L’impatto finanziario delle violazioni di dati in Italia e nel mondo

disinvoltura digitale
Secondo un nuovo studio di IBM Security ogni violazione di sicurezza costa in media all’azienda impattata 3,86 milioni di dollari a livello globale e 2.90 milioni di euro in Italia.
Francesco Destri

Collaboratore Francesco segue il mondo della tecnologia dal 1999, scrivendo per numerose testate online e cartacee. È specializzato soprattutto in tecnologia B2B, hardware e nuovi m... Leggi tutto

IBM Security ha annunciato i risultati del suo studio annuale che esamina l’impatto finanziario delle violazioni di dati sulle organizzazioni. Secondo il report, ogni violazione costa in media all’azienda impattata 3,86 milioni di dollari a livello globale e 2.90 milioni di euro in Italia. L’analisi approfondita delle violazioni di dati subite da oltre 500 organizzazioni in tutto il mondo, di cui 21 italiane, rivela che la violazione dei dati dei dipendenti è quella più gravosa e che l’80% di questi attacchi ha portato all’esposizione di informazioni di identificazione personale (Personal Identifiable Information, PII) dei clienti, causando costi ingenti per le aziende.

Se da un lato le tecnologie forti e mature hanno reso le organizzazioni sempre più resilienti, l’accesso ai dati sensibili attraverso il lavoro a distanza e le operazioni commerciali basate sul cloud, uniti alla mancanza di una adeguata formazione, hanno reso le organizzazioni più vulnerabili. Un altro studio recente di IBM ha rivelato che oltre la metà dei dipendenti che non lavorano da casa abitualmente, ma lo hanno fatto a causa della pandemia, non ha ricevuto linee guida aggiornate, volte a gestire in totale sicurezza le informazioni di identificazione personali dei clienti (PII). A fronte dei rischi di immagine e dei costi che le organizzazioni devono affrontare quando tali violazioni vengono perpetrate, gli investimenti in innovazione e capitale umano rappresentano i fattori più rilevanti per mitigare tali impatti e per garantire i migliori risultati anche in termini di sicurezza informatica.

Principali risultati dello Studio 2020

  • Il furto delle credenziali è fonte di spesa: le organizzazioni che hanno subito attacchi alle proprie reti aziendali attraverso l’uso di credenziali rubate o compromesse hanno speso quasi 1 milione di dollari in più rispetto alla media globale, raggiungendo i 4,77 milioni di dollari per violazione. Lo sfruttamento delle vulnerabilità di terze parti risulta la seconda voce di costo (4,5 milioni di dollari).
    • Le tecnologie smart abbattono del 50% i costi legati al furto di dati: le imprese che hanno implementato le più avanzate tecnologie di sicurezza, basate su intelligenza artificiale, capacità di analisi e orchestrazione automatizzata per identificare e rispondere agli attacchi, hanno sostenuto meno della metà dei costi di violazione di dati rispetto a quelle non dotate di tecnologie evolute (2,45 milioni di dollari contro 6,03 milioni di dollari, in media).
    Attacchi Nation-State – Le violazioni peggiori: nel periodo analizzato, le violazioni nation-state hanno causato la voce di costo più importante, determinando una spesa media di 4,43 milioni di dollari nel caso di furto di dati e superando i costi generati dagli attacchi perpetrati da criminali informatici per finalità economiche.

Credenziali dei dipendenti e configurazione errata dei server cloud

Il furto e la compromissione delle credenziali, oltre alle configurazioni errate dei server cloud, rappresentano le vulnerabilità più comuni, che causano quasi il 40% dei cyberattacchi. Lo studio rivela che nel 2019 oltre 8,5 miliardi di record sono risultati vulnerabili e gli hacker, in 1 caso su 5, hanno sfruttato e-mail e password non adeguatamente protetti per sferrare i propri attacchi. Oggi le organizzazioni sono impegnate nella messa a punto di nuove strategie di sicurezza e nell’adozione un approccio a Zero Trust, che impone di rivedere i criteri di autenticazione e di accesso degli utenti. Il report 2020 ha evidenziato che gli hacker hanno sfruttato proprio gli errori di configurazione dei server cloud per violare le reti quasi nel 20% dei casi, generando un aumento dei costi di oltre mezzo milione di dollari e portando a 4,41 milioni di dollari la spesa complessiva media, che si attesta quale terza voce di costo.

Le aziende Smart dispongono di tecnologie di sicurezza avanzate

Il report evidenzia il crescente divario tra i costi delle violazioni di dati sostenuti dalle aziende che investono nelle tecnologie di frontiera in ambito sicurezza e quelli delle aziende in ritardo su questo fronte: le prime vantano un risparmio di 3,58 milioni di dollari. Il divario di costo è cresciuto di 2 milioni di dollari, rispetto alla differenza di 1,55 milioni di dollari registrata nel 2018.

La piena adozione di tecnologie in grado di automatizzare i processi di sicurezza incide sulla velocità e l’efficienza di risposta di un’azienda a una violazione, contribuendo a diminuire i costi. Il report ha rilevato che intelligenza artificiale, machine learning, analytics e altri tool per automatizzare la sicurezza permettono alle aziende di rispondere più velocemente rispetto alle aziende che non hanno ancora adottato tali misure e che, pertanto, impiegano 74 giorni in più per identificare e contenere un attacco.

La preparazione nella risposta agli incidenti (Incident Response, IR) continua a impattare in modo significativo sulle conseguenze economiche di una violazione. Le aziende che non dispongono di un team di sicurezza dedicato e che non testano i propri piani sostengono una spesa media di 5,29 milioni di dollari, mentre le aziende che hanno adottato entrambe le misure, ed effettuano esercitazioni e simulazioni per testare i propri piani IR, spendono 2 milioni di dollari in meno in caso di violazione. Preparazione e prontezza consentono di conseguire un ROI significativo nell’area della cybersecurity.

Regional_Card_Italy

Attacchi collegati ad attività governative

Nonostante rappresentino solo il 13% delle azioni malevole, gli attacchi collegati ad attività governative sono quelli più dannosi, secondo il report, dimostrando che a quelli di natura finanziaria (53%), seppur di maggior numero, non consegue la maggiore perdita economica. Tattiche altamente sofisticate, durata e tipologia delle azioni perpetrate con l’obiettivo di sottrarre dati di alto valore, spesso inducono le vittime degli attacchi a scendere a compromessi, con un conseguente aumento dei costi di recovery, che si attesta mediamente a 4,43 milioni di dollari.

Altre evidenze del Report 2020

Il lavoro a distanza determinerà un aggravio di costi – La diffusione di modelli di lavoro ibridi rende gli ambienti meno controllati. Lo studio ha rilevato che il 70% delle aziende che hanno adottato il telelavoro durante la pandemia si aspetta un aggravio dei costi causati dalla violazione di dati.
I CISO sono stati ritenuti responsabili delle violazioni: il 46% degli intervistati ha dichiarato di ritenere il CISO/CSO responsabile delle violazioni effettuate, nonostante solo il 27% abbia affermato che il CISO/CSO abbia potere decisionale in termini di policy e tecnologie. Secondo il report, la nomina di un CISO è stata associata alla possibilità di risparmiare 145.000 dollari rispetto al costo medio di una violazione.
La maggior parte delle aziende assicurate contro i rischi informatici chiede risarcimenti per le spese di terzi: lo studio ha rilevato che le violazioni di dati subite da organizzazioni che hanno sottoscritto polizze assicurative contro i cyber risk hanno speso quasi 200.000 dollari in meno rispetto alla media globale di 3,86 milioni di dollari. Di fatto, tra le organizzazioni che hanno stipulato un’assicurazione contro il cyber risk, il 51% l’ha utilizzata per coprire le spese di consulenza e i servizi legali di terzi, mentre il 36% delle organizzazioni l’ha utilizzata per risarcire le vittime di attacchi. Solo il 10% delle polizze hanno coperto i costi sostenuti a causa di ransomware o estorsioni.
Trend per area geografica e settore: mentre gli Stati Uniti si confermano il Paese con i più elevati costi di violazione dei dati, con una media di 8,64 milioni di dollari, il report ha inoltre rilevato che il settore healthcare ha registrato i costi medi più elevati, pari a 7,3 milioni di dollari, con un aumento di oltre il 10% rispetto all’edizione 2019 dello studio.

La situazione italiana

• In Italia il costo medio complessivo delle violazioni di dati è pari a 2,90 milioni di euro, in diminuzione del 4,9% rispetto al 2019; mentre, il costo medio relativo al furto o alla perdita di un singolo dato è pari a 125 euro, con una flessione del 3,8% rispetto al 2019.
• Il 52% delle violazioni di dati è causato da attacchi malevoli e il tempo medio per identificare una violazione di dati è passato da 213 a 203 giorni, contro la media globale di 207 giorni. Inoltre, il tempo medio per contenere una violazione è passato da 70 a 65 giorni, contro i 73 mediamente necessari a livello globale.
• In particolare, gli italiani impiegano mediamente:
– 229 giorni per identificare un attacco malevolo e 80 per contenerlo
– 180 giorni per identificare un errore umano a e 49 per contenerlo
– 168 giorni per identificare una falla nei sistemi e 49 per contenerla
• Tra i settori maggiormente colpiti al 1° posto troviamo quello finanziario, seguito da quello farmaceutico e dal terziario.
• Le principali cause sono dovute agli attacchi malevoli (52%), agli errori umani (29%) e alle falle dei sistemi (19%). La spesa media complessiva generata da ciascuna causa è pari a 3,20 milioni di euro (attacchi malevoli); 2,62 milioni di euro (falle di sistema); 2,53 milioni di euro (errori umani)
• Un numero crescente di organizzazioni ha adottato tecnologie avanzate per automatizzare la sicurezza: 56% nel 2020, contro il 49% del 2019.
• La velocità e l’efficienza di risposta di un’azienda a una violazione ha un grande impatto sui costi: in Italia identificare un attacco in meno di 100 giorni fa registrare un costo medio di 2,18 milioni di euro, mentre impiegando oltre 100 giorni, il costo medio si assesta intorno ai 3,62 milioni di euro. Contenere un attacco entro i 30 giorni, invece, richiede una spesa di 2,23 milioni di euro, contro i 3,57 milioni oltre i 30 giorni.

Ciò significa che poter contare su team dedicati, predisporre e testare piani di sicurezza, adottare le più innovative tecnologie in questo ambito consente alle aziende di essere più efficienti nel prevenire e contrastare gli attacchi, ridurre i costi e conseguire ROI in tempi minori nell’area della cybersecurity.

costo sicurezzaIBM Securityviolazioni
// Data pubblicazione: 03.08.2020
Condividi:
 

Gli attacchi hacker più strani di tutti i tempi

acquario hacker
Esistono diversi modi per rubare credenziali e commettere frodi informatiche. Non tutti sono sofisticati o intelligenti, ma alcuni sono senz’altro originali
Redazione DigitalWorld Italia

DigitalWorld è il magazine online per chi in azienda crea, gestisce, acquista o utilizza prodotti e servizi informatici e digitali. Con aggiornamenti quotidiani, è il punto di riferimento per notizie,... Leggi tutto

Gli hacker sono determinati, flessibili, intelligenti e spietati. Sfruttano qualsiasi tragedia, anche l’attuale pandemia Covid-19, e traggono vantaggio da qualsiasi vulnerabilità di reti aziendali e domestiche.

A volte gli attacchi possono essere incredibilmente complessi e sofisticati, ma la maggior parte degli hacker prende la strada della minor resistenza e attacca le reti attraverso phishing, password deboli, sistemi senza patch e social engineering. A volte possono essere semplicemente stravaganti. Ecco sei esempi.

I dati passano dall’acquario

acquario hackerNel 2017 la società di cibersicurezza Darktrace ha scoperto un furto di dati ai danni un casinò americano (il cui nome non è stato divulgato) attraverso un acquario collegato a Internet. La vasca dell’acquario era dotata di sensori IoT collegati a un PC che monitorava e regolava la temperatura dell’acqua, la pulizia della vasca e l’alimentazione dei pesci.

Gli hacker hanno usato l’acquario per entrare nella rete del casinò, dove hanno trovato alcune vulnerabilità e si sono spostati lateralmente in altri nodi della rete”, ha spiegato Justin Fier, responsabile della cyber intelligence di Darktrace.

La telefonata del (finto) capo

voice phishingSiamo preparati agli attacchi di phishing via email, ma cosa succede se ci chiama il capo al telefono e ci chiede di fare qualcosa? Possiamo sospettare di essere vittime di un attacco di phishing o di vishing (voice-phishing)?

Il primo caso segnalato di vishing basato sull’AI si è verificato nel 2019 in Inghilterra. I criminali hanno utilizzato un software di intelligenza artificiale disponibile in commercio per riprodurre la voce del capo di un’azienda tedesca, proprietaria di una società energetica con sede nel Regno Unito. I criminali hanno chiamato il CEO del Regno Unito dicendogli di fare un bonifico di 243.000 dollari a un fornitore in Ungheria. Il CEO ha riconosciuto il leggero accento tedesco e gli schemi vocali del suo capo e la chiamata non ha suscitato sospetti. Fino a quando non ha ricevuto una seconda chiamata, con un’altra richiesta di versamento di una somma importante. La seconda volta il CEO ha avuto dei dubbi e lo stratagemma è stato svelato.

Le autorità non sono state in grado di catturare i colpevoli o recuperare i soldi. Questo potrebbe essere solo l’inizio di una nuova era di deepfake basati sull’intelligenza artificiale.

Carburante gratis

stazione servizio

Gli hacker di solito trafficano in contanti o criptovalute. Nel 2019 le autorità francesi hanno catturato cinque uomini che hanno rubato quasi 25.000 litri di carburante dalle stazioni di servizio nei dintorni di Parigi hackerando le pompe di benzina con un telecomando che sbloccava un particolare tipo di pompe installate nelle stazioni di servizio Total.

L’attacco è stato possibile perché i gestori delle stazioni non hanno modificato la password predefinita della pompa di gas dallo standard “0000”. Gli hacker hanno utilizzato il codice PIN per modificare i prezzi del carburante e i limiti di rifornimento.

Operando in team, mentre un hacker sbloccava la pompa di benzina attraverso il telecomando, un complice riempiva il serbatoio di un furgone. Cosa ne hanno fatto del carburante? Lo hanno pubblicizzato sui social media e rivenduto a prezzi scontati. La polizia stima che la banda abbia guadagnato circa 150.000 euro prima di essere catturata.

Burle con la segnaletica stradale

hacker segnali stradaliLe credenziali di accesso deboli sono un costante problema di sicurezza e, con l’avvento di cartelloni e segnali stradali elettronici, hacker intraprendenti hanno trovato il modo di prenderne il controllo per digitare messaggi divertenti o volgari.

Nel 2016, in Texas, un uomo stava portando a spasso il suo cane quando si imbatté in un cartello stradale che avvisava gli automobilisti della presenza di un cantiere. L’uomo ha facilmente indovinato il nome utente/password della bacheca elettronica e ha cambiato la scritta con “Drive Crazy Yall”. Un passante ha assistito alla scena e ha chiamato la polizia, che non ha apprezzato l’umorismo. L’uomo è stato arrestato e accusato di malizia criminale.

Lo scorso settembre, nel Michigan, due giovani hanno fatto irruzione in un piccolo edificio. Sul tetto c’era un tabellone pubblicitario visibile dalla vicina autostrada. I giovani hanno violato il sistema e l’hanno usato per proiettare un video pornografico. Secondo la polizia la coppia, catturata grazie a telecamere di sorveglianza, è entrata e uscita in meno di 15 minuti, mostrando la fragilità del sistema di sicurezza. Il video ha intrattenuto i conducenti per circa 20 minuti prima che intervenisse la polizia.

Falso allarme tornado

allarme tornadoIl 12 marzo 2019 era una notte tranquilla nella periferia di Dallas. Almeno alle 2.30, quando 30 sirene da tornado hanno improvvisamente iniziato a suonare e continuato ad accendersi e spegnersi fino alle 4.

Non ci fu nessun tornado, ma l’allarme era credibile, perché quella zona del Texas è conosciuta come “tornado alley” e il periodo tra marzo e maggio è la prima stagione dei tornado. Per di più, una settimana prima erano stati eseguiti i test delle sirene di allarme tornado e il bollettino meteorologico prevedeva forti temporali e possibili tempeste.

Le autorità locali hanno facilmente individuato l’attacco, ma per ripristinare il sistema hanno dovuto portarlo offline e disattivare tutte le sirene (in quel lasso di tempo, i residenti potevano ricevere avvisi di allarme tornado via SMS).

Scherzi di cattivo gusto

smart-home hackerLe potenziali vulnerabilità associate ai sistemi di monitoraggio della sicurezza domestica sono state ben documentate. Attraverso tecniche come il riempimento delle credenziali o l’utilizzo di password deboli o predefinite, gli hacker possono spiare gli ignari residenti, con risvolti imprevedibili.

E’ quello che è successo a una famiglia dell’Ohio. Un hacker aveva preso il controllo del sistema di monitoraggio dei bambini e, apparentemente annoiato, ha iniziato a gridare “Wake up baby!”. Quando i genitori si sono precipitati nella stanza del bambino, sono rimasti sbalorditi: l’hacker aveva puntato la telecamera direttamente verso di loro e urlava oscenità.

Pare che gli scherzi di cattivo gusto basati sull’IoT abbiano riscosso un certo successo tra gli hacker, poiché casi simili sono stati segnalati in tutto il paese.

attacchi hackerPhishingvishing
// Data pubblicazione: 31.07.2020
Condividi: