Una Data Breach è un incidente di sicurezza in cui informazioni riservate sensibili e protette vengono copiate, trasmesse, visualizzate, rubate o utilizzate da una o più persone con accesso non autorizzato.
Le violazioni dei dati possono coinvolgere informazioni finanziarie come numeri di carte di credito o dettagli di conti bancari, informazioni sanitarie protette (PHI), informazioni di identificazione personale (PII), segreti commerciali o proprietà intellettuale. Altri termini per le violazioni dei dati includono divulgazione involontaria di informazioni, fuga di dati, fuga di cloud, perdita di informazioni o fuoriuscita di dati.
La maggior parte delle violazioni dei dati coinvolge dati non strutturati sovraesposti e vulnerabili come file, documenti e informazioni sensibili o informazioni personali o altre informazioni che sono oggetto di spionaggio aziendale.
Mentre la prima cosa a cui potresti pensare quando senti una violazione dei dati è un attacco informatico eseguito da criminali informatici, lo smaltimento incauto delle apparecchiature informatiche o un sistema mal configurato sono solo alcune delle cause comuni.
La criminalità informatica è un settore redditizio che continua a crescere. In parte ciò è dovuto alla natura distribuita di Internet e alla capacità dei criminali informatici di attaccare obiettivi al di fuori della loro giurisdizione, rendendo estremamente difficile la sorveglianza. Cercano informazioni di identificazione personale (PII) per rubare denaro, identità o vendere sul dark web.
Sfruttare le vulnerabilità del sistema: un exploit è un tipo di attacco informatico che sfrutta bug o vulnerabilità del software per ottenere l'accesso non autorizzato a un sistema o ai suoi dati. Le vulnerabilità vengono trovate sia dai criminali che dai ricercatori sulla sicurezza informatica ed è spesso una gara per vedere chi può trovarle per primo. I criminali informatici vogliono trovare le vulnerabilità per sfruttare e installare malware o ransomware come WannaCry. I ricercatori vogliono trovare e segnalare le vulnerabilità ai produttori di hardware e software per farle riparare. I sistemi operativi, i browser Internet e le applicazioni come Microsoft Office sono tutti obiettivi di potenziali exploit. I criminali informatici possono persino raggruppare più exploit in kit di exploit automatizzati per rendere semplice ai criminali privi di conoscenze tecniche sfruttare le vulnerabilità comuni.
SQL injection (SQLI): una SQL injection è una forma di attacco informatico che sfrutta un punto debole in un database SQL di un sito Web non sicuro per ottenere che il sito Web dia accesso alle informazioni nel database senza accesso autorizzato. Gli attacchi SQLI non sono sofisticati e richiedono conoscenze tecniche minime. Come i kit di exploit automatizzati, i criminali informatici spesso automatizzano le SQL injection.
Spyware: lo spyware è un malware che infetta il computer o la rete per sottrarre informazioni personali, utilizzo di Internet o qualsiasi altro dato sensibile che può acquisire. È possibile installare spyware scaricando un allegato di posta elettronica o tramite quella che sembra un'applicazione innocua (bundleware). In alternativa, è possibile installare uno spyware sul computer come infezione secondaria da un cavallo di Troia. Una volta installato lo spyware, tutti i tuoi dati vengono rispediti ai server di comando e controllo gestiti dai criminali informatici.
Phishing: gli attacchi di phishing sono una forma di ingegneria sociale che mira a manipolare le emozioni o indurti a rivelare informazioni sensibili come nomi utente o password. Un tipico attacco di phishing è un'e-mail contraffatta (falsa) che sembra provenire dal CEO dell'azienda per cui lavori. L'e-mail conterrà un linguaggio aggressivo o esigente e richiederà un'azione come accedere a una pagina Web, verificare un pagamento o effettuare un acquisto. Fare clic su qualsiasi collegamento nell'e-mail o scaricare eventuali allegati potrebbe comportare il furto delle credenziali di accesso o l'installazione di spyware in un attacco malware come menzionato sopra. Anche gli SMS e gli attacchi ai social media stanno diventando sempre più comuni. Un altro esempio è offrire un controllo del credito gratuito per provare ad accedere alle informazioni di identificazione personale (PII).
Password non sicure: password facili da indovinare, come parole del dizionario o password comuni, consentono ai criminali informatici di accedere facilmente a informazioni sensibili. La tua organizzazione dovrebbe applicare password sicure e autenticazione a più fattori per tutti i sistemi che contengono informazioni sensibili. Per saperne di più su cosa rende sicura una password, consulta il nostro elenco di controllo per la sicurezza delle password.
Controlli di accesso interrotti o configurati in modo errato: anche le migliori password e sicurezza informatica possono essere annullate da una configurazione errata. Ad esempio, la tua organizzazione potrebbe applicare password sicure e autenticazione a due fattori, ma avere un bucket S3 configurato in modo errato che è aperto a chiunque su Internet senza password. Controlla le tue autorizzazioni S3 o lo farà qualcun altro. Se non sei protetto in base alla progettazione, un criminale informatico che utilizza alcune ricerche su Google potrebbe trovare cartelle mal configurate e rubare dati. Immagina di avere una casa con il miglior sistema di sicurezza e una finestra aperta. Stai chiedendo un attacco informatico.
Furto fisico: i criminali possono rubare il tuo computer, smartphone o disco rigido per ottenere l'accesso ai tuoi dati sensibili che vengono archiviati non crittografati.
Violazioni di fornitori di terze parti: i criminali possono prendere di mira partner commerciali o fornitori di servizi di terze parti per ottenere l'accesso a organizzazioni di grandi dimensioni che potrebbero disporre internamente di standard di sicurezza informatica sofisticati ma con un framework di gestione del rischio di terze parti scadente.
Molti paesi hanno approvato leggi sulla notifica delle violazioni dei dati, che richiedono alle aziende di informare i clienti quando si verificano e porre rimedio.
Le violazioni dei dati possono comportare il furto di identità (come nomi completi, numeri di previdenza sociale e date di nascita), perdita di informazioni sensibili (rapporti di credito o altro monitoraggio del credito) o altri dati sensibili (numeri di telefono, credenziali di social media).
È difficile ottenere informazioni sui costi diretti e indiretti di una scarsa sicurezza dei dati che si traduce in una violazione dei dati. E può sembrare che nelle notizie compaiano spesso storie di violazioni dei dati di massa, probabilmente a causa dei nuovi requisiti di notifica della violazione dei dati.
Ciò non significa che il danno alla reputazione anche di una piccola violazione dei dati contenente dati sensibili degli utenti stia diminuendo. Semmai, l'impatto sulla reputazione delle violazioni dei dati è in aumento.
Questo, insieme a una maggiore esternalizzazione delle funzioni aziendali principali all'interno e all'esterno dei servizi finanziari, ha aumentato la necessità di ogni organizzazione di gestire il rischio di sicurezza informatica e la necessità di quadri di gestione del rischio di terze parti, valutazioni del rischio di sicurezza informatica e una migliore comprensione organizzativa della sicurezza delle informazioni.
La pianificazione di potenziali violazioni dei dati fa ora parte della strategia di gestione del rischio delle informazioni di qualsiasi buona organizzazione devono istruire i propri dipendenti sulle differenze tra sicurezza informatica e sicurezza delle informazioni.
Man mano che la tendenza verso l'outsourcing continua e più informazioni si spostano nel mondo digitale, gli attacchi informatici diventeranno sempre più comuni.
Sì. Dopo una violazione dei dati, potresti voler assicurare ai tuoi clienti che non importa, i dati sono stati crittografati. Questo non è necessariamente vero ed ecco perché. Molte aziende utilizzano una forma base di crittografia delle password: hashing SHA1.
Una password crittografata con SHA1 sarà sempre hash nella stessa stringa di caratteri, rendendoli facili da indovinare. Ad esempio, "password1" avrà sempre un hash: "E38AD214943DAAD1D64C102FAEC29DE4AFE9DA3D".
Questo è un altro motivo per cui l'utilizzo di una password debole è una cattiva idea. I criminali informatici possono controllare un elenco di password rubate e sottoposte ad hashing rispetto a un elenco di password con hash conosciute e decrittografare facilmente la password.
A seconda del tipo di dati e del loro valore, i dati rubati possono finire in una varietà di luoghi e usi. Le informazioni di identificazione personale (PII) di solito finiscono sul dark web per la vendita. Il dark web non è indicizzato dai motori di ricerca ed è abituato dai criminali per il traffico di merci illegali come droghe, pistole, pornografia e dati personali. Esistono mercati specializzati nella vendita di grandi quantità di informazioni personali raccolte da varie violazioni dei dati, note e sconosciute.
Anche se modifichi la tua password dopo una violazione dei dati, i criminali informatici spesso utilizzano le vecchie credenziali di accesso per indurti a pensare che l'account sia stato hackerato e utilizzano metodi di ingegneria sociale come il phishing per ottenere l'accesso alle nuove credenziali di accesso.
Se riutilizzi la tua password su più siti, ti esponi a un pericolo perché una violazione dei dati su uno dei siti che utilizzi potrebbe compromettere altri account. I criminali informatici utilizzano il tuo accesso rubato da un sito per hackerare il tuo account su un altro sito, questo è un attacco informatico noto come credential stuffing. I nomi utente e le password ottenuti da una violazione dei dati verranno utilizzati automaticamente per inviare richieste di accesso ad altri siti popolari.
Cosa viene mirato nelle violazioni dei dati?
Sebbene una violazione dei dati possa essere il risultato di un errore innocente, è possibile un danno reale se la persona con accesso non autorizzato ruba e vende informazioni di identificazione personale (PII) o dati intellettuali aziendali per guadagno finanziario o per causare danni.
I criminali dannosi tendono a seguire un modello di base: prendere di mira un'organizzazione per una violazione richiede una pianificazione. Ricercano le loro vittime per scoprire dove si trovano le vulnerabilità, come aggiornamenti mancanti o non riusciti e la suscettibilità dei dipendenti alle campagne di phishing.
La prevenzione della violazione dei dati deve includere tutti a tutti i livelli, dagli utenti finali al personale IT e tutte le persone intermedie.
Ogni persona che interagisce con un sistema può essere una potenziale vulnerabilità. Anche i bambini piccoli con un tablet sulla rete domestica possono essere un rischio.
Di seguito alcune best practices per evitare una violazione dei dati:
- Applicazione di patch e aggiornamento del software non appena le opzioni sono disponibili.
- Crittografia di alto livello per dati sensibili.
- Aggiornamento dei dispositivi quando il software non è più supportato dal produttore.
- Applicazione di criteri di sicurezza BYOD, come richiedere a tutti i dispositivi di utilizzare un servizio VPN di livello aziendale e protezione antivirus.
- Applicazione di credenziali solide e autenticazione a più fattori per incoraggiare migliori pratiche di sicurezza informatica degli utenti. Incoraggiare gli utenti a iniziare a utilizzare un gestore di password può aiutare.
- Educare i dipendenti sulle migliori pratiche di sicurezza e sui modi per evitare attacchi di ingegneria sociale.