Cosa sapere su una violazione dei dati: Definizione, tipi, fattori di rischio e misure di prevenzione

Definizione e tipi di violazione dei dati

Una violazione dei dati, o fuga di dati, è un evento di sicurezza in cui i dati protetti sono accessibili o rivelati a persone non autorizzate. Una violazione dei dati è diversa dalla perdita di dati, che si verifica quando i dati non sono più accessibili a causa di un guasto hardware, una cancellazione o altre cause. I dati protetti possono includere informazioni sui singoli clienti o dipendenti, come le informazioni di identificazione personale (PII), le informazioni sanitarie personali, le informazioni sulle carte di pagamento e i numeri di previdenza sociale. Possono anche includere informazioni aziendali o proprietà intellettuale (IP), come segreti commerciali, dettagli sui processi di produzione, dati su fornitori e clienti, informazioni su fusioni e acquisizioni, o dati su cause legali o altre controversie.

Le violazioni dei dati non sono sempre intenzionali. Gli utenti possono accidentalmente inviare dati protetti all’indirizzo email sbagliato o caricarli nella condivisione sbagliata; infatti, gli errori rappresentano il 17% delle violazioni, secondo il noto Verizon’s 2018 Data Breach Investigation Report. Ma il rapporto ha rilevato che la maggior parte delle violazioni sono deliberate e motivate finanziariamente. Mentre vengono utilizzati diversi metodi per ottenere l’accesso ai dati sensibili, il 28% delle violazioni coinvolge gli insider, secondo il rapporto Verizon. Le organizzazioni di ogni settore sono potenziali obiettivi.

Fonti diverse definiscono diversi tipi di violazione dei dati. Qui le ho raggruppate in base alla causa principale:

  • Attacchi informatici – Gli hacker usano malware, phishing, ingegneria sociale, skimming e tecniche correlate per ottenere l’accesso alle informazioni protette.
  • Furto o perdita di dispositivi – Laptop, smartphone, chiavette e altri supporti di archiviazione dati possono essere persi, rubati o smaltiti in modo improprio. Se contengono informazioni protette e finiscono nelle mani sbagliate, si tratta di una violazione dei dati.
  • Furto di dati da parte dei dipendenti o fuga di dati – I dipendenti, specialmente quelli che andranno via presto, potrebbero accedere deliberatamente a informazioni protette senza autorizzazione con intenti malevoli.
  • Errori umani. Gli errori capitano e le persone sono negligenti. I dipendenti inviano accidentalmente i dati di proprietà alla persona sbagliata, li caricano su azioni pubbliche o configurano male i server in cui sono memorizzati.

Lezioni apprese dalle tre più grandi violazioni di dati del mondo

Chi: Yahoo
Quando è successo: Serie di violazioni nel 2013 e 2014
Quando è stato reso noto: 2016
La portata della violazione: Nel 2016, Yahoo ha stimato che oltre 1 miliardo di account utente potrebbero essere stati compromessi nella violazione del 2014. Più tardi, nel 2017, ha ammesso che tutti i 3 miliardi di account utente erano stati violati.
Dettagli: Le violazioni hanno comportato il furto di dettagli degli account utente come indirizzi e-mail, numeri di telefono, password hash, date di nascita e, in alcuni casi, risposte a domande di sicurezza. Fortunatamente, nessuna informazione di pagamento, come numeri di carte di credito o dettagli di conti bancari, è stata rubata. La prima violazione annunciata pubblicamente nel 2016 è avvenuta nel 2014 e ha colpito circa 500 milioni di utenti. Pochi mesi dopo, Yahoo ha rivelato un’altra violazione, avvenuta nel 2013, e ha detto che aveva colpito oltre 1 miliardo di account utente. Ci è voluto quasi un anno per indagare e annunciare che tutti i 3 miliardi di account utente erano stati probabilmente colpiti nella violazione del 2013.
Implicazioni: Nel 2016, quando i primi due annunci di violazioni hanno colpito i titoli dei giornali, Yahoo era nel mezzo della negoziazione di un accordo di acquisto con Verizon. A causa di questa scoperta, Verizon ha abbassato la sua offerta per i beni di Yahoo di 350 milioni di dollari. Inoltre, l’azienda è stata colpita da circa 43 azioni legali di classe.
Lezioni apprese: L’indagine sulla violazione del 2014 ha mostrato che il team di sicurezza di Yahoo e i dirigenti senior sapevano subito che alcuni conti utente erano stati violati, e hanno preso alcune azioni correttive, tra cui contattare gli utenti i cui conti si pensava fossero stati colpiti. Tuttavia, non sono riusciti a condurre ulteriori indagini per comprendere appieno la questione. Se Yahoo avesse indagato correttamente e tempestivamente sulla violazione del 2014, avrebbe potuto venire a conoscenza della violazione del 2013 prima, forse prima che i dati degli utenti fossero messi in vendita sul mercato nero. La lezione principale qui è di non scendere a compromessi sulle indagini, anche se un incidente sembra essere piccolo. Indagare a fondo per comprendere appieno cosa è successo, come è successo e quali dati sono stati colpiti, in modo da poter minimizzare gli effetti negativi e prevenire incidenti simili in futuro.

Chi: Equifax
Quando è successo: Metà maggio 2017
Quando è stato reso noto: Settembre 2017
La portata della violazione: 147,9 milioni di consumatori statunitensi
Dettagli: Gli hacker hanno avuto accesso ad alcuni file contenenti numeri di previdenza sociale, date di nascita, indirizzi, numeri di patente e altre informazioni personali. 209.000 consumatori hanno anche avuto i dati della loro carta di credito esposti nell’attacco. Un’indagine della U.S. General Accounting Office ha attribuito la violazione all’incapacità della società di utilizzare le ben note migliori pratiche di sicurezza e la sua mancanza di controlli interni e revisioni di routine della sicurezza; in particolare, l’attacco ha sfruttato una vulnerabilità del software su un singolo server web rivolto a Internet che Equifax non era riuscito a patchare.
Implicazioni: La violazione ha influenzato il prezzo delle azioni della società e il CEO, CIO e CSO di Equifax si sono dimessi subito dopo l’annuncio della violazione. La violazione ha anche contribuito a innescare alcuni stati, tra cui la California, a passare regolamenti più severi sulla protezione dei dati.
Lezioni apprese: Per evitare che cose simili accadano alla vostra azienda, non dimenticate mai queste basi di sicurezza:

  • Conoscere le vostre risorse e condurre un regolare inventario delle risorse.
  • Aggiornare regolarmente e applicare patch al software.
  • Classificare i dati e proteggerli in base alla loro sensibilità.
  • Archiviare o cancellare i dati non necessari in modo tempestivo.

Chi: Uber
Quando è successo: 2016
Quando è stato reso noto: 2017
La portata della violazione: I dati personali di 57 milioni di utenti Uber e 600.000 autisti
Dettagli: Alla fine del 2016, Uber ha appreso che gli hacker avevano ottenuto i nomi, gli indirizzi email e i numeri di telefono cellulare di 57 milioni di utenti dell’app Uber, così come i numeri di patente di 600.000 autisti Uber. Gli hacker sono stati in grado di accedere all’account GitHub di Uber, dove hanno trovato le credenziali dell’account Amazon Web Services (AWS) di Uber. Uber ha appreso della violazione nel 2016 quando gli hacker hanno chiesto soldi per cancellare la loro copia dei dati; Uber ha finalmente reso pubblica la violazione un anno dopo.
Conseguenze: Si ritiene che la violazione sia costata cara a Uber sia in termini di reputazione che di denaro. Quando la violazione è stata annunciata, la valutazione di Uber era di 68 miliardi di dollari e la società era in trattative per vendere una quota a Softbank. Quando l’affare si è chiuso a dicembre, la sua valutazione era scesa a 48 miliardi di dollari. Non tutto il calo è attribuibile alla violazione, ma gli analisti lo considerano un fattore significativo. L’amministratore delegato di Uber e il direttore della sicurezza e dell’applicazione della legge sono stati entrambi licenziati e anche il CSO è stato cacciato. L’accordo ammonta a 148 milioni di dollari.
Lezioni apprese: Se si utilizzano i repository in cloud, garantire quanto segue per ridurre al minimo il rischio di un incidente simile:

  • Sapere quali informazioni si memorizzano nei repository pubblici, e non memorizzare dati non necessari.
  • Configurare correttamente i repository in cloud.
  • Forzare i controlli di sicurezza sui repository in cloud.

Le più grandi violazioni di dati del mondo in poche parole:

Nome della società Cosa è successo Portata della violazione Lezioni apprese
Yahoo Yahoo non ha condotto indagini approfondite per comprendere appieno la violazione del 2014. Di conseguenza, solo nel 2016 hanno scoperto la vera portata di questa violazione. 3 miliardi di account Fare una priorità per indagare a fondo quando si ha anche solo un accenno di un incidente.
Equifax Gli hacker hanno sfruttato un software privo di patch su un singolo server web rivolto a Internet. 147,9 milioni di account – Conoscere le proprie risorse e condurre un regolare inventario delle risorse.
– Aggiornare regolarmente e applicare patch al software.
– Classificare i dati e proteggerli in base alla loro sensibilità.
– Archiviare o cancellare i dati non necessari in modo tempestivo.
Uber Gli hacker sono stati in grado di accedere all’account GitHub di Uber, dove hanno trovato le credenziali dell’account Amazon Web Services (AWS) di Uber. 57 milioni di utenti Uber e 600.000 autisti – Sapere quali informazioni si memorizzano nei repository pubblici, e non memorizzarvi dati non necessari.
– Configurare correttamente i repository cloud.
– Applicare forti controlli di sicurezza sui repository cloud.

Conseguenze della violazione dei dati

Le conseguenze di una violazione dei dati sono spesso gravi e possono avere effetti duraturi in quattro aree chiave:

  • Finanziarie. Le aziende di solito affrontano perdite finanziarie sostanziali, comprese le multe normative e i pagamenti dei risarcimenti. Spesso vedono anche un calo della loro valutazione, come nei casi di Yahoo e Uber. E possono perdere entrate future, soprattutto se la proprietà intellettuale è violata, perché spesso porta alla perdita di vantaggio competitivo e di quote di mercato.
  • Legale. Ogni volta che una violazione coinvolge qualsiasi tipo di informazione personale, è probabile che le aziende debbano affrontare azioni legali collettive. In alcuni casi, le autorità possono vietare alle aziende di eseguire determinate operazioni, come è successo a Heartland nel gennaio 2009, quando è stata ritenuta non conforme al PCI DSS e le è stato vietato di elaborare i pagamenti con i principali fornitori di carte di credito fino a maggio 2009.
  • Reputazionale. Può essere difficile stimare l’entità del danno che una violazione provoca alla reputazione di un’azienda, ma il danno è spesso di lunga durata. Inoltre, i singoli dirigenti possono essere licenziati o costretti a dimettersi per mitigare il danno.
  • Operativo. Le violazioni dei dati spesso interrompono le normali operazioni, soprattutto durante il processo di indagine. Inoltre, alcune violazioni dei dati comportano la perdita completa di dati importanti, il che è particolarmente doloroso perché ci vuole tempo per replicare i dati.

Fattori di rischio di violazione dei dati

Secondo il 2018 Cost of Data Breach Study condotto dal Ponemon Institute, il costo medio di una violazione dei dati negli Stati Uniti è di 7,91 milioni di dollari e il numero medio di record violati è 31.465, ovvero 251 dollari per record. Chiaramente, è saggio investire alcuni dei vostri sforzi di sicurezza sulla mitigazione del rischio di violazione dei dati.

Per ridurre il rischio di una violazione dei dati, è necessario capire da dove viene il rischio. Ci sono due principali fattori di rischio: le persone e i dispositivi. Ad alcune persone deve essere garantito l’accesso alle informazioni regolamentate o sensibili; non si può semplicemente negare l’accesso ai dati. Ma le loro azioni deliberate o accidentali possono portare a una violazione di dati aziendali preziosi. Come abbiamo visto, possono commettere errori, come l’invio di informazioni all’indirizzo e-mail sbagliato o il caricamento su una condivisione non protetta, e possono anche usare deliberatamente il loro accesso per rubare dati importanti per guadagno finanziario o per sabotare l’azienda. Inoltre, gli utenti possono essere vittime di furti di identità, in cui qualcun altro viene a conoscenza delle loro credenziali e assume la loro identità di utente per ottenere l’accesso ai dati.

I dispositivi sono l’altro grande fattore di rischio, in particolare i dispositivi portatili che possono memorizzare dati sensibili e i dispositivi mobili che vengono utilizzati per accedere a reti e risorse aziendali. Questi dispositivi vengono spesso persi o rubati, e può essere difficile estendere i controlli di sicurezza a questi dispositivi. Anche altri dispositivi presentano un serio rischio quando il software non viene patchato in modo tempestivo o sono configurati in modo improprio.

Prevenzione e risposta alla violazione dei dati

I criminali informatici sono costantemente in cerca di nuove tecniche e strategie, il che rende difficile prevedere come esattamente eseguiranno il loro prossimo attacco ai vostri dati sensibili. Tuttavia, ci sono cose che potete fare per ridurre al minimo il rischio di una violazione dei dati. In questo blog, ho deciso di utilizzare il NIST Cybersecurity Framework per delineare i passi fondamentali che possono aiutare a prevenire le violazioni dei dati:

  • Identificare i rischi di cybersecurity per i vostri dati. Il Netwrix IT Risks Report 2018 ha rilevato che il 70% delle organizzazioni ha eseguito la valutazione dei rischi almeno una volta, ma solo il 33% delle organizzazioni rivaluta i propri rischi IT almeno una volta all’anno. Tuttavia, sia le minacce informatiche che il tuo ambiente IT sono in continua evoluzione: persone, software, hardware, dispositivi mobili e piattaforme cloud cambiano costantemente. Per scoprire nuovi rischi e mitigarli per proteggere i vostri dati, è necessario eseguire una valutazione dei rischi informatici almeno una volta all’anno.

Solo il 33% delle organizzazioni rivaluta i propri rischi IT almeno una volta all’anno

  • Proteggi i tuoi dati implementando le opportune misure di sicurezza. Se non siete sicuri da dove cominciare, potete sempre rivolgervi a uno dei documenti di conformità normativa per avere una guida. Puoi imparare una cosa o due sui controlli di sicurezza dei dati, specialmente dalle normative che si concentrano esclusivamente sulla sicurezza e la privacy dei dati, come il GDPR. Un’altra fonte utile è l’elenco dei controlli CIS, che è stato creato e viene tenuto aggiornato dal Center for Internet Security. Poiché questo è un grande argomento, mi limiterò a menzionare tre protezioni di base che possono migliorare significativamente la sicurezza dei dati:
    • Crittografia – Secondo la ricerca Ponemon, il secondo fattore in cima che riduce i costi complessivi di una violazione dei dati è la crittografia. È un modo semplice ma spesso trascurato per proteggere i tuoi dati. Anche se vengono rubati o violati, i dati crittografati correttamente saranno inutilizzabili per i malintenzionati; non saranno in grado di venderli o usarli contro di voi o contro le persone a cui hanno rubato i dati.
    • Governance dell’accesso ai dati – La regolare attestazione dei privilegi e il monitoraggio dell’accesso ai dati ridurrà la superficie di attacco e vi aiuterà a individuare le attività anomale nelle loro fasi iniziali.
    • Formazione e consapevolezza dei dipendenti – Il rapporto Netwrix mostra che il 50% delle violazioni dei dati coinvolge utenti regolari. Comunica chiaramente la tua politica di sicurezza e insegna ai tuoi dipendenti come individuare e rispondere agli attacchi, e ridurrai le possibilità di subire una violazione dei dati.
  • Abilita il rilevamento tempestivo degli eventi di cybersecurity che minacciano i tuoi dati. Con il 68% delle violazioni che passano inosservate per mesi o anche di più, secondo Verizon, non c’è da stupirsi che il rilevamento sia una delle due aree principali che gli intervistati del sondaggio Netwrix IT Risks prevedono di migliorare per ridurre al minimo il rischio di violazioni dei dati. Una fonte davvero buona che può aiutare è la base di conoscenza MITRE ATT&CK, che dettaglia i segnali che è necessario cercare per rilevare gli attacchi.

Il 62% degli intervistati dichiara di dover sviluppare e implementare attività appropriate per identificare il verificarsi di un evento di cybersecurity

  • Essere preparati a rispondere adeguatamente quando viene rilevata una violazione dei dati. Tracciate un piano di risposta e comunicatelo chiaramente in modo che tutti nell’azienda sappiano chi contattare e cosa fare in caso di violazione dei dati. Includete nel vostro piano una procedura di notifica allineata con i regolamenti a cui la vostra azienda è soggetta. Ricorda la lezione delle violazioni di Yahoo: fai un’indagine approfondita per comprendere appieno cosa è successo, come è successo, quali dati sono interessati e cosa deve essere fatto per evitare che incidenti simili si verifichino in futuro.
  • Sii in grado di recuperare i dati, i sistemi e i servizi che sono stati rubati o distrutti in una violazione dei dati. Avere un piano di recupero e testarlo e migliorarlo regolarmente.

Conclusione

Queste misure di base possono essere un ottimo punto di partenza per ridurre il rischio di una violazione dei dati. Tuttavia ognuna di esse richiede un’analisi approfondita e la traduzione alle specificità del business della vostra azienda. Ecco alcune cose che possono aiutarvi in questo processo:

  • Non andate da soli. Cerca soluzioni che possano aiutarti ad automatizzare il maggior numero possibile di compiti, in modo che tu e il tuo team possiate concentrarvi su attività strategicamente importanti.
  • Guarda i nuovi sviluppi della cybersecurity in vari settori e applica quelli che sembrano adattarsi meglio alla tua azienda.
Product Evangelist presso Netwrix Corporation, scrittore e presentatore. Ryan è specializzato nell’evangelizzazione della cybersecurity e nella promozione dell’importanza della visibilità dei cambiamenti IT e dell’accesso ai dati. Come autore, Ryan si concentra sulle tendenze della sicurezza IT, sui sondaggi e sugli approfondimenti del settore.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *