei dati per rilevare e classificare automaticamente i dati sensibili, applicare la crittografia e altre protezioni e ottenere insight in tempo reale sull'utilizzo dei dati.
Piani di risposta agli incidenti
Le organizzazioni possono mitigare i danni derivanti dalle violazioni adottando piani formali di risposta agli incidenti per rilevare, contenere ed eliminare le minacce informatiche. Secondo il report Cost of a Data Breach, l'area di investimento nella sicurezza più popolare quest'anno è stata la pianificazione e il test IR, per il 55% di tutti gli intervistati.
AI e automazione
Le organizzazioni che integrano ampiamente l'intelligenza artificiale (AI) e l'automazione nelle operazioni di sicurezza risolvono le violazioni quasi 100 giorni più rapidamente rispetto a quelle che non lo fanno, secondo il report Cost of a Data Breach. Il report ha inoltre rilevato che l’automazione e l'AI per la sicurezza riducono il costo di una violazione media di 1,88 milioni di dollari, pari a un risparmio di oltre il 30%.
Molti strumenti per la sicurezza dei dati, la prevenzione della perdita di dati e la gestione delle identità e degli accessi ora incorporano l'AI e l'automazione.
Formazione dei dipendenti
Poiché gli attacchi di ingegneria sociale e phishing sono le principali cause delle violazioni, la formazione dei dipendenti per riconoscere ed evitare questi attacchi può ridurre il rischio di violazione dei dati di un'azienda. Inoltre, la formazione dei dipendenti in merito alla corretta gestione dei dati può aiutare a prevenire violazioni accidentali e perdite di dati.
Gestione identità e accessi (IAM)
Password manager, autenticazione a due fattori (2FA) o autenticazione a più fattori (MFA), single sign-on (SSO) e altri strumenti di gestione delle identità e degli accessi (IAM) possono proteggere credenziali e account di dipendenti dal furto.
Le organizzazioni possono anche applicare controlli degli accessi basati sui ruoli e il principio del privilegio minimo per limitare l'accesso dei dipendenti solo ai dati di cui hanno bisogno per i loro ruoli. Queste politiche possono aiutare a bloccare le minacce interne e gli hacker che violano gli account legittimi.
Risorse
Note a piè di pagina
1 How Much Do Hackers Make From Stealing Your Data?, Nasdaq. 16 ottobre 2023