È importante continuare a ricordare a individui e organizzazioni quanto sia importante imparare dalle violazioni salite agli onori della cronaca.
Infatti, fino a poco tempo fa, la privacy era considerata critica solo in ambito digitale, ma poiché l’integrazione con il mondo fisico è sempre più stretta, oggi diventa fondamentale non solo per proteggere l’identità digitale di un individuo o di un’azienda, ma anche evitare che sia compromessa la sicurezza dei cittadini. La privacy dovrebbe quindi essere parte integrante di tutte le decisioni aziendali e le organizzazioni dovrebbero incoraggiare tutta la loro forza lavoro – e non solo i team IT – a rivalutare il modo in cui proteggono e gestiscono i dati.
È ormai assodato che i dati sono la risorsa più preziosa al mondo e un bersaglio allettante per gli hacker. Il più delle volte gli aggressori sono alla ricerca di credenziali da utilizzare per introdursi in azienda e prendere di mira dati sensibili e preziosi, cercando di causare danni irreparabili in tutti i settori, sequestrando le credenziali di login dell’amministrazione e compromettendo dati, al fine di bloccare gli utenti e ottenere un riscatto. È uno scenario gravissimo, ma reale, che abbiamo visto accadere in molteplici settori.
Ad esempio, in ambito sanitario potrebbe anche comportare l’impossibilità per un medico di eseguire un’operazione salvavita a causa della mancata disponibilità della cartella clinica del paziente (o di una possibile corruzione dei dati in essa contenuti, che renderebbe le informazioni inaffidabili).
“Alcuni attacchi hacker hanno avuto successo e sarà così anche in futuro. Affrontarli e limitare la possibilità che gli attaccanti si introducano nelle infrastrutture critiche è imperativo al fine di salvaguardare la sicurezza nazionale. L’intrusione o la compromissione delle infrastrutture critiche di un paese, ad esempio, potrebbe comportare la perdita del controllo di servizi pubblici essenziali come gli ambiti delle utility, della sanità e del governo, rappresentando un grave rischio per la sicurezza pubblica. Per questo è importante fare un passo indietro per comprendere non solo il valore dei dati in nostro possesso, ma anche l’importanza di consentire l’accesso ai dati solo a persone e sistemi che ne hanno realmente bisogno,” sottolinea Massimo Carlotti, Presales Team Leader di CyberArk.
Ecco cinque mega breach da cui prendere spunto per imparare a proteggere meglio clienti, dipendenti, partner e servizi.
Mega breach #1: Equifax – 2017
Diversi guasti tecnici – tra cui un dispositivo per la scansione del traffico crittografato configurato in maniera errata e un’analisi automatica che non è stata in grado di identificare una versione vulnerabile di Apache Struts – hanno portato alla violazione che ha colpito 145 milioni di clienti negli Stati Uniti e 10 milioni di cittadini britannici.
Cosa imparare: avere una conoscenza almeno di base della sicurezza. Gli attacchi sono sempre più mirati, complessi e dannosi, ma è fondamentale non ignorare mai le basi delle buone prassi di sicurezza. Le patch devono essere applicate tempestivamente, i certificati di sicurezza devono essere aggiornati e così via.
Mega Breach #2: Uber– 2017
In quell’anno Uber ha dichiarato di aver subìto una violazione nel 2016 che aveva esposto online le informazioni personali di 57 milioni di utenti, tra autisti e clienti.
Cosa imparare: non archiviare codici in un database accessibile al pubblico. I dati Uber sono stati esposti perché le chiavi di accesso AWS erano state incorporate nel codice archiviato in un repository accessibile da un fornitore esterno. È un chiaro esempio che nessun archivio di codici è un luogo sicuro per il salvataggio delle credenziali. In particolare, è necessario ricordare che le terze parti son sono all’interno della nostra supply chain e potrebbero venire attaccati perché “anello debole” della catena.
Mega Breach #3: Facebook Cambridge Analytica – 2018
Cambridge Analytica ha raccolto i dati dei profili Facebook di milioni di persone senza il loro consenso e li ha utilizzati per scopi pubblicitari a livello politico. Lo scandalo è scoppiato a marzo 2018 con la soffiata di un informatore e Facebook ha ricevuto una multa di 500.000 sterline (663.000 dollari), cifra massima consentita al momento della violazione.
Cosa imparare – proteggere i dati degli utenti (o pagare). I legislatori sostengono che Facebook “ha violato la legge non salvaguardando le informazioni delle persone” – e ne ha subìto le conseguenze. Ora il governo degli Stati Uniti sta esercitando ulteriori pressioni su Facebook per fermare la diffusione di notizie false, l’interferenza straniera nelle elezioni e l’incitamento all’odio (al fine di evitare altre multe, anche più salate). Più in generale, le aziende sono responsabili (a diversi livelli e titolo) dei dati che conservano. Queste responsabilità devono essere note e gestite.
Mega Breach #4: Ecuador – 2019
I dati relativi a circa 17 milioni di cittadini ecuadoregni, tra cui 6,7 milioni di bambini, sono stati violati a causa di una vulnerabilità su un server AWS Elasticearch non protetto, sul quale l’Ecuador memorizzava parte dei propri dati. Un server Elasticsearch simile ha esposto i dati degli elettori di circa 14,3 milioni di persone in Cile, circa l’80% della sua popolazione.
Cosa imparare – aderire al modello di responsabilità condivisa. La maggior parte dei cloud provider opera secondo un modello di responsabilità condivisa, in cui il fornitore gestisce la sicurezza fino a un certo punto, superato il quale diventa responsabilità di chi utilizza il servizio. È fondamentale far evolvere le strategie di sicurezza cloud per proteggersi in modo proattivo dalle minacce emergenti e rafforzare la fiducia degli utenti che si affidano al cloud.
Mega Breach #5: Desjardins – 2019
La violazione dei dati che ha fatto trapelare informazioni sui 2,9 milioni di individui non è stata causata da un attacco esterno, ma da una persona interna malintenzionata: qualcuno all’interno del reparto IT ha deciso di rubare informazioni protette e riservate dal luogo di lavoro.
Cosa imparare – essere proattivi nell’identificare comportamenti insoliti/non autorizzati. Identificare attività pericolose da parte di risorse interne può essere più difficile, soprattutto se l’utente dispone di diritti di accesso privilegiati. Per questo, dotarsi di una soluzione per monitorare le attività insolite e non autorizzate, in grado di adottare misure di rimedio automatico in caso di necessità, può contribuire a ridurre il tempo necessario per fermare un attacco e ridurre al minimo l’esposizione dei dati. Questa violazione dimostra che una strategia di protezione che includa la sicurezza degli accessi privilegiati, l’autenticazione multifattore ed il rilevamento di comportamenti anomali grazie al monitoraggio delle attività del database non è mai stata così importante.
