Qual è il costo reale di una violazione dei dati?
Il costo di una violazione dei dati non è facile da definire, ma poiché sempre più organizzazioni sono vittime di attacchi le potenziali ripercussioni finanziarie stanno diventando più chiare ed esplicite. Per le aziende moderne di tutte le forme e dimensioni, l’impatto monetario della violazione dei dati è sostanziale. Il recente report Cost of a Data Breach di IBM ha scoperto che, nel 2022, il costo medio di una violazione dei dati ha raggiunto a livello globale il massimo storico di 4,35 milioni di dollari. Questa cifra rappresenta un aumento del 2,6% rispetto all’anno precedente e un aumento del 12,7% rispetto al 2020.
Fattori come il tipo e la gravità dell’incidente, gli standard normativi, le dimensioni dell’azienda, il settore e la regione possono influenzare in modo significativo quanto una violazione dei dati potrebbe costare a un’azienda, ma tutte le organizzazioni devono valutare attentamente e prepararsi per le conseguenze finanziarie (e non solo) che potrebbero essere dietro l’angolo se dovessero cadere vittime di attacchi. Alcuni di essi (è sempre bene ricordarlo) sono potenzialmente molto più dannosi (e meno evidenti) di altri.
I fattori che influiscono sui costi di violazione dei dati
Il report IBM del 2022 ha citato diversi componenti che contribuiscono a incidere sui costi di violazione dei dati. Ad esempio, la violazione media dei dati nel settore sanitario è aumentata di quasi 1 milione di dollari nel 2022 per raggiungere i 10,10 milioni di dollari, mentre le organizzazioni finanziarie hanno registrato il secondo costo più alto, con una media di 5,97 milioni di dollari. Il costo medio di una violazione dei dati per le organizzazioni con infrastrutture critiche è stato generalmente di 4,82 milioni di dollari, 1 milione di dollari in più rispetto al costo medio per le organizzazioni di altri settori. I primi cinque paesi e regioni per il costo medio più alto di una violazione dei dati sono stati gli Stati Uniti con $ 9,44 milioni, il Medio Oriente con $ 7,46 milioni, il Canada con $ 5,64 milioni, il Regno Unito con $ 5,05 milioni e la Germania con $ 4,85 milioni.
In termini di tecnologia di sicurezza e preparazione, le violazioni nelle organizzazioni con IA e automazione della sicurezza completamente implementate costano 3,05 milioni di dollari in meno rispetto alle violazioni nelle organizzazioni senza IA e automazione della sicurezza implementate. Questa differenza del 65,2% ha rappresentato il maggiore risparmio sui costi nello studio. Le organizzazioni che non adottano un approccio zero-trust alla sicurezza in genere pagano in media 1 milione di dollari in più in costi di violazione rispetto a quelle che lo adottano, mentre le aziende con un team di risposta agli incidenti che testa il proprio piano di risposta hanno visto una media di 2,66 milioni di dollari in meno sui costi di violazione rispetto alle organizzazioni senza un team IR e che non testano i piani.
Quando il lavoro a distanza era un fattore importante nel causare una violazione, i costi erano in media di quasi 1 milione di dollari in più rispetto alle violazioni in cui il lavoro a distanza non era così importante. Nel frattempo, il costo medio di un attacco di phishing nel 2022 è stato calcolato in 4,91 milioni di dollari rispetto ai 4,54 milioni per ransomware e ai 4,50 milioni per credenziali rubate o compromesse.
Il danno alla reputazione
Una reputazione danneggiata rimane uno dei costi di violazione dei dati più significativi per le organizzazioni nel 2022. “La fiducia dei clienti è molto facile da spezzare e molto difficile da ricostruire”, ha dichiarato Allie Mellen, analista senior di Forrester. Bob Dutile, chief commercial officer di UST, è d’accordo. “La prima e più importante preoccupazione è l’impatto reputazionale e il costo di una violazione dei dati si realizza in genere in un cambiamento competitivo nel mercato. Le aziende scoprono che i costi di conversione dei clienti sono più elevati e la quota di mercato è persa. Per una società pubblica, la valutazione a breve termine dell’impatto sui costi si riflette nel movimento del prezzo delle azioni”.
Escludendo le violazioni più grandi e gli attacchi ransomware più piccoli, Dutile afferma che da 8 a 10 milioni di dollari negli Stati Uniti è un buon numero di pianificazione per un’azienda di medie dimensioni che deve affrontare una violazione modesta di meno di 250.000 record e circa un terzo di questo costo si avvertirà attraverso la perdita di affari a causa di una reputazione danneggiata.
“Un costo particolare che continua ad avere un forte impatto sulle organizzazioni delle vittime è il furto/la perdita di proprietà intellettuale” afferma Glenn J. Nick, direttore associato di Guidehouse. “I media tendono a concentrarsi sui dati dei clienti durante una violazione, ma la perdita della proprietà intellettuale può devastare la crescita di un’azienda. Brevetti rubati, progetti ingegneristici, segreti commerciali, diritti d’autore, piani di investimento e altre informazioni proprietarie e riservate possono portare alla perdita di vantaggio competitivo, alla perdita di entrate e a danni economici durevoli e potenzialmente irreparabili per l’azienda”.
È importante notare che il modo in cui un’azienda risponde e comunica una violazione può avere un grande impatto sulla sua reputazione, insieme alle ricadute finanziarie che ne conseguono, afferma Mellen. “Capire come mantenere la fiducia dei vostri consumatori e clienti è davvero fondamentale. Ci sono modi per farlo, in particolare per quanto riguarda la creazione di trasparenza e l’uso dell’empatia, che possono fare un’enorme differenza nel modo in cui i vostri clienti vi percepiscono dopo una violazione. Se provate a nascondere una violazione dei dati, ciò influenzerà negativamente la loro fiducia in voi molto più della violazione stessa”.
Lunghi tempi di inattività possono costare carissimo alle organizzazioni
“I tempi di inattività possono essere significativamente costosi per un’organizzazione violata, a seconda del livello e dell’entità dei tempi e di quanto l’azienda dipende dalla tecnologia” ha affermato Jason Hicks, CISO di Coalfire’s Field. “Spesso una violazione non porta un’azienda completamente offline, ma può succedere. Più i sistemi critici vengono colpiti, maggiore è il costo”.
Il settore produttivo tende ad avere le migliori metriche al riguardo, poiché è relativamente semplice misurare il costo al minuto se una catena di montaggio è inattiva. “Questo può tradursi in una perdita di milioni di dollari al giorno per una grande azienda manifatturiera, mentre per altri altri verticali del settore le stime dei danni sono più sfumate, sebbene ci siano modelli di calcolo appositi che possono essere applicati a ciascun verticale”.
La regolamentazione e il contenzioso si aggiungono ai costi della violazione dei dati
Leggi sempre più severe sulla protezione dei dati e sulla privacy vedono un numero crescente di aziende pagare enormi spese legali a seguito di violazioni e non conformità dei dati. Qualche esempio di quest’anno? La società cinese Didi Global è stata multata di 8,026 miliardi di yuan (1,19 miliardi di dollari) dalla Cyberspace Administration of China per aver violato le leggi nazionali sulla sicurezza della rete, la sicurezza dei dati e la protezione delle informazioni personali. Amazon è stata sanzionata a sua volta con 877 milioni di dollari per violazione delle regole sui cookie del GDPR, mentre T-Mobile ha accettato di pagare 350 milioni di dollari a seguito di una violazione dei dati di inizio 2021.
Il rapporto IBM del 2022 ha rilevato che, nei settori altamente regolamentati, una media del 24% dei costi di violazione dei dati è maturata più di due anni dopo che si è verificata la violazione. Che si tratti di essere penalizzati ai sensi delle normative sulla protezione dei dati, di affrontare class action collettive o di sborsare ingenti somme di denaro per la rappresentanza legale, la realtà è che tutte le aziende dovrebbero pianificare potenziali spese normative e legali relative alle violazioni dei dati.
“Le industrie regolamentate subiscono non solo il costo immediato relativo alla risposta, al contenimento e alla risoluzione delle vulnerabilità, ma anche gli effetti a lungo termine di sanzioni aggiuntive da parte dei loro organismi di regolamentazione”, afferma Nick. I settori altamente regolamentati, come l’assistenza sanitaria e i servizi finanziari, in genere si pongono al primo e al secondo posto in ordine di costi per le violazioni, poiché pagano più multe per non conformità rispetto ad altri.
“Le indagini spesso impiegano anni prima che l’organizzazione della vittima raggiunga un accordo monetario con le parti interessate”. Le spese legali sono una delle maggiori spese che le organizzazioni devono affrontare in caso di violazione dei dati. “Le organizzazioni raramente hanno competenze interne sugli aspetti legali e sulla privacy. Per garantire la conformità, devono così assumere uno o più consulenti esterni”.
L’impatto dell’aumento dei prezzi delle assicurazioni informatiche
Una tendenza più recente è un forte aumento dei costi dei premi assicurativi informatici a causa della frequenza e della gravità delle violazioni, insieme a ingenti pagamenti per i ransomware. Secondo una nuova ricerca di Huntsmen Security, si prevede che il numero di organizzazioni che non possono permettersi un’adeguata copertura assicurativa informatica raddoppierà nel 2023. Ciò è il risultato dell’aumento dei prezzi dei premi da parte degli assicuratori. “Alcune organizzazioni hanno segnalato aumenti post-violazione dei premi di circa il 200%”, afferma Nick.
Oltre a rendere i premi più costosi, gli assicuratori stanno anche implementando maggiori limitazioni di copertura, il che significa che anche con una polizza in atto, le aziende potrebbero trovarsi finanziariamente responsabili per determinati costi legati alla violazione. Ciò significa che, oltre ai premi più costosi, le aziende devono anche pianificare finanziamenti per coprire eventuali limitazioni o esenzioni scritte nelle polizze.
Organizzazioni sempre più aperte al pagamento di ingenti riscatti
Parlando di ransomware, le aziende sono sempre più aperte a pagare riscatti come parte della loro risposta alle violazioni, anche mettendo da parte milioni di dollari per questo scopo. “Una delle domande che ricevo spesso dalle aziende è: dovremmo creare un portafoglio Bitcoin per prepararci a dover pagare un riscatto?”, afferma Mellen. “Questo perché un attacco ransomware può essere un evento a dir poco catastrofico per un’azienda se i backup non sono in un luogo sicuro o non sono aggiornati; per questo alcune organizzazioni si preparano alla possibilità di dover pagare il riscatto.”
Nuovi dati di Proofpoint hanno scoperto che l’82% delle aziende britanniche colpite dal ransomware ha scelto di pagare il riscatto, mentre il National Cyber Security Center (NCSC) del Regno Unito e l’autorità di regolamentazione della protezione dei dati, l’Information Commissioner’s Office (ICO), hanno recentemente esortato gli avvocati a mettere in guardia i loro clienti dal pagare riscatti per crimini informatici a seguito di un notevole aumento dei pagamenti di ransomware.
Una richiesta di riscatto può arrivare anche a sei cifre o milioni di dollari, a seconda di quanto è grande l’azienda, ma i riscatti e i pagamenti sono in costante aumento. Il Ransomware Threat Report di Palo Alto Network ha rilevato che la richiesta media di riscatto nel 2021 è stata di circa 2,2 milioni di dollari, un aumento del 144% rispetto alla domanda media di 900.000 dollari nel 2020, mentre il pagamento medio nei casi presi in esame direttamente da Palo Alto Network è stato pari a 541.010 dollari, ovvero il 78% in più rispetto all’anno precedente.
Un personale di sicurezza insufficiente porta a costi più elevati per la violazione dei dati
Secondo il rapporto di IBM, il 62% delle 550 organizzazioni vittime delle violazioni esaminate ha dichiarato di non disporre di personale sufficiente per soddisfare le proprie esigenze di sicurezza. Se un team di sicurezza insufficiente equivale a maggiori costi di violazione dei dati, le organizzazioni dovrebbero prestare attenzione all’avvertimento di Mellen sull’impatto che una violazione dei dati mal gestita può avere sui dipendenti. “Se questi non ritengono che l’organizzazione sia in grado di proteggere loro o i clienti in caso di violazione, o che incolpi i propri dipendenti per una violazione, è probabile che i dipendenti stessi inizieranno a cercare lavoro altrove per allontanarsi da un ambiente ostile nei loro confronti”.
Mellen cita l’esempio di “incolpare lo stagista” per un incidente di violazione dei dati; un modo infallibile per far sentire le persone insicure nei loro ruoli e farle sentire come capro espiatorio. Ciò non solo può lasciare un’azienda a corto di risorse, ma significa anche che dovranno spendere ulteriori soldi per i costi legati al reclutamento e all’inserimento di nuovo personale. “È molto importante che le organizzazioni si assumano la responsabilità e proteggano sia i propri dipendenti, sia i clienti”, aggiunge Mellen.
La chiave per la gestione dei costi di violazione dei dati
Indipendentemente dai costi specifici coinvolti, gli esperti concordano sul fatto che la preparazione è fondamentale per gestire le ripercussioni monetarie di una violazione dei dati. “Una risposta più rapida agli incidenti continua a essere un chiaro driver per ridurre il costo di una violazione”, afferma Dutile. “Le perdite peggiori sono quelle che non vengono rilevate per un periodo di tempo prolungato o hanno una risposta lenta o inefficace”.
La moderna sicurezza informatica richiede una mentalità post-violazione che capisce l’ineluttabilità di una violazione dei dati. “Operando in queste condizioni, dovete capire come gestire una violazione e come costruire la vostra resilienza per rispondere meglio e più velocemente. Non si tratta però solo della funzione di sicurezza, ma bisogna considerare anche cosa farà il marketing, cosa faranno le vendite e come potete dimostrare il vostro valore nei confronti dei clienti”.