Data Breach, dall'errore umano al problema reputazionale

La violazione dei dati, indicata spesso con il termine Data Breach, costituisce un fenomeno sempre più preoccupante, non solo per la sua diffusione e per i problemi legati alla privacy, ma anche per gli effetti che essa produce o può produrre sulle vittime e sulle organizzazioni coinvolte.

Dal punto di vista dell’andamento basta visionare il rapporto di Verizon pubblicato nei primi mesi del 2015 (Data Breach Investigation Report, DBIR) per rendersi conto delle tendenze. Il rapporto, che ha analizzato circa 80.000 incidenti di sicurezza e confermato 2.122 data breach, ha evidenziato, tra i vari risultati, la crescita del fenomeno del cyberspionaggio. Analogamente, è stato riconfermato l’ampio utilizzo da parte dei cybercriminali della tecnica del phishing: il dato fa riflettere dal momento che alcune minacce informatiche sono all’attenzione degli esperti da diversi anni e numerose sono le campagne di sensibilizzazione e di informazione sulla tematica.

Va da sé che, indipendentemente dagli schemi di attacco utilizzati dai criminali, la messa in campo di misure d’intervento non può ritenersi efficace (o comunque pro durre effetti a lungo termine) se non si coinvolgono le persone che interagiscono con i sistemi informatici. In poche parole: se è vero che gli aggiornamenti dei sistemi sono in grado di bloccare le intrusioni e, dunque, la sottrazione dei dati, è altrettanto vero che se tali aggiornamenti non vengono poi concretamente realizzati da parte del personale, viene meno l’efficacia delle misure di sicurezza individuate. Inoltre, è noto che alcuni errori umani (vedi anche il semplice invio ad un indirizzo sbagliato) possono creare delle vulnerabilità pronte ad essere sfruttate dai criminali.

Su tali aspetti va organizzata un’intensa attività di awareness in grado di condurre a risultati concreti. Risultati che è possibile ottenere a condizione che l’attività di sviluppo di consapevolezza venga effettuata con metodologie e strumenti idonei allo scopo. Ad esempio, organizzare aule formative e pensare di ottenere un cambio di comportamento umano mediante un solo intervento, per giunta unicamente con lezioni di tipo tradizionale, difficilmente permette di raggiungere l’obiettivo auspicato.

Rispetto al fenomeno della violazione dei dati, occorre tenere conto inoltre di altre problematiche. Alcune sono relative alla reputazione delle vittime, i cui dati sono esposti al mondo web. Altre fanno riferimento alla reputazione delle organizzazioni che, nell’offrire prodotti e servizi, hanno il dovere di tutelare la privacy dei propri clienti.

Purtroppo, di episodi di violazione dei dati andati a buon fine ce ne sono diversi, alcuni dei quali in grado di destare clamore e forti preoccupazioni soprattutto per la natura dei servizi offerti.

Si pensi, ad esempio, al caso dell’azienda Hacking Team, ampiamente trattato dalla stampa nazionale e internazionale. L’azienda italiana, specializzata nello sviluppo e gestione di software per difendere dagli hacker computer e smartphone, ha subito nel luglio del 2015 la violazione del suo profilo Twitter, usato poi per diffondere informazioni e documenti riservati della società.

Altro esempio recente è la violazione dei dati realizzata ai danni del sito della società canadese Ashley Madison da un gruppo di hacker, Impact Team, a causa della quale una quantità considerevole di dati sensibili di utenti iscritti al sito sono stati pubblicati on line. Trattandosi di una piattaforma dedicata agli incontri extraconiugali, è facile immaginare le conseguenze per la vita privata degli utenti. I dati resi pubblici comprendono i nomi degli iscritti (anche se in molti casi gli stessi si sono registrati con un altro nome), indirizzi email, registrazioni di conversazioni, dati di carte di credito.

Al di là della vicenda e delle rivendicazioni del gruppo hacker, va da sé che la pubblicazione di materiale personale crea comunque un problema anche di tipo reputazionale, dal momento che vengono diffuse informazioni riservate. In questo caso, poi, estremamente personali e delicate, visto che le informazioni rese pubbliche hanno riguardato anche le fantasie sessuali degli iscritti al sito.

Da non sottovalutare inoltre le reazioni degli stessi utenti alla notizia della divulgazione dei propri dati. A livello investigativo, un portavoce della polizia di Toronto ha ipotizzato un collegamento, da verificare nel corso dello sviluppo delle indagini, tra la diffusione delle informazioni personali e il suicidio di tre persone iscritte alla piattaforma. Relativamente alla vicenda, si legge anche che due studi legali canadesi hanno intentato una class action da 578 milioni di dollari contro il sito.

Tuttavia nel caso della violazione dei dati, il problema reputazionale riguarda anche le aziende produttrici di servizi, per le quali un incidente di questo tipo può condurre a conseguenze ben più gravi di quelle immediate, spesso identificate con le sole perdite economiche. Un effetto potrebbe essere quello della perdita di fiducia del cliente nell’organizzazione dalla quale ha acquistato il servizio e, magari, la decisione di rivolgersi ad un concorrente. La gestione efficace dell’incidente, soprattutto sotto il profilo comunicativo, diventa cruciale per il recupero della situazione e il mantenimento della fiducia del cliente.

Dal punto di vista di una pianificazione delle attività di prevenzione in materia di sicurezza dei dati, vanno dunque considerati anche gli aspetti legati alla reputazione.

La sicurezza rappresenta ormai uno standard di qualità per le imprese; in un contesto di connessione globale e di continua immissione di dati personali, il rischio di violazioni non può essere assolutamente trascurato, né dagli utenti né dalle imprese che gestiscono sempre più le loro attività commerciali on line.

Il vero problema, purtroppo, è che oggi non si ha più il controllo delle informazioni, soprattutto di quelle personali. Ci si iscrive ad un sito, si inviano dati via web, documenti di identità scannerizzati, si accettano le condizioni di utilizzo del servizio perché altrimenti esso non viene concesso. Ma cosa succede in quella rete globale che ha ormai inglobato tutto e tutti, anche le nostre identità?

Certamente occorre rivedere le priorità e le strategie della sicurezza, ma una doverosa riflessione va fatta anche su un circolo vizioso dal quale è difficile uscire, ovvero: in Rete ci si deve stare perché altrimenti si è tagliati fuori da un mondo di relazioni e di opportunità; ma più siamo connessi, più siamo esposti.

La difficoltà di rinunciare alle proprie abitudini costituirà la principale vulnerabilità di cui approfitteranno i criminali.