Argomenti
Servizi
Casa > I costi di una banca dati ...
IT
IT DE FR EN

Costi del furto di dati

L'anno scorso le notizie di furti di dati su larga scala hanno dominato ripetutamente i titoli dei giornali. Probabilmente il più grande furto di dati del 2015 ha riguardato il portale di incontri Ashley Madison. Poco dopo l'attacco, milioni di dati rubati - nomi e indirizzi di utenti - sono stati pubblicati online.

Editoriale - 15 febbraio 2016

costo del furto dei dati - sicurezza

Sebbene l'attacco sia stato un grande shock per i 37 milioni di utenti del sito, la maggior parte del pubblico sembra sempre più considerare tali attacchi come normali. Ma che impatto ha davvero una fuga di dati? Un esempio ben noto è quello della società Sony Pictures: Dopo essere stata vittima di un attacco informatico nel 2014, ha stimato i costi sostenuti nel corso della fuga di dati in un equivalente di circa 31 milioni di euro per l'intero esercizio finanziario. La riparazione dei danni causati può quindi essere costosa, perché di norma il ripristino dei sistemi finanziari e informatici comporta ore di lavoro aggiuntive e spese per hardware, software e system house. Tuttavia, questo dovrebbe quantificare solo l'aspetto tecnico del danno.

Quali sono i costi del furto di dati?

Il Ponemon Institute ha cercato di determinare i costi effettivi di una fuga di dati in uno studio. Il rapporto ha quantificato i costi come segue:

  • I costi diretti del furto di dati per le aziende ammontano in media a circa 65 euro per ogni utente i cui dati sono stati compromessi. Se si aggiungono i costi indiretti dovuti alla perdita di utenti, si arriva a una media di 125 euro per utente. Si tratta di un nuovo valore record di 190 euro per attacco registrato.
  • Un furto di dati costa alle aziende in media 5,7 milioni di euro. Nel 2013, il valore era ancora di 4,6 milioni.
  • L'importo dei costi per la revisione degli errori e delle spese aggiuntive sostenute è aumentato da 366.000 a 542.000 euro. Ciò suggerisce che sono aumentati i costi per le indagini e le inchieste, i servizi di revisione e valutazione, la gestione di un team di crisi e la comunicazione con gli stakeholder e la direzione.
  • Un aumento delle spese è dovuto anche a un furto di dati, ad esempio per i turni supplementari del personale dell'helpdesk, per l'elaborazione delle richieste in arrivo, per le indagini e il lavoro di recupero e per le spese legali. Questi costi sono aumentati da 1,39 milioni a 1,42 milioni di euro nello studio di quest'anno.

Non c'è dubbio che il furto di dati sia finanziariamente costoso. Tuttavia, può costare alle aziende il doppio in termini di perdita di fiducia da parte dei clienti. Per evitare di diventare la prossima vittima di un furto di dati, le organizzazioni dovrebbero fare della sicurezza dei dati critici e personali una priorità assoluta.

Guarda, guarda, guarda

Oltre a implementare strutture di sicurezza efficaci, i datori di lavoro fanno bene a sensibilizzare il personale sulla sicurezza dei dati. Per gli hacker che vogliono impossessarsi dei dati aziendali, è spesso più promettente condurre i loro attacchi attraverso i dipendenti invece che attraverso il firewall ben protetto. I datori di lavoro dovrebbero quindi sensibilizzare i propri dipendenti sul tema dell'"ingegneria sociale". Si tratta di attacchi manipolativi che possono assumere diverse forme, il che rappresenta più o meno l'inganno della sicurezza informatica. Ad esempio, i criminali utilizzano false identità per richiedere le password o per raccogliere informazioni con le quali possono resettare le password. Le e-mail di phishing personalizzate sono le più diffuse. Una di queste e-mail ha recentemente danneggiato la rete del Bundestag tedesco a tal punto che è stato necessario ripristinarla con un costo di milioni e spegnerla per diversi giorni. L'hacker invia un'e-mail dall'aspetto credibile, possibilmente a un gran numero di account di posta elettronica. Se anche un solo membro del personale clicca sul link insidioso in esso contenuto, l'attaccante ottiene l'accesso alla rete.

Esiste una serie di precauzioni che le aziende e i dipendenti possono adottare per proteggersi da questi attacchi. La regola numero uno per i dipendenti è quella di stare all'erta. Devono mettere in discussione qualsiasi e-mail inaspettata in arrivo con allegati o link. Se il contenuto sembra troppo bello per essere vero, è probabile che lo sia.

Fiducia zero

Le aziende che vogliono proteggersi dallo scenario peggiore devono capire che, in linea di principio, chiunque e qualsiasi cosa può rappresentare una minaccia. Non si tratta di paranoia, ma di tenere conto del fatto che i criminali hanno interessi finanziari tangibili nei dati e sfrutteranno qualsiasi lacuna o vulnerabilità che si presenti.

In questo contesto, qualsiasi hardware o software utilizzato rappresenta una potenziale porta d'accesso per gli hacker. Le aziende possono implementare un ambiente a fiducia zero tecnicamente implementando un firewall. Viene abolito l'atteggiamento prevalente secondo cui le azioni sono di solito degne di fiducia. Ogni azione viene esaminata con lo stesso livello di sospetto, indipendentemente da chi la compie. Le organizzazioni devono garantire che nessun dispositivo utilizzato dai dipendenti possa accedere a parti critiche della rete o a dati sensibili senza essere individuato. Se si scopre un'operazione di questo tipo, è necessario indagare a fondo per porvi rimedio.

Semplici precauzioni per la salvaguardia

L'opinione pubblica associa il furto di dati soprattutto agli attacchi alle grandi organizzazioni e ai governi. Tuttavia, ciò non significa che solo questi ultimi possano essere il bersaglio di un attacco hacker. Molte piccole e medie imprese dispongono di piani e documenti di grande interesse e valore per i concorrenti o i partner negoziali in patria e all'estero. Molte piccole aziende conservano le informazioni delle grandi società per elaborare i loro ordini. E anche le più piccole start-up digitali con pochi dipendenti spesso hanno già memorizzato migliaia di dati di carte di credito. Le aziende di tutte le dimensioni hanno quindi alcune semplici precauzioni da adottare per proteggere la propria rete:

  • essere sospettosi e informarsi sulle potenziali minacce alla sicurezza: Il software di sicurezza è il più importante livello di difesa contro gli attacchi. Ma anche il personale può dare un contributo prezioso interrogando e, se necessario, segnalando eventuali episodi sospetti sul web o nella propria casella di posta elettronica.
  • Impostare un ambiente a fiducia zero: Diventa molto più difficile per gli hacker penetrare nel sistema e nascondersi se i processi rilevanti vengono controllati meticolosamente come al microscopio, indipendentemente dall'utente che li ha avviati.
  • Budget per la sicurezza informatica: invece di pagare riparazioni, multe, spese legali e misure di comunicazione dopo un furto di dati, le aziende dovrebbero evitare che ciò accada con una frazione di quella cifra. È necessario assicurarsi di disporre dell'hardware e del software necessari per rendere più difficile il furto di dati e per evitare che si verifichi. Le cifre riportate sopra dal Ponemon Institute possono aiutare a quantificare il rischio e a determinarne l'importo.

Autore: Wieland Alge, Vicepresidente e Direttore generale EMEA di Barracuda Networks

(Visitata 37 volte, 1 visita oggi)

Altri articoli sull'argomento

Sicheres Datenverbundnetz Plus (SDVN+): Neuplanung der Erschliessung der Kantonsstandorte lanciert

Beirat Digitale Schweiz: Austausch zur Regulierung von künstlicher Intelligenz

Bundesrat veröffentlicht Bericht zur Bekämpfung der Cyberkriminalität in der Schweiz

NOTIZIE SULLA SICUREZZA

Bleiben Sie informiert über aktuelle Sicherheitsthemen – praxisnah und zuverlässig. Erhalten Sie exklusive Inhalte direkt in Ihren E-Mail-Posteingang. Verpassen Sie keine Updates.

Jetzt anmelden!
anmelden
È possibile annullare l'iscrizione in qualsiasi momento!
chiudere il link