Quante volte abbiamo sentito, a proposito degli attacchi informatici, di come la prevenzione sia fondamentale per prevenire danni economici consistenti a imprese e istituzioni. Sinora, però, abbiamo soltanto letto di singoli casi di attacchi e conseguenze, senza che qualcuno si prendesse la briga di spiegare in maniera analitica l’impatto economico delle violazioni informatiche.
Questo esercizio è tentato dal Data Breach Investigations di Verizon 2015, che ha preso in considerazione dei numeri reali, ossia 200 richieste di risarcimento assicurativo per danni causati da attacchi informatici.
Più che ad arrivare a una vera e propria media, lo studio evidenzia come il costo di ciascun record (struttura dati) sottratto sia direttamente influenzato dal tipo di dato (il furto di dati bancari, per esempio, è destinato ad avere un tipo di impatto più elevato) e dal numero totale di record compromessi.
Ad esempio il costo di una violazione che coinvolge 10 milioni di record potrà essere compreso tra i 2,1 e i 5,2 milioni di dollari (nel 95% dei casi) e, a seconda delle circostanze e del tipo di dato sottratto, potrebbe salire fino a 73,9 milioni di dollari. Per le violazioni che coinvolgono 100 milioni di record il costo potrà rientrare in un intervallo che spazia tra i 5 e i 15,6 milioni di dollari (nel 95% dei casi), ma potrebbe anche arrivare a 199 milioni di dollari.
A parte i numeri e gli esempi, l’aspetto più significativo messo in luce dagli esperti di Verizon è che, anche in presenza di questo range piuttosto elevato, raramente, o forse mai, risulta meno costoso subire una violazione piuttosto che predisporre le difese necessarie. Difese che, a dire il vero, potrebbero in teoria essere abbastanza efficaci, perché, se è vero che gli attacchi informatici stiano diventando sempre più sofisticati, lo studio mette in luce come molti criminali si affidino ancora a tecniche conosciute da oltre un decennio come il phishing e l’hacking.
Più nel dettaglio, il report Verizon ha messo in luce come la maggior parte (96%) dei circa 80.000 incidenti analizzati quest’anno sia legata ad appena nove schemi di attacco.
Si tratta dunque di: errori vari come l’invio di email a destinatari sbagliati; crimeware (malware che punta al controllo dei sistemi); azioni di personale interno o utilizzo improprio di privilegi e autorizzazioni; perdite o furti fisici; attacchi aWeb app; attacchi Denial of Service; cyberspionaggio; intrusioni nei sistemi POS (Point-of-Sale); skimmer per carte di pagamento.
Il problema è che però, nonostante molte delle vulnerabilità siano note, in molti casi le aziende tendono a non fare nulla, tanto che persino le patch di sicurezza disponibili da tempo non vengono mai applicate. Dunque molti attacchi informatici potrebbero essere evitati con un approccio più vigile alla sicurezza informatica. Inoltre, lo studio conferma l’esistenza di un “deficit di rilevamento”: spesso passa molto tempo tra una violazione e la sua scoperta. Sfortunatamente però, nel 60% dei casi, gli autori degli attacchi sono in grado di compromettere il business aziendale nell’arco di pochi minuti.
«Continuiamo a osservare notevoli lacune nel modo in cui le aziende si difendono – ha affermato Mike Denning, Vice President of Global Security di Verizon Enterprise Solutions – . Anche se non esistono garanzie contro le violazioni, le aziende potrebbero gestire al meglio i rischi semplicemente prestando maggiore attenzione alle attività di base. Questo continua a essere il tema principale sulla base dei dati raccolti in oltre 10 anni per la serie dei nostri Data Breach Investigations Report».