I dati sono uno dei beni più preziosi per le aziende moderne, di conseguenza sono un bersaglio per i furti, ovvero l’acquisizione, copia o esfiltrazione non autorizzata di informazioni sensibili, generalmente memorizzate in formato digitale. Per ottenerle, i malintenzionati abusano dei privilegi che già possiedono o utilizzano vari altri mezzi per ottenere l’accesso a sistemi, reti o dispositivi di archiviazione digitale. I dati possono spaziare dalle credenziali degli utenti a dettagli finanziari personali e proprietà intellettuale. Aziende di tutte le dimensioni sono bersaglio di furto, e gli esempi non mancano.
Nel settembre 2023, i dati personali di 2.214 dipendenti della multinazionale dolciaria The Hershey Company sono stati rubati dopo un attacco di phishing. Nel gennaio 2024, la società di contabilità Framework Computer è stata vittima di un attacco. Un criminale si è spacciato per il CEO e ha convinto un dipendente preso di mira a condividere un foglio di calcolo con i dati dei clienti dell’azienda.
L’Italia non è immune a questo fenomeno, tutt’altro. Secondo il più recente report dell’Osservatorio Cyber di CRIF il nostro paese è uno dei più colpiti al mondo dal furto di dati personali. In particolare, è al 5° per furto di dati relativi all’account e-mail e al 15° per quelli delle carte di credito.
I ladri di dati mirano a trarre profitto finanziario, a interrompere le attività aziendali o a fare entrambe le cose rubando informazioni di alto valore. Le conseguenze di una loro violazione possono essere molto onerose per un’azienda e il loro costo è in costante aumento. Secondo una recente ricerca di Proxyrack sono gli Stati Uniti a registrare il costo più alto di un data breach, con poco più di 9 milioni di dollari per attacco, seguiti da Medio Oriente e Canada, dove il danno medio è rispettivamente di 6,4 e 5,9 milioni di dollari. In questa classifica, l’Italia si colloca in ottava posizione su scala mondiale, con un costo medio pari a 3,6 milioni di dollari.
Non tutte le violazioni comportano il furto dei dati, ma questo è certamente uno degli obiettivi principali di molti aggressori. Anche i gruppi ransomware hanno abbandonato la crittografia dei dati nei loro attacchi, optando invece per il furto di enormi quantità di informazioni, sfruttando il loro valore per costringere le aziende a pagare un riscatto.
Quindi, cosa possono fare le imprese per prevenirlo? È necessario adottare un approccio proattivo.
Chi sono i responsabili?
Per prevenire il furto di dati, è importante comprendere come la minaccia non sia rappresentata solo da malintenzionati provenienti dall’esterno dell’azienda. Anche figure ad essa collegata, come dipendenti, partner e fornitori con obiettivi malevoli, possono rubare i dati da file server protetti, database, applicazioni cloud e altre fonti. E disponendo dei giusti privilegi, questo può essere un gioco da ragazzi.
Gli obiettivi di un insider per il furto di dati possono essere svariati: la frode, la divulgazione di segreti commerciali a un concorrente per ottenere un guadagno finanziario o addirittura il sabotaggio aziendale. Per quanto riguarda le modalità di esfiltrazione dei dati, gli insider possono utilizzare diversi strumenti, dai supporti rimovibili alle e-mail personali, fino alle stampe fisiche.
Come avvengono i furti dati?
Vediamo ora alcuni metodi comuni che aggressori esterni potrebbero utilizzare per violare le difese di un’azienda e rubare i dati.
- I cybercriminali lo utilizzano per colpire gli utenti attraverso e-mail, messaggi di testo, telefonate e altre forme di comunicazione. Obiettivo principale di questo approccio è di indurre gli utenti a fare ciò che l’aggressore vuole che facciano, come condividere dati sensibili o fornire credenziali di accesso al sistema. (Inganno e manipolazione attraverso l’ingegneria sociale sono la chiave del successo del phishing).
- Malware. Un attaccante può installare segretamente un malware su una rete o sul computer di un utente per rubare dati o ottenere un accesso non autorizzato ad altri sistemi e applicazioni in cui risiedono dati sensibili. E-mail di phishing e applicazioni web illegittime sono esempi di strumenti utilizzati dagli aggressori per distribuire malware come spyware e keylogger.
- Attacchi Adversary-in-the-middle (AiTM). Si tratta di una forma di intercettazione e furto di dati in cui un cybercriminale intercetta i dati da un mittente a un destinatario e poi dal destinatario al mittente. Con questo approccio, può ottenere password, IP, messaggi privati e altre informazioni sensibili.
- Software non aggiornato o privo di patch. Gli aggressori sono sempre alla ricerca di vulnerabilità software non corrette da sfruttare. Questi punti deboli possono rappresentare una porta o un percorso che porta all’accesso non autorizzato a dati di grande valore.
- Reti non protette. Quando gli utenti accedono alle risorse aziendali attraverso reti non crittografate o scarsamente protette, come il Wi-Fi pubblico, possono inavvertitamente esporre i dati a chiè pronto a rubarli.
- Database o cloud storage mal configurati. I dati archiviati online possono essere esposti e causare accessi non autorizzati, se non configurati correttamente.
- Furto fisico. I malintenzionati possono sottrarre fisicamente dispositivi come laptop, smartphone o hard disk esterni per accedere ai dati archiviati. Anche la ricerca tra i documenti cestinati è un’opzione, se i ladri sono sufficientemente motivati da cercare tra gli scarti materiali o dispositivi che potrebbero contenere dati sensibili.
7 consigli per ridurre il rischio di furti di dati
Viste le numerose opportunità che i criminali informatici hanno di rubare i dati o di porre le basi per farlo, è chiaro che le aziende hanno bisogno di un approccio proattivo e strutturato su più livelli per prevenirlo. I sette consigli che seguono possono contribuire a ridurre l’esposizione di un’azienda ai ladri di dati, sia all’interno che all’esterno.
- Implementare misure di strong authentication. Questo include politiche più restrittive, come la richiesta di password complesse e la loro modifica regolare. Inoltre, ove possibile, utilizzare l’autenticazione a più fattori (MFA) per l’accesso a sistemi e applicazioni vitali.
- Usare la crittografia dei dati. È consigliabile criptare i dati sensibili dell’azienda, sia in transito che a riposo. In questo modo, anche in caso di accesso non autorizzato, le informazioni rubate rimarranno illeggibili per chi non dispone delle chiavi di decrittazione adeguate.
- Condurre regolarmente audit e analisi di vulnerabilità. Queste attività possono aiutare a identificare i potenziali punti deboli di sistemi e reti e ad affrontarli in modo proattivo. Gli audit di sicurezza possono anche contribuire a far emergere potenziali minacce interne che possono portare al furto o alla perdita di dati.
- Mantenere il software aggiornato. Assicurarsi che sistemi operativi, applicazioni software e soluzioni di sicurezza a abbiano le patch e gli aggiornamenti più recenti per risolvere le vulnerabilità note. Quando si trova una falla di sicurezza, non bisogna aspettare, è necessario applicare la correzione il prima possibile.
- Seguire il principio del minimo privilegio. Questo principio si basa sul concetto che sia possibile ridurre l’impatto potenziale di incidenti causali, attività dolose intenzionali o violazioni della sicurezza limitando i diritti di accesso degli utenti. Lo si ottiene concedendo a individui o sistemi i livelli minimi di accesso o di permessi necessari per svolgere le loro funzioni o compiti.
- Implementare soluzioni di Data Loss Prevention (DLP). Una piattaforma DLP può aiutare a monitorare e controllare il movimento dei dati sensibili in azienda. È possibile impostare policy formali per prevenire l’accesso non autorizzato o la trasmissione di informazioni riservate e farle rispettare. Molte delle principali soluzioni DLP si integrano anche con funzionalità di crittografia.
- Fornire una formazione mirata sulla cybersecurity. La formazione sulla sicurezza gioca un ruolo fondamentale nella prevenzione del furto di dati, con cui gli utenti impareranno a riconoscere e resistere ai tentativi di phishing e ad altre tecniche di social engineering. Possono anche imparare e applicare pratiche di password forti, segnalare attività sospette e molto altro ancora.
Ferdinando Mancini, Director Southern Europe Sales Engineering, Proofpoint
