Home
topics
Violazione dei dati
Data di aggiornamento: 24 maggio 2024
Autore: Matthew Kosinski
Una violazione dei dati è qualsiasi incidente di sicurezza in cui parti non autorizzate accedono a informazioni sensibili o riservate, inclusi dati personali (numeri di previdenza sociale, numeri di conto bancario, dati sanitari) e dati aziendali (record dei clienti, proprietà intellettuali, informazioni finanziarie).
I termini "violazione dei dati" e "violazione" sono spesso utilizzati in modo intercambiabile con "attacco informatico". Tuttavia, non tutti gli attacchi informatici sono violazioni dei dati. La violazione dei dati comprende solo quelle violazioni della sicurezza in cui qualcuno ottiene l'accesso non autorizzato ai dati.
Ad esempio, un attacco DDoS (Distributed Denial-of-Service) che colpisce un sito web non è una violazione dei dati. Un attacco ransomware che blocca i dati dei clienti di un'azienda e minaccia di divulgarli a meno che l'azienda non paghi un riscatto è una violazione dei dati. Anche il furto fisico di dischi rigidi, unità flash USB o persino file cartacei contenenti informazioni sensibili è una violazione dei dati.
Ottieni insight dettagliati per gestire meglio il rischio di una violazione dei dati con l'ultimo report di Cost of a Data Breach.
Secondo il report Cost of a Data Breach di IBM, il costo medio globale di una violazione dei dati si attesta a 4,88 milioni di dollari. Sebbene queste violazioni possano colpire organizzazioni di ogni tipo e dimensione, la gravità e i costi per porvi rimedio possono variare.
Ad esempio, il costo medio di una violazione dei dati negli Stati Uniti è di 9,36 milioni di dollari, circa 4 volte il costo di una violazione in India (2,35 milioni di dollari).
Le conseguenze delle violazioni tendono a essere particolarmente gravi per le organizzazioni in settori altamente regolamentati come quello sanitario, finanziario e pubblico, dove multe e sanzioni elevate possono far lievitare i costi. Ad esempio, secondo il report di IBM, la violazione media dei dati sanitari costa 9,77 milioni di dollari, il doppio del costo medio di tutte le violazioni.
I costi delle violazioni dei dati derivano da diversi fattori. Il report di IBM ne evidenzia quattro principali: opportunità di business mancate, rilevamento e contenimento, risposta e notifica a seguito della violazione.
La perdita di opportunità commerciali, ricavi e clienti derivante da una violazione costa alle organizzazioni in media 1,47 milioni di dollari. Il prezzo per rilevare e contenere la violazione è ancora più alto, pari a 1,63 milioni di dollari. Le spese a seguito della violazione, tra cui sanzioni, accordi, spese legali, monitoraggio gratuito del credito per i clienti interessati e altre spese simili, costano alla vittima media della violazione 1,35 milioni di dollari.
I costi delle notifiche, che includono la segnalazione delle violazioni a clienti, alle autorità di regolamentazione e ad altre terze parti, sono i più bassi: 430.000 dollari. Tuttavia, gli obblighi di rendicontazione possono essere comunque onerosi e richiedere molto tempo.
Il Cyber Incident Reporting for Critical Infrastructure Act del 2022 (CIRCIA) degli Stati Uniti impone alle organizzazioni operanti nel settore della sicurezza nazionale, della finanza e di altri settori designati di segnalare incidenti di sicurezza informatica che interessano dati personali o operazioni di business al Dipartimento della sicurezza nazionale entro 72 ore.
Le organizzazioni statunitensi soggette all'Health Insurance Portability and Accountability Act (HIPAA) sono tenute a informare il Dipartimento dei servizi sanitari e sociali, le persone interessate e (in alcuni casi) i media in caso di violazione di informazioni sanitarie protette.
Ognuno dei 50 stati americani dispone anche di leggi proprie che regolano la notifica della violazione dei dati.
Il Regolamento generale sulla protezione dei dati (GDPR) impone alle aziende che intrattengono rapporti commerciali con i cittadini dell’UE di notificare alle autorità le violazioni entro 72 ore.
Le violazioni dei dati sono causate da:
Errori in buona fede, ad esempio un dipendente che invia tramite e-mail informazioni riservate alla persona sbagliata.
Insider malevoli, tra cui dipendenti arrabbiati o licenziati che vogliono danneggiare l'azienda e dipendenti avidi che vogliono trarre profitto dai dati dell'azienda.
Hacker, ovvero persone malintenzionate esterne che commettono crimini informatici intenzionali per rubare dati. Gli hacker possono agire come operatori solitari o come parte di un gruppo organizzato.
Il profitto economico è la motivazione principale dietro la maggior parte delle violazioni di dati dannose. Gli hacker rubano numeri di carte di credito, conti bancari o altre informazioni finanziarie per sottrarre direttamente fondi a persone e aziende.
Alcuni aggressori rubano informazioni di identificazione personale (PII),come numeri di previdenza sociale e numeri di telefono, per il furto di identità, la stipula di prestiti e l'apertura di carte di credito a nome delle loro vittime. I criminali informatici possono anche vendere le informazioni di identificazione personale e le informazioni sui conti rubate sul dark web, dove possono ottenere fino a 500 USD per le credenziali di accesso alle banche.1
Una violazione dei dati può anche essere la prima fase di un attacco più ampio. Ad esempio, gli hacker potrebbero rubare le password degli account di posta elettronica dei dirigenti aziendali e utilizzarle per commettere truffe di compromissione della posta elettronica aziendale.
Una violazione dei dati potrebbe avere un obiettivo diverso dall'arricchimento personale. Organizzazioni senza scrupoli potrebbero rubare segreti commerciali ai concorrenti, mentre gli attori che operano a livello di stato/nazione potrebbero violare i sistemi governativi per rubare informazioni su delicati rapporti politici, operazioni militari o infrastrutture nazionali.
Le violazioni intenzionali dei dati causate da attori delle minacce interni o esterni seguono lo stesso schema di base:
- Ricerca: l'attore della minaccia identifica un obiettivo e cerca i punti deboli che può utilizzare per penetrare nel sistema del bersaglio. Questi punti deboli possono essere di natura tecnica, come controlli di sicurezza inadeguati, o umana, come dipendenti vittime di attacchi di ingegneria sociale.
- Attacco: l'attore della minaccia avvia un attacco al bersaglio utilizzando il metodo prescelto. L'autore dell'attacco potrebbe inviare un'e-mail di spear phishing, sfruttare direttamente le vulnerabilità del sistema, utilizzare credenziali di accesso rubate per prendere il controllo di un account o sfruttare altri vettori comuni di attacco di violazione dei dati.
- Compromissione dei dati: all'interno del sistema, l'autore dell'attacco individua i dati desiderati e attua il suo piano. Tattiche comuni includono l'esfiltrazione di dati per la vendita o l'utilizzo, la distruzione dei dati o il blocco dei dati per chiedere un riscatto.
Gli attori malintenzionati possono utilizzare diversi vettori o metodi di attacco per effettuare violazioni dei dati. Alcuni dei più comuni includono:
Secondo il report Cost of a Data Breach del 2024, le credenziali sottratte o compromesse, che rappresentano il 16% delle violazioni dei dati, sono il secondo vettore di attacco iniziale più diffuso.
Gli hacker possono compromettere le credenziali utilizzando attacchi brute force per decifrare le password, acquistando credenziali rubate sul dark web o inducendo i dipendenti a rivelare le proprie password attraverso attacchi di ingegneria sociale.
L’ingegneria sociale è l’atto di manipolare psicologicamente le persone inducendole a compromettere involontariamente la propria sicurezza informatica.
Il phishing, il tipo più comune di attacco di ingegneria sociale, è anche il più comune vettore di attacco di violazione dei dati e rappresenta il 16% delle violazioni. Le truffe di phishing utilizzano e-mail, messaggi di testo, contenuti di social media o siti web fraudolenti per indurre gli utenti a condividere credenziali o scaricare malware.
Il ransomware, un tipo di malware che tiene in ostaggio i dati fino a quando la vittima non paga un riscatto, costa in media 4,91 milioni di dollari secondo il report Cost of a Data Breach. Queste violazioni tendono a essere costose, in quanto questa cifra non include il pagamento dei riscatti, che possono arrivare a decine di milioni di dollari.
I criminali informatici possono ottenere l'accesso a una rete bersaglio sfruttando i punti deboli di siti web, sistemi operativi, endpoint, API e software comuni come Microsoft Office o altri asset IT.
Gli attori delle minacce non hanno bisogno di colpire direttamente i loro obiettivi. Negli attacchi alla supply chain, gli hacker sfruttano le vulnerabilità nelle reti dei fornitori di servizi e dei fornitori di un'azienda per rubarne i dati.
Quando gli hacker individuano una vulnerabilità, spesso la utilizzano per immettere malware nella rete. Lo spyware, che registra le sequenze dei tasti premuti dalla vittima e altri dati sensibili e li rimanda a un server controllato dagli hacker, è un tipo comune di malware utilizzato nelle violazioni dei dati.
Un altro metodo per violare direttamente i sistemi bersaglio è l'SQL injection, che sfrutta le debolezze dei database SQL (Structured Query Language) di siti web non protetti.
Gli hacker inseriscono codice dannoso nei campi rivolti all'utente, come le barre di ricerca e le finestre di accesso. Questo codice fa sì che il database divulghi dati privati come numeri di carte di credito o dettagli personali dei clienti.
Gli attori di minacce possono sfruttare gli errori dei dipendenti per accedere a informazioni riservate.
Ad esempio, sistemi configurati in modo errato o obsoleti possono consentire a parti non autorizzate di accedere a dati che non dovrebbero poter raggiungere. I dipendenti possono esporre i dati conservandoli in luoghi non protetti, spostando erroneamente i dispositivi con informazioni sensibili salvate sui dischi rigidi o concedendo erroneamente agli utenti della rete eccessivi privilegi di accesso. I criminali informatici possono sfruttare i guasti IT, come le interruzioni temporanee dei sistemi, per introdursi nei database sensibili.
Secondo il report Cost of a Data Breach, le configurazioni non corrette del cloud rappresentano il 12% delle violazioni. Le vulnerabilità note e prive di patch rappresentano il 6% delle violazioni. La perdita accidentale di dati, compresi i dispositivi smarriti o rubati, rappresenta un altro 6%. Complessivamente, questi errori sono alla base di quasi un quarto di tutte le violazioni.
Gli attori delle minacce possono introdursi negli uffici aziendali per rubare i dispositivi dei dipendenti, i documenti cartacei e i dischi rigidi fisici contenenti dati sensibili. Gli autori degli attacchi possono anche posizionare dispositivi di skimming sui lettori fisici di carte di credito e di debito per raccogliere informazioni sulle carte di pagamento.
La violazione del 2007 di TJX Corporation, la società madre dei rivenditori TJ Maxx e Marshalls, è stata all'epoca la più grande e costosa violazione dei dati dei consumatori nella storia degli Stati Uniti. Sono stati compromessi ben 94 milioni di record di clienti e l'azienda ha subito perdite finanziarie per oltre 256 milioni di dollari.
Gli hacker hanno avuto accesso ai dati installando degli sniffer di traffico sulle reti wireless di due negozi. Gli sniffer hanno permesso agli hacker di acquisire informazioni mentre venivano trasmesse dai registratori di cassa del negozio ai sistemi di back-end.
Nel 2013, Yahoo ha subito quella che potrebbe essere considerata la più grande violazione di dati della storia. Gli hacker hanno sfruttato una debolezza nel sistema di cookie dell'azienda per accedere a nomi, date di nascita, indirizzi e-mail e password di tutti i 3 miliardi di utenti Yahoo.
L'intera portata della violazione è venuta alla luce nel 2016, mentre Verizon era in trattativa per l'acquisto della società. Di conseguenza, Verizon ha ridotto l'offerta di acquisizione di 350 milioni di dollari.
Nel 2017, gli hacker hanno violato l'agenzia di credit reporting Equifax e hanno avuto accesso ai dati personali di oltre 143 milioni di americani.
Gli hacker hanno sfruttato una debolezza non protetta nel sito web di Equifax per accedere alla rete. Gli hacker si sono poi spostati lateralmente su altri server per trovare numeri di previdenza sociale, numeri di patente e numeri di carte di credito. L'attacco è costato a Equifax 1,4 miliardi di dollari tra risarcimenti, multe e altri costi associati alla risoluzione della violazione.
Nel 2020, degli attori di minacce russi hanno eseguito un attacco a una supply chain hackerando il fornitore di software SolarWinds. Gli hacker hanno utilizzato la piattaforma di monitoraggio della rete dell'organizzazione, Orion, per distribuire malware ai clienti di SolarWinds.
Le spie russe hanno avuto accesso alle informazioni riservate di varie agenzie governative statunitensi, tra cui i dipartimenti del Tesoro, della Giustizia e di Stato, che utilizzano i servizi di SolarWinds.
Nel 2021, gli hacker hanno infettato i sistemi di Colonial Pipeline con un ransomware, costringendo l'azienda a chiudere temporaneamente l'oleodotto, che riforniva il 45% del carburante della costa orientale degli Stati Uniti.
Gli hacker hanno violato la rete utilizzando la password di un dipendente che hanno trovato sul dark web. La Colonial Pipeline Company ha pagato un riscatto di 4,4 milioni di dollari in criptovalute, ma le forze dell'ordine federali hanno potuto recuperare circa 2,3 milioni di dollari di tale pagamento.
Nell'autunno del 2023, gli hacker hanno rubato i dati di 6,9 milioni di utenti 23andMe. La violazione è stata notevole per un paio di motivi. In primo luogo, dal momento che 23andMe effettua test genetici, gli aggressori hanno ottenuto informazioni non convenzionali e altamente personali, tra cui alberi genealogici e dati sul DNA.
In secondo luogo, gli hacker hanno violato gli account degli utenti attraverso una tecnica chiamata "credential stuffing". In questo tipo di attacco, gli hacker utilizzano credenziali precedentemente trapelate provenienti da altre fonti per penetrare negli account non correlati degli utenti su piattaforme diverse. Questi attacchi funzionano perché molte persone riutilizzano le stesse combinazioni di nome utente e password su diversi siti.
Secondo il report <a Cost of a Data Breach, in media ci vogliono 272 giorni per individuare e contenere una violazione attiva in tutti i settori. L'implementazione delle giuste soluzioni di sicurezza può aiutare le organizzazioni a rilevare e rispondere più rapidamente a queste violazioni.
Le misure standard, come valutazioni periodiche delle vulnerabilità, backup programmati, patch tempestive e configurazioni corrette del database, possono aiutare a prevenire alcune violazioni e ad attenuare il colpo quando queste si verificano.
Tuttavia, molte organizzazioni oggi implementano controlli e best practice più avanzati per bloccare un maggior numero di violazioni e mitigare in modo significativo i danni che causano.
Le organizzazioni possono implementare soluzioni specializzate per la sicurezza dei dati per rilevare e classificare automaticamente i dati sensibili, applicare la crittografia e altre protezioni e ottenere insight in tempo reale sull'utilizzo dei dati.
Le organizzazioni possono mitigare i danni derivanti dalle violazioni adottando piani formali di risposta agli incidenti per rilevare, contenere ed eliminare le minacce informatiche. Secondo il report Cost of a Data Breach, l'area di investimento nella sicurezza più popolare quest'anno è stata la pianificazione e il test IR, per il 55% di tutti gli intervistati.
Le organizzazioni che integrano ampiamente l' AI e l'automazione nelle operazioni di sicurezza risolvono le violazioni quasi 100 giorni più rapidamente rispetto a quelle che non lo fanno, secondo il report Cost of a Data Breach. Il report ha inoltre rilevato che l’automazione e l'AI della sicurezza riducono il costo di una violazione media di 1,88 milioni di dollari, o un risparmio di oltre il 30%.
Molti strumenti per la sicurezza dei dati, la prevenzione della perdita di dati e la gestione delle identità e degli accessi ora incorporano l'AI e l'automazione.
Poiché gli attacchi di ingegneria sociale e phishing sono le principali cause di violazioni, la formazione dei dipendenti per riconoscere ed evitare questi attacchi può ridurre il rischio di violazione dei dati per un'azienda. Inoltre, la formazione dei dipendenti sulla corretta gestione dei dati può aiutare a prevenire violazioni accidentali e perdite di dati.
Password manager, autenticazione a due fattori (2FA) o autenticazione a più fattori (MFA), single sign-on (SSO) e altri strumenti di gestione delle identità e degli accessi (IAM) possono proteggere credenziali e account di dipendenti dal furto.
Le organizzazioni possono anche applicare controlli degli accessi basati sui ruoli e il principio del privilegio minimo per limitare l'accesso dei dipendenti solo ai dati di cui hanno bisogno per i loro ruoli. Queste politiche possono aiutare a bloccare le minacce interne e gli hacker che violano gli account legittimi.
Come proteggere i dati nei cloud ibridi e semplificare i requisiti di conformità.
Rafforza la protezione dei dati, la fiducia dei clienti e la crescita della tua azienda.
Migliora il programma di risposta agli incidenti della tua organizzazione, minimizza l'impatto delle violazioni e ottieni una risposta rapida agli incidenti di cybersecurity.
Scopri come migliorare la sicurezza dei dati e il livello di conformità centralizzando la sicurezza, affrontando le vulnerabilità e altro ancora.
Scopri come sta cambiando il panorama della sicurezza odierno e come affrontare le sfide e sfruttare la resilienza dell'AI generativa.
Scopri come funziona il ransomware, perché è proliferato negli ultimi anni e come le organizzazioni si difendono da esso.
Note a piè di pagina
1 How Much Do Hackers Make From Stealing Your Data? (link esterno a ibm.com), Nasdaq. 16 ottobre 2023