26 miliardi di record e 12 terabyte di dati: sono i numeri di “Mother of all breaches” (MOAB), ovvero la recente violazione di dati più vasta della storia, secondo quando risulta agli specialisti di Cybernews e al ricercatore di sicurezza informatica Bob Dyachenko. I dati frutto di violazioni hanno riguardato informazioni personali (nomi, indirizzi, numeri di telefono, ecc); credenziali d’accesso (nomi utente, indirizzi email e password); dati finanziari, incluse le carte di credito, dettagli dei conti bancari e registri delle transazioni; dati provenienti da social media come Tencent, Weibo, Twitter e MySpacei, Linkedin o da servizi di intrattenimento e giochi come Deezer, Zynga e MyFitnessPal. I più curiosi possono verificare a questo link se le loro mail o i numeri di telefono sono stati interessati da questa enorme violazione. La violazione non solo evidenzia la vulnerabilità di tante (grandi) aziende o entità governative globali, ma anche la preoccupazione rispetto al potenziale uso malevolo che si può fare di tali dati. Una volta appresa la situazione, la prima cosa da fare sarebbe quella di cambiare tutte le password dei servizi compromessi ma spesso accade che le comunicazioni delle aziende coinvolte siano tardive, causando di fatto molti danni. Ma un ruolo di primo piano lo ha anche la creazione di una cultura aziendale improntata sulla cybersecurity, investendo in formazione del personale e affidandosi ai giusti partner.
Una comunicazione tempestiva e trasparente per evitare guai maggiori: i casi Synlab e Regione Lazio
Facciamo due conti. Nella notte tra il 31 luglio e il primo agosto del 2021, il sistema sanitario della Regione Lazio ha tremato a causa di un grave data breach che ha compromesso la sicurezza dei dati personali di milioni di assistiti. Il copione è dei più banali: un ransomware che viola il portatile di un dipendente, con conseguenze devastanti: blocchi di ore e in alcuni casi di giorni alle prenotazioni, a pagamenti, ritiro dei referti e registrazione delle vaccinazioni. Le indagini condotte dal Garante per la Privacy hanno rivelato una serie di gravi violazioni da parte della Regione e di LAZIOcrea, la società responsabile dei sistemi informativi, in particolare per lavorare su sistemi obsoleti e senza le adeguate misure di sicurezza per prevenire e rilevare tempestivamente violazioni dei dati personali. Da un lato Regione Lazio ha mancato sul fronte della vigilanza verso LAZIOcrea, che a sua volta è stata accusata anche di non aver agito prontamente e aver lasciato propagare in maniera incontrollata il malware. Le sanzioni comminate sono ammontate a 271mila euro per LAZIOcrea, e a 120mila euro per la Regione Lazio. Una storia che insegna che la comunicazione nei data breach è la chiave. E la comunicazione deve essere immediata, precisa e trasparente. Per evitare danni più gravi.
Più recentemente il caso Synlab: circa 3 settimane dopo l’attacco hacker subito a metà aprile 2024 – nella notte tra il 14 e il 15 maggio 2024 – l’azienda sanitaria ha comunicato in una nota che l’organizzazione cybercriminale «Black Basta», responsabile dell’attacco, ha pubblicato nel dark web informazioni sottratte illecitamente, compresi documenti e dati personali. Una gestione della comunicazione del data breach davvero disastrosa: Synlab ha sempre dato la colpa di quello che è successo ad altri e inizialmente ha lasciato intendere che la cosa fosse sotto controllo. Invece stiamo parlando di 1,5 TB di dati sensibili rubati, tra cui informazioni sensibili come le analisi sanguigne o i risultati di approfondimenti diagnostici. Sul sito di Synlab ad aprile si parlava soltanto di un incidente informatico: dunque, probabilmente, o nessuno si è accorto che la situazione era così grave, immaginiamo perché non hanno fatto le dovute indagini, oppure non hanno comunicato il data breach in modo chiaro e corretto.
La “tassa sui dati” e tutti i modi per evitarla
Qualcuno la definisce la “tassa sui dati” e nel 2023 è ammontata a 1,78 miliardi di euro (+14% anno su anno) per le imprese europee. È il valore delle multe emesse dalle authority del Vecchio Continente per violazione del Gdpr, secondo l’ultimo “GDPR and Data Breach Survey” di DLA. In media sono state notificate 335 violazioni giornaliere dal 28 gennaio 2023 al 27 gennaio 2024, rispetto alle 328 durante lo stesso periodo dell’anno scorso. Ma è interessante anche il dato sulle notifiche di data breach, che nel 2022, dopo quattro anni consecutivi di crescita ha segnato un calo: 109.000 violazioni dei dati personali contro le 120.000 del 2021. Un cambiamento forse attribuibile a maggior cautela dei soggetti coinvolti a comunicare l’accaduto, per paura di indagini, sanzioni e richieste di risarcimento. Se così fosse sarebbe un grave errore. Perché comporterebbe l’assunzione di un ulteriore rischio, in termini reputazionali, anche più grave di quello economico che comporta una violazione dei dati.
E allora, se è fondamentale adottare potenti forme di cybersecurity e investire per adeguarle alle evoluzioni della tecnologia, ma anche valorizzare la formazione del personale che spesso è il punto di ingresso dei malware (anche banalmente attraverso l’email), è altrettanto importante per le aziende dotarsi di un piano di gestione della crisi con al centro un fattore chiave: una comunicazione trasparente, verso il garante ma anche verso ogni altro stakeholder. Un sistema di gestione della crisi da data breach è necessario per tutti, perché i data breach sono di fatto ineluttabili.
Una definizione: cos’è il data breach e quali sono gli obblighi per le imprese
Esiste in capo ai titolari del trattamento dei dati l’obbligo di comunicare entro 72 ore una violazione della sicurezza, il cosiddetto data breach. L’obbligo è contenuto nel Regolamento (UE) 2016/679, la famosa Gdpr, che lo prevede per ogni “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Sono violazioni, per esempio, l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati; il furto o la perdita di dispositivi informatici contenenti dati personali; la deliberata alterazione di dati personali; l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.; la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità; la divulgazione non autorizzata dei dati personali.
Quando questa violazione avviene è già troppo tardi, ma le 72 ore che seguono sono cruciali per cercare di limitare i danni. Bisogna rapidamente fare la Raccolta delle informazioni; l’Analisi delle segnalazioni e valutazioni dell’evento; la Notifica al Garante e ogni comunicazione agli interessati; la Registrazione e segnalazione nel registro dei data breach; e l’Analisi dei danni post violazione.
Nessuno è salvo: il data breach come norma
L’attacco hacker deve essere vissuto come ineluttabile. La maggior parte delle aziende ne è consapevole e si è dotata di strutture informatiche avanzate. Ma non basta. Siamo nell’era in cui la tecnologia evolve in maniera rapidissima e invenzioni dirompenti come AIGen possono abilitare nuove minacce informatiche rispetto a cui è difficile essere preparati.
I numeri dell’ultimo rapporto Clusit parlano chiaro. Nel 2023 sono stati analizzati 2.779 incidenti gravi a livello globale: un dato che restituisce una fotografia nettamente peggiorativa rispetto ai dodici mesi precedenti (+12%) e una parabola inesorabilmente ascendente. Mensilmente, è stata rilevata una media di 232 attacchi, con un picco massimo di 270 nel mese di aprile, che rappresenta anche il valore massimo misurato negli anni. Ma ciò che è peggio è che nell’81% dei casi la gravità degli attacchi è elevata o critica.
In questo contesto, il nostro Paese appare sempre più nel mirino dei cyber criminali: lo scorso anno in Italia è andato a segno l’11% degli attacchi gravi globali mappati dal Clusit (era il 7,6% nel 2022), per un totale di 310 attacchi, dato che marca una crescita del 65% rispetto al 2022. Oltre la metà degli attacchi – il 56% – ha avuto conseguenze di gravità critica o elevata. Con uno sguardo agli ultimi cinque anni, emerge inoltre che oltre il 47% degli attacchi totali censiti in Italia dal 2019 si è verificato nel 2023.
Le infrastrutture generalmente obsolete dell’Italia (siamo nella top ten al riguardo) sono come un invito ai cyber criminali. Il passaggio allo smart working ha inoltre aperto le porte a dati aziendali in maniera estensiva e non sicura, rendendo i dipendenti punti vulnerabili.
Per sconfiggere i più evoluti hacker IT ci vuole il controllo umano
La comunicazione diretta e puntuale nelle prime 72 ore della crisi diventa uno scudo contro la tempesta digitale. Il panico deve essere trasformato in una strategia lucida e precisa. Oltre che un modo per informare chi potrebbe limitare i danni agendo tempestivamente è proprio uno strumento finalizzato a difendere la reputazione aziendale. Gli hacker violano i dati per chiedere riscatti e quindi hanno ogni interesse a rendere noto il fatto in assenza del pagamento; pertanto, comunicando per primi li si mette in una posizione di debolezza. È necessario dunque innanzitutto mantenere la calma, e aver formato un team di persone che gestisca e sappia come muoversi tra rispetto della compliance e azioni efficaci.
Il proliferare dello smart working impone inoltre controlli aggiuntivi sui device che vengono dati in consegna a chi lavora da casa: ma più che sugli strumenti per cui è possibile creare un cordone di sicurezza simile a quello che c’è in azienda, in quanto anche in azienda il 90% dei bit prodotti viaggiano in cloud, ovvero in un non luogo virtuale, va prestata molta attenzione alla formazione.
A tutti i livelli: le professioni IT non si svolgono più nelle cantine con pc di dimensioni monstre e server proprietari, ma sono ruoli operativi a stretto contatto con il management e il management va istruito sulla necessità di farsi affiancare da un consulente esperto in cybersecurity. Bisogna investire in formazione sul corretto comportamento che il lavoratore from home deve tenere: la maggior parte degli attacchi vengono innescati da virus che entrano nella posta e si sostituiscono al legittimo proprietario comunicando con la controparte che viene hackerata perché non si accorge dell’inganno. La formazione deve fornire strumenti per riconoscere mail potenzialmente pericolose e focalizzarsi sulla modalità di trattamento di queste interazioni sospette, che vanno interrotte fino a una positiva verifica analogica dell’identità del mittente.
Bisogna investire in IT e in assicurazioni contro il rischio informatico. Sembra banale ma è necessario ricordarlo nel Paese del “si è sempre fatto così” e “a me non succede”, che porta gli investimenti a stazionare nell’intorno del 17,8% del Pil contro la media Europea del 21,9% (dati Istat) e la quota di assicurazione all’1,9% contro il 4.6% della media Ocse (dati Ivass-banca d’Italia). Ed è davvero ora di chiudere questi gap.
Si discuterà ampiamente di queste tematiche durante PrivacyWeek24 Privageddon – La battaglia dei regolamenti, che si terrà a Milano dal 27 al 31 maggio. Un evento in cui si cercherà di capire come cogliere le opportunità e fare buon uso dei nuovi strumenti a nostra disposizione, sapendo però anche gestire i rischi legati alla sicurezza dei dati e al rispetto di normative sempre più complesse e interconnesse tra loro.