Data Breach una questione (anche) di consapevolezza
Per prima cosa è fondamentale dare un’occhiata a quanto avvenuto l’anno scorso. Oltre alle difficoltà già presenti, il 2020 è stato un anno orribile dal lato “data protection” alla luce del numero record di furti di credenziali e sottrazioni di informazioni personali.
Il numero complessivo fa tremare i polsi: 20 miliardi di record sottratti nel solo 2020, con un incremento del 66% rispetto al 2019. Incredibilmente, si tratta di un aumento di 9 volte rispetto al valore “basso” del 2018, in cui erano stati sottratti (solo) 2,3 miliardi di record.
Questo trend sembra indicare la presenza di una curva esponenziale.
Fra i dati sottratti possiamo trovare nomi utente, password, numeri di carte di credito, dettagli su conti bancari, informazioni personali e altri dati sensibili. Gli aggressori sfruttano questi ritrovamenti lanciare attacchi di social engineering o costruire attacchi più complessi.
Nel solo primo trimestre del 2020, il governo olandese è riuscito a perdere un hard drive contenente dati confidenziali relativi a migliaia di cittadini. Nello stesso periodo, il governo britannico ha rivelato dati relativi a 28 milioni di minorenni a bookmaker, mentre Microsoft si è vista sottrarre 250 milioni di record del proprio supporto clienti (fra cui posizione geografica dei clienti, indirizzi IP e altre informazioni private).
Entro aprile, Zoom aveva perso 500.000 password, proprio all’inizio del boom del lavoro da remoto su scala globale. Nel secondo trimestre, Oracle aveva anche rivelato involontariamente miliardi di data point relativi al tracciamento online, conservando questi record in un server non sicuro.
Nel complesso, il 2020 si è chiuso con un totale di 1.114 eventi significativi con sottrazioni di dati. Fra le parti coinvolte diversi enti governativi e brand noti come Estee Lauder, Marriott, Nintendo e GoDaddy, caduti vittima di data breach molto importanti.
(Nella foto: Pierguido Iezzi, co-founder e Ceo di Swascan)
Perché le società e gli enti governativi continuano a perdere dati?
Questa tendenza di data breach è sorprendente, soprattutto se messa in controluce con gli oltre 120 miliardi di dollari investiti in totale nell’IT security nel periodo di riferimento (dati forniti da Gartner). La sola soluzione possibile a questa minaccia è nelle mani della consapevolezza degli utenti. I fatti ci dicono che le tecnologie esistenti non sono in grado, da sole, di sovvertire questo trend.
La causa più comune di questi data breach è legata alla compromissione di alcune misure di autenticazione, come ad esempio nome utente, password, token, API-key o similari.
Gli utenti continuano a registrarsi a siti terzi con i propri account email aziendali. In aggiunta va considerata la complessità della gestione degli account: secondo alcune stime, ogni impiegato avrebbe in media circa 200 account differenti.
Su una base di 1.000 lavoratori, si tratta di 200.000 password potenzialmente sconosciute o deboli, molte delle quali simili a quelle che sono state scelte a protezione di account aziendali.
Qualora questi account vengano compromessi, le credenziali ottenute potrebbero essere riciclate per ottenere accesso ad altri account aziendali e servizi correlati come VPN, utilizzando tecniche di attacco come il il credential stuffing o il password spraying.
Questo è stato proprio il caso di British Airways, che ha ricevuto una multa record di 20 milioni di sterline (a seguito di un’infrazione del GDPR) dopo che è stata rilevata la sottrazione di dati personali di 400.000 passeggeri, attraverso un VPN gateway cui era stato possibile accedere attraverso un account compromesso.
Molte grandi organizzazioni sfruttano tecnologie preventive per scongiurare il data leaking ma non riescono in molti casi a proteggersi dalla perdita di record relativi a password e nomi utente. Questo dimostra il bisogno apparente di un nuovo approccio: un ibrido di controlli automatici ad alto contenuto tecnologico e uno slancio di consapevolezza degli utenti al fine di garantire migliori standard di protezione degli account.
Come infondere consapevolezza negli utenti? È compito delle aziende dare gli strumenti ai propri dipendenti, affinché passi un messaggio fondamentale: nessun account è a prova di bomba e tutti siamo potenzialmente attaccabili.
Per facilitare tale percorso, sarebbe auspicabile l’adozione di politiche di igiene digitale e password management su base aziendale, oltre a formazione mirata e regolare di tutto il personale – a tutti i livelli!
Attraverso l’utilizzo di utility per la gestione e la creazione delle password, è la strutturazione di procedure fisse, è possibile instillare nuove abitudini da zero. Questo al fine di evitare la ripetizione delle stesse password su più account o la creazione di password deboli (ovvero suscettibili ad attacchi brute force).
Sebbene tali investimenti nelle risorse umane non offrano promesse di scalabilità a differenza di software o altri strumenti tecnologici, rimangono una pietra miliare per la cybersecurity dei prossimi anni, anche alla luce del fatto che il lavoro da remoto e la granularità delle reti aziendali non sembrano destinati a cessare.
Il 2020 è stato un “brutto” campanello d’allarme, ma ciò non significa che non ci sia ancora spazio di manovra per raddrizzare la tendenza e invertire il trend.
La chiave la conosciamo: la consapevolezza!
Non abbassiamo la guardia!