Data Breach, cosa significa e quali rischi comporta
Data Breach: cos’è?
Una data breach è un incidente che si verifica quando si registra un accesso non autorizzato ad una serie di informazioni. Questo tipo di problematica può nascere in seguito ad un attacco intenzionale, o ad un evento accidentale – quando la negligenza e la mancanza delle necessarie strutture di sicurezza mette dati aziendali o dati personali allo scoperto, a rischio.
Data Breach Significato Intenzionale
Partiamo dalla traduzione di ‘data breach’. L’espressione si traduce in italiano con ‘violazione dei dati’. Ricostruendo l’etimologia dei singoli termini abbiamo: data (plurale che deriva etimologicamente dal neutro latino datum) e breach, singolare che significa rottura, violazione, breccia, e che dal franco è passato alle lingue germaniche. È proprio il concetto di ‘fare breccia’ che ci aiuta a comprendere la doppia natura – intenzionale e accidentale, di questi episodi. Nel medioevo, durante gli assedi a castelli e fortificazioni, l’esercito impegnato nell’assedio tentava di far breccia nelle mura nemiche. Lo faceva cercando di eliminare le sentinelle e gli arcieri preposti al controllo delle vie d’accesso. Oppure, dopo aver lentamente indebolito le difese del castello, cercando direttamente di sfondare la porta centrale ed entrare. Ecco l’attacco intenzionale, volto a conquistare il tesoro dentro al castello.
Data Breach Significato Accidentale
Si parla di evento accidentale quando la violazione avviene per una disattenzione, uno sbaglio, un errore di valutazione da parte di chi gestisce i dati. Un data breach non intenzionale può verificarsi in seguito a un errore procedurale o un mancato rispetto del principio di confidenzialità. Tornando alla nostra similitudine con l’arte militare medievale, possiamo fare un altro esempio. È notte, al castello si è tenuto il matrimonio della Principessa Elisa, figlia di Re Giorgio, il quale non ha badato a spese per la cerimonia. Alla fine hanno partecipato ai banchetti anche le migliori guardie. L’occasione era unica e nessuna poteva essere escluso dai festeggiamenti. Non lontano dal castello passa una strada: proprio stasera una carovana di briganti la percorre in attesa di trovare qualche malcapitato. Uno di loro però si accorge che al castello c’è qualcosa di strano: troppe fiaccole ancora accese e il ponte levatoio che non è stato sollevato. I briganti si avvicinano, il castello sembra addormentato nel silenzio, nessuna guardia presidia le entrate laterali del grande portone principale. I briganti entrano, sanno che la sala del tesoro è inespugnabile, ma conoscono la biblioteca del castello, dove sono conservati manoscritti di inestimabile valore: li rubano per rivenderli.
Cosa si Intende per Data Breach oggi?
Torniamo ai tempi presenti. Una violazione dei dati è un incidente in cui informazioni riservate vengono sottratte, portate all’esterno di una specifica piattaforma o sistema, senza che il proprietario di quella piattaforma ne sia a conoscenza. Attacchi di questo tipo succedono quotidianamente anche in Italia e coinvolgono piccole e grandi aziende.
Gli esempi di negligenza sono spesso decisamente banali: l’utente che casca nella trappola del cybercriminale è abituato a non leggere il contenuto di pagine, informative, moduli. Naviga a vista, clicca e procede basandosi su bottoni colorati e percorsi predefiniti. E per pigrizia mentale commette errori dalle conseguenze piuttosto gravi.
Ma quali sono i dati che vengono effettivamente rubati?
Quando si parla di data breach il significato è ampio. Possono essere state sottratte, rubate o semplicemente ‘esposte’ informazioni riservate, stringhe di codice sorgente, o semplicemente dati riservati. I numeri di carte di credito, i dati dei clienti, quelli sono dati personali riservati. Il codice sorgente di un software che l’azienda ha sviluppato è proprietario.
Data Breach GDPR
Il GDPR riguarda i dati personali degli individui. Per data breach sui dati personali si intende una violazione a livello di sicurezza che comporta l’accesso, la distruzione, la perdita, l’alterazione, la divulgazione intenzionale o accidentale di dati personali.
Il GDPR – General Data Protection Regulation, è la legge di riferimento sulla protezione dei dati e la privacy in vigore dal 2018 emanata dall’UE. L’intento del legislatore europeo è stato quello di normare, attraverso disposizioni e requisiti, la materia del trattamento dei dati personali degli individui che si trovano nello Spazio Economico Europeo (SEE). Il GDPR si applica a qualsiasi impresa – indipendentemente dalla sua ubicazione e dalla cittadinanza o residenza degli interessati – che tratta i dati personali di individui residenti nello Spazio Economico Europeo.
Il GDPR invita le aziende a mettersi in regola e certificarsi per per prevenire casi di data breach. Possedere una serie di requisiti che certificano quell’azienda rispetto al trattamento, all’accesso e all’utilizzo dei dati personali.
Infine il GDPR obbliga tutte le aziende che hanno subito una violazione dei dati che mettono a rischio la privacy degli utenti a comunicarlo entro 72 ore alle autorità competenti. Chi non lo fa, rischia multe fino a 20 milioni di euro.
Trattamento dati personali e Data Breach
Facciamo un passo indietro. Si parla spesso di dati personali, ma non sempre si ha chiaro quale sia la corretta definizione dell’area semantica. I dati personali sono le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica. Quei dati che possono fornire informazioni sulle caratteristiche, le abitudini, lo stile di vita, le relazioni personali, lo stato di salute, la situazione economica, etc.
Stando alla definizione del Garante della Privacy, i dati personali si dividono in:
- Dati Personali a Identificazione Diretta – le fotografie personali, l’anagrafica, etc
- Dati Personali a Identificazione Indiretta – tutti i codici identificativi, come la targa, il codice fiscale, l’indirizzo IP;
- Dati Sensibili – rivelano informazioni sensibili circa specifiche categorie di appartenenza. Riguardano i dati genetici e biometrici, l’origine razziale/etnica, la religione, le opinioni politiche, filosofiche, l’appartenenza sindacale, la salute, l’orientamento e la vita sessuale.
- Dati Giudiziari – riguardano condanne penali e reati, sono cioè informazioni in grado di rivelare l’esistenza di provvedimenti giudiziari iscritti nel casellario giudiziale o la qualità di imputato o di indagato.
Molti utenti sono attratti dai social media perché si possono utilizzare ‘gratuitamente’. O meglio, è possibile iscriversi alla maggior parte di questi network senza mettere mano al portafoglio, ma siamo proprio sicuri che non stiamo dando via niente in cambio dell’utilizzo della piattaforma?
Anche i social media devono monetizzare, fare cassa. Lo fanno estrapolando i dati personali degli utenti. L’utente accetta incondizionatamente che i suoi dati vengano utilizzati per proporgli campagne di advertising e prodotti di ‘suo interesse’. Oppure, in una forma dai più considerata nobile, i dati personali vengono raccolti, anonimizzati, aggregati e venduti sotto forma di big data. In particolare i dati sensibili vengono incrociati con le abitudini di navigazione ed altri segnali che l’utente manda di propria scelta, spuntando caselle le cui reali implicazioni a malapena conosce.
I social insomma fanno il loro gioco: aggiungono sempre nuovi servizi e, aumentando la quantità di funzioni, richiedono che l’user inserisca maggiori informazioni personali. Gli utenti si trovano locked-in, ‘chiusi dentro’ queste piattaforme, che utilizzano anche per informarsi e si trovano “costretti” a continuare a usarli.
Così tutti i problemi di privacy passano in secondo piano, eccezion fatta per alcune catene di Sant’Antonio di denuncia che ciclicamente scoprono l’acqua calda.
Noi, giusto per farci un’idea, nella tabella (Dati personali raccolti dai Maggiori Social Network – Clario) qui sotto possiamo vedere quali sono i colossi del mondo social che hanno maggiori informazioni su di noi. Facebook, Instagram, Tinder e gli altri raccolgono petabyte di dati personali. Cosa accadrebbe se nel prossimo futuro fosse proprio una di queste aziende a subire un breach, una violazione dei dati?
Gestione e Protezione dei Dati Aziendali
In Italia la gestione dei dati aziendali è una fase su cui è necessario porre maggiore attenzione. Bisogna investire nella formazione del personale e certificare ciclicamente l’azienda in merito al rispetto delle procedure. Inoltre è importante agire sulla responsabilità del personale: se non ci sono conseguenze applicate per gli errori commessi, non ci sarà mai un apprendimento e una crescita, in direzione di una cultura della sicurezza digitale.
Da un punto di vista degli strumenti, la riflessione è ugualmente negativa. Ancor oggi, poche sono le risorse destinate alla sicurezza informatica. E troppo spesso si utilizza software che non è progettato secondo i principi della privacy by design.
Data Mining e Violazione dei Dati Aziendali
Le realtà che hanno compiuto passi avanti verso la digital transformation lo sanno. I dati, quelli che provengono dal mercato e dai clienti, sono l’oro dei nostri giorni. Il data mining, l’estrazione dei dati, è un processo molto redditizio. Dati grezzi vengono trasformati in informazioni utili, che possono indirizzare strategie di marketing più efficaci e aumentare le vendite.
Allo stesso tempo però, maggiori sono i dati estratti, processati ed elaborati, maggiore può essere il rischio connesso al loro trattamento. E gli effetti causati da una violazione possono manifestarsi sotto forma di danni alla reputazione dell’azienda target.
Il cybercriminale, avendo selezionato il suo obiettivo, analizza i punti deboli dell’azienda: dipendenti, sistemi o infrastrutture di rete. Una volta che ha trovato il modo di entrare, può impossessarsi di informazioni riservate riguardo l’impresa, i suoi fornitori e i suoi clienti.
Quando l’attacco mette a rischio la privacy e la sicurezza finanziaria dei clienti dell’azienda colpita il danno può essere enorme. L’opinione pubblica fa presto a modificare la sua valutazione su questo o quel determinato brand, soprattutto se quello percepito è un vero e proprio tradimento della fiducia.
Quindi, come difendere le aziende e i loro asset informativi? Investendo su:
- Formazione sulle Persone
- Valutazione dei Rischi e Threat modelling
- Adozione un Modello Organizzativo efficace (ruoli + responsabilità + processi + procedure)
Tipologie di Data Breach
La maggior parte dei casi di data breach si verifica per mezzo di attacchi di pirateria informatica o malware. Crescono inoltre i casi in cui ad aprire la breccia è lo stesso personale dell’azienda. La fuga, la perdita dei dati avviene a causa di una sbadataggine – un dipendente che espone le credenziali aziendali su network poco protetti. Oppure per un tradimento, una persona “fidata” e autorizzata con privilegi di accesso che si impossessa di dati e li ruba.
Esistono almeno otto tipologie di data breach:
- Divulgazione non intenzionale – a causa di errori o negligenza, vengono esposti dati sensibili.
- Abuso di informazioni privilegiate – personale interno con gli accessi vende o divulga dati riservati.
- Furto fisico e smarrimento – un laptop abbandonato, documenti cartacei riservati, file e altre proprietà fisiche vengono persi o rubati.
- Denial of service – attacchi rivolti verso grandi aziende e istituzioni, che prendono di mira reti e sistemi, sovraccaricandoli per metterli fuori uso.
- Ransomware – un malware che blocca, “tiene in ostaggio” i file del computer finché la vittima non paga.
- SQL Injecton – un attacco ai database, attraverso l’inserimento di codice in un modulo Web l’hacker si inserisce nel backend del sito e lo danneggia.
- Phishing – un attacco di ingegneria sociale in cui il cyber-criminale si pone come fonte attendibile e instaura una relazione via chat/email/chiamata con la vittima.
- Truffa con carte di pagamento – i dati delle carte di debito e di credito vengono rubati-
Quali sono i settori in cui le imprese vengono maggiormente colpite?
Ecco una rapida occhiata ai dati sulle violazioni di dati registrate nel 2019 per settore industriale:
Commercio: 644 (43,7%)
Assistenza sanitaria / medica: 525 (35,6%)
Istruzione: 113 (7,7%)
Bancario / creditizio / finanziario: 108 (7,3%)
Governo / militare: 83 (5,6%)
Violazione dei dati: se l’azienda non denuncia
Purtroppo non tutte le aziende denunciano correttamente i casi di violazione dei dati che hanno subito. Lo fanno per non subire danni a livello di reputazione o per semplice negligenza. Questa disattenzione espone però le stesse aziende e i loro clienti a nuovi pericoli. Se non si capisce da dove è partita la falla, difficilmente saremo in grado di mettere in sicurezza il sistema. È vero che spesso è difficile, se non impossibile, risalire all’artefice dell’attacco. Ma soltanto in un numero limitato di casi il metodo di violazione resta sconosciuto.
Cosa fare in caso di violazione dei dati?
Di questi tempi sempre più informazioni vengono trasferite in ambito digitale. Di conseguenza, gli attacchi informatici sono diventati sempre più comuni e redditizi.
Cosa fare in caso di violazione dei dati? La notifica va inviata entro 72 ore via mail seguendo le indicazioni a questo link.
Il Garante della Privacy precisa che:
“Vanno notificate unicamente le violazioni di dati personali che possono avere effetti avversi significativi sugli individui, causando danni fisici, materiali o immateriali. Ciò può includere, ad esempio, la perdita del controllo sui propri dati personali, la limitazione di alcuni diritti, la discriminazione, il furto d’identità o il rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.”
Esempi di violazione osservati per settore
Luxottica, Geox e Gruppo Carraro: 3 Casi di Data Breach recenti
Luxottica, la più grande azienda di occhiali al mondo, nell’agosto 2020 ha subito un attacco informatico che ha coinvolto alcuni dei siti dalla società, proprietaria di marchi come Ray-Ban, Oakley, Persol, EyeMed. I cyber-criminali si sono introdotti sfruttando una vulnerabilità nel software di prenotazione degli appuntamenti di una società partner nel ramo della salute degli occhi. Questi sono i tipi di dati dei clienti esposti da Luxottica: nomi, informazioni di contatto, date e orari degli appuntamenti, numeri di polizza, note del medico e relative al trattamento, numeri di carta di credito e di previdenza sociale. Ma c’è di più: a settembre un attacco ransomware ha causato interruzioni dei servizi in Italia e Cina, con sottrazione di informazioni sensibili. Il problema vero però è che Luxottica in questo caso non ha saputo gestire bene la comunicazione. In prima battuta il colosso degli occhiali aveva rassicurato affermando che non erano stati sottratti dati. Poche settimane dopo però sul dark web sono spuntati fuori 2 GB di dati contenenti informazioni personali di centinaia di migliaia di persone ubicate in tutto il mondo. Erano quei dati sottratti a Luxottica nel breach di settembre. Questo episodio ci insegna che è importante gestire bene le comunicazioni verso l’esterno, altrimenti si rischia di perdere punti a livello di credibilità. Anche i clienti possono perdonarti, se ammetti di aver subito un data breach. Ma non ti perdonano se li prendi in giro.
Altri due casi recenti particolarmente interessanti sono Geox e Gruppo Carraro. In entrambi i casi l’attacco è stato ransomware, veicolato tramite phishing + social engineering. Un aspetto che li accomuna è che quel meccanismo che ha fallito è stato a livello di risorse. Persone poco formate con poca consapevolezza e scarso allenamento nel riconoscere le minacce, nel valutare le conseguenze di comportamenti ad alto rischio. In seconda battuta in questi casi ha fallito l’organizzazione – aziende di questo calibro hanno sicuramente strumenti e processi per fare dei backup, ma qualcosa non ha funzionato. A fare notizia è stato il blocco – interi reparti sono stati fermi per più giorni, perciò viene spontaneo chiedersi se le procedure di sicurezza ci fossero, e fossero state progettate bene. Tutto è possibile, o le procedure non sono state applicate bene – perché mancano controlli, o semplicemente chi le ha scritte non ha contemplato alcuni aspetti importanti. Ad esempio, che il backup non serve solo a gestire un fault (guasto), ma anche un attacco ransomware. Quindi i dati di backup devono essere protetti e riposti in un luogo estremamente sicuro, da cui non possono essere de-criptati.
Cosa possiamo imparare da questi casi di violazione? Anzitutto che la sicurezza non è rappresentata dalla tecnologia. La tecnologia da sola non basta, serve l’insieme delle misure tecnico-organizzative progettate e implementate. Le procedure di sicurezza scaturiscono dall’incontro di ciò che fanno le persone in azienda con la definizione dei processi e delle procedure. Quando ciascuno ha un ruolo, responsabilità e strumenti ben definiti, la sicurezza aziendale è l’organizzazione delle attività a supporto di quegli stessi processi.
C’è chi investe molto solo in uno di questi aspetti, acquistando magari sistemi o software che vengono venduti per magici, con la speranza che da soli risolvano tutti i problemi. In questi casi, quando manca un’approfondita analisi iniziale, si finisce spesso per trascurare gli altri aspetti e il livello di sicurezza generale del prodotto che si offre. Di conseguenza la postura di sicurezza dell’organizzazione – cioè la capacita dell’organizzazione nel suo complesso di reagire e contrastare una minaccia al proprio patrimonio informativo, resta inevitabilmente bassa.
L’attacco al gruppo Carraro ha inoltre un altro aspetto di interesse. A causa dell’attacco, settecento persone sono state messe per alcuni giorni in cassa integrazione. Questo ci fa capire che quanto accade nel cyberspazio ha delle ricadute dirette sulla vita reale.