Tutto sulle violazioni dei dati: tipi, esempi e impatto
Una violazione dei dati è un incidente di sicurezza in cui un attore malintenzionato viola le misure di sicurezza per accedere illecitamente a dati come nomi, date di nascita, informazioni finanziarie e altro ancora che risiedono in innumerevoli copie su un numero imprecisato di server presso aziende private, agenzie pubbliche e nel cloud. Se qualcuno che non è autorizzato ad accedere alle informazioni di identificazione personale (PII) riesce a metterci sopra le mani, ciò può avere gravi conseguenze sia per l’individuo i cui dati sono stati sottratti, sia per l’organizzazione che ha archiviato i dati e avrebbe dovuto tenerli al sicuro.
Le PII sono preziose per diversi tipi di attori malintenzionati, il che dà un incentivo agli hacker a violare la sicurezza e cercare le PII dove possono. D’altra parte, le aziende e le organizzazioni governative che archiviano i dati spesso non riescono a proteggerli adeguatamente e in alcune giurisdizioni la legislazione mira a reprimere pratiche di sicurezza permissive che possono portare a violazioni dei dati.
Un’ultima nota sulla terminologia prima di iniziare: a volte le persone fanno una distinzione tra una violazione dei dati e una fuga di dati, in cui un’organizzazione inserisce accidentalmente dati sensibili su un sito Web o in un’altra posizione senza adeguati controlli di sicurezza, rendendoli liberamente accessibili da chi sa che ci sono. Ma il confine tra una violazione e una fuga di dati non è necessariamente facile da tracciare e il risultato finale è spesso lo stesso.
Come si verificano le violazioni dei dati?
Una violazione dei dati si verifica quando qualcuno ottiene l’accesso a un database a cui non dovrebbe avere accesso. Questa è una descrizione ampia e potrebbe includere qualcosa di semplice come un impiegato di una biblioteca che dà una sbirciatina a quali libri ha controllato un amico anche se non ha un legittimo motivo lavorativo per farlo.
La maggior parte delle persone non la troverebbe una cosa così problematica, ma rimane il fatto che alcune violazioni dei dati si verificano all’interno dell’azienda, dove i dipendenti che hanno accesso alle PII come parte del loro lavoro potrebbero esfiltrare quei dati per guadagni finanziari o altri scopi illeciti . In altri casi, tuttavia, le violazioni dei dati si verificano secondo lo stesso schema di altri attacchi informatici da parte di estranei, ovvero hacker malintenzionati che violano le difese e riescono ad accedere ai dati delle loro vittime.
4 tipi di violazione dei dati
- Insider Theft: gli insider possono essere compromessi dagli aggressori, possono avere il proprio problema personale con i datori di lavoro o possono semplicemente cercare di fare soldi velocemente.
- Accesso non autorizzato: questo è probabilmente lo scenario che la maggior parte di noi immagina quando immaginiamo un hacker che ruba delle PII. Un criminale informatico esperto che naviga tra firewall e altri sistemi di difesa o sfrutta zero-day per accedere a database pieni di numeri di carte di credito o dati medici che può sfruttare. Gli aggressori possono utilizzare phishing, spyware e altre tecniche per prendere piede nelle reti di destinazione. Una versione specializzata di questo tipo di attacco prevede il furto fisico dell’hardware in cui sono archiviati dati sensibili da un ufficio o (ancora più probabile) da persone che portano a casa i laptop dal lavoro e li proteggono in modo improprio.
- Dati in movimento: le informazioni personali trasmesse su reti aperte senza un’adeguata crittografia sono particolarmente vulnerabili, quindi è necessario prestare molta attenzione alle situazioni in cui grandi quantità di dati allettanti vengono spostati in questo modo.
- Esposizione accidentale: questo è lo scenario di fuga di dati di cui abbiamo discusso sopra. È sorprendentemente comune che i database sensibili finiscano in luoghi in cui non dovrebbero, ad esempio copiati per fungere da dati di esempio per scopi di sviluppo e caricati su GitHub o su qualche altro sito accessibile al pubblico. Gli aggressori dispongono di strumenti automatizzati che scansionano Internet alla ricerca di firme rivelatrici di PII. Poi ci sono organizzazioni che caricano dati cruciali su un servizio cloud ma configurano in modo errato i permessi di accesso. Anche in questo caso c’è poi un’accezione “fisica” che si verifica quando le aziende smaltiscono in modo insicuro vecchi laptop e dischi rigidi, che rischiano di finire nelle mani sbagliati.
Per quelle organizzazioni che cercano di prevenire i danni di una violazione dei dati, vale la pena considerare cosa hanno in comune questi scenari. La maggior parte delle aziende probabilmente crede che la propria sicurezza e le proprie procedure siano sufficientemente valide da evitare che le proprie reti vengano violate o che i propri dati vengano esposti accidentalmente. Alcune organizzazioni hanno ragione su questo, ma molte altre si sbagliano. Se appartenete a questo secondo gruppo, un approccio zero trust può mitigare la possibilità di un disastro dei dati.
Anche se un utente malintenzionato ottiene l’accesso alla vostra rete, le PII dovrebbero essere circondate da ulteriori difese per mantenerle al sicuro. L’accesso ai database che memorizzano le PII dovrebbe essere il più limitato possibile, ad esempio, e l’attività di rete dovrebbe essere continuamente monitorata per individuare l’esfiltrazione. Anche le password memorizzate devono essere trattate con particolare attenzione, cosa che però anche le aziende che dovrebbero saperlo bene faticano spesso a fare.
Quali sono gli esempi di violazione dei dati?
Il sito CSO ha compilato un elenco delle più grandi violazioni del secolo fino a oggi, con dettagli sulla causa e l’impatto di ciascuna violazione. Queste includono anche i centinaia di milioni di account violati su Yahoo, Adobe, LinkedIn e MyFitnessPal. Quel che è peggio è che alcune aziende compaiono nell’elenco più di una volta.
Ecco una breve sequenza temporale delle violazioni di dati più significative negli ultimi dieci anni:
2012
LinkedIn – 165 milioni di utenti
2013
Yahoo – 3 miliardi di acount
Adobe – 153 milioni di record utente
Court Ventures (Experian) – 200 milioni di record personali
MySpace – 360 milioni di account utente
2014
Yahoo – 500 milioni di account
2015
NetEase – 235 milioni di account utente
Adult Friend Finder – 412,2 milioni di account
2018
My Fitness Pal – 150 milioni di account utente
Dubsmash – 162 milioni di account utente
Marriott International (Starwood) – 500 milioni di clienti
2019
Facebook – 533 milioni di utenti
Alibaba – 1,1 miliardi di dati utente
2020
Sina Weibo – 538 milioni di conti
2021
LinkedIn – 700 milioni di utenti
Violazioni di dati recenti: 2022
Sebbene il 2022 non abbia visto violazioni di così alto profilo come quelle sopra elencate, ciò non significa che gli hacker siano rimasti con le mani in mano:
- A giugno, Shields Healthcare Group ha rivelato che i loro dati potrebbero essere stati compromessi, colpendo fino a 2 milioni di persone
- Nello stesso mese, gli hacker hanno rubato 1,5 milioni di record, inclusi i numeri di previdenza sociale, dei clienti della Flagstar Bank con sede nel Michigan
- A febbraio, gli hacker hanno fatto trapelare i nomi di centinaia di partecipanti al cosiddetto Freedom Convoy di Ottawa dopo aver violato GiveSendGo, una piattaforma cristiana di crowdfunding utilizzata dagli organizzatori
Statistiche sulla violazione dei dati
Siete alla ricerca di alcune statistiche chiave sulle violazioni dei dati? Il fornitore di software di sicurezza Varonis ha compilato un elenco molto esaustivo e di seguito vi riportiamo alcune dei risultati più interessanti.
- Il 58% delle violazioni dei dati riguarda PII
- Il 64% degli americani non sa cosa fare dopo una violazione dei dati
- Nel 2020, un’azienda violata ha impiegato in media 207 giorni per rendersi conto di essere stata violata
Impatto di una violazione dei dati sulle persone
In un certo senso, l’idea che le vostre PII vengano rubate in una violazione può sembrare piuttosto astratta e dopo un infinito tam tam mediatico sulle notizie di violazioni dei dati, potreste persino diventare insensibili alla cosa. Ma c’è molto che i criminali possono fare con i vostri dati personali se riescono a ottenerli da una violazione.
Le PII forniscono infatti gli elementi costitutivi fondamentali del furto di identità. Se la vostra password era nei dati rubati da una violazione e siete soliti usare la stessa password su più account, gli hacker potrebbero svuotare direttamente il vostro conto bancario. Detto questo, la correlazione tra violazioni dei dati e identità rubate non è sempre facile da dimostrare, sebbene le PII rubate abbiano un valore di rivendita così elevato che sicuramente qualcuno pensa di ricavarne qualcosa anche vendendole ad altri. Alcune delle violazioni dei dati di più alto profilo (come quelle di Equifax, OPM e Marriott) sembrano essere state motivate non dall’avidità criminale, ma piuttosto dallo spionaggio da parte del governo cinese e di conseguenza l’impatto sugli individui è molto più oscuro.
Cosa fare dopo una violazione dei dati
Le organizzazioni dovrebbero disporre di piani dettagliati su come affrontare le violazioni dei dati che includono passaggi come la creazione di una task force, l’emissione di eventuali notifiche richieste dalla legge e l’individuazione e la risoluzione della causa principale. Se i vostri dati personali sono stati rubati in una violazione, il vostro primo pensiero dovrebbe riguardare le password. Se l’account violato condivide una password con altri vostri account, dovreste cambiarla il prima possibile, soprattutto se la password riguarda l’home banking e altri importanti servizi.
Molti gestori di password non solo aiutano a scegliere password complesse diverse tra i siti Web, ma includono anche funzionalità di intelligence dei dati che informano automaticamente se uno dei vostri account è associato a una violazione dei dati resa nota. Oltre a ciò, dovreste prestare particolare attenzione a mantenere una sorta di “igiene finanziaria”. In particolare, congelare il vostro credito in modo che nessuno possa aprire una nuova carta o un prestito a vostro nome è una buona idea.
Conseguenze di una violazione dei dati
Un’azienda che subisce una violazione dei dati a essa affidati subirà conseguenze negative. Tale violazione può infatti danneggiare la reputazione di un’azienda e rovinare i rapporti con i clienti, soprattutto se i dettagli della violazione rivelano una negligenza particolarmente grave.
Ci sono anche costi finanziari diretti associati alle violazioni dei dati; nel 2020, ad esempio, il costo medio di una violazione dei dati è stato di circa 4 milioni di dollari. Gran parte di questi costi sono il risultato di normative sulla privacy a cui le aziende devono attenersi quando la loro negligenza porta a una violazione dei dati. Non solo multe, ma anche regole su come le violazioni devono essere comunicate alle vittime che comportano lavoro amministrativo e grattacapi a non finire da parte dell’azienda. L’obiettivo generale è incoraggiare le aziende a proteggere i dati degli utenti in modo che non vengano violati.
Violazioni dei dati e GDPR
Esistono numerose normative in diverse giurisdizioni che determinano come le aziende devono rispondere alle violazioni dei dati. L’HIPAA negli Stati Uniti è importante, anche se la sua portata è limitata ai dati relativi alla salute, ma il “gigante” nel mondo della privacy dei consumatori è il GDPR europeo, a cui molte grandi aziende finiscono per conformarsi su tutta la linea perché rappresenta la regolamentazione dei dati più restrittiva delle giurisdizioni con cui hanno a che fare.
Il GDPR richiede che gli utenti i cui dati sono stati violati debbano essere informati entro 72 ore dalla scoperta della violazione e le aziende che non lo fanno potrebbero essere soggette a multe fino al 4% dei loro ricavi annuali. I dettagli, tuttavia, sono estremamente complessi e dipendono dal fatto che possiate dimostrare di aver compiuto uno sforzo in buona fede per implementare controlli di sicurezza adeguati.