Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

data breach violazioni e reputazione

Data Breach e violazioni: perché nascondere gli errori non protegge dal danno reputazionale

Olivia Terragni : 22 Dicembre 2024 18:18

Data breach, violazioni e reputazione: mai sottovalutare tutti i rischi. Annunciare una violazione della sicurezza adottando una risposta più proattiva, fa sì che utenti, clienti o consumatori possano ridurre la percezione del rischio e può persino far aumentare positivamente la valutazione pubblica di un’azienda. Del resto, l’approvazione pubblica che viaggia in rete è importante no? Discutiamone…

True Story: nel 2017 Unicredit subì un violazione dei suoi sistemi che interessò 3 milioni di dati. Tale incidente le costò una sanzione quantificabile in 2,8 milioni di euro, ma quando si trattò di trasparenza e reputazione Unicredit non ebbe dubbi, con un comunicato in data 26 luglio 2017 informò di avere subito un’intrusione informatica, ipotizzò l’accesso ad alcuni dati anagrafici e ai codici IBAN, trasmise il numero dei dati violati, comunicò di avere avviato un’indagine e di avere informato le autorità competenti, mettendo a disposizione un numero verde per i clienti che desiderassero maggiori informazioni e avvisò che le sue comunicazioni ai clienti, per ragioni di sicurezza, non sarebbero avvenute né per telefono né per mezzo della posta elettronica.

data breach violazioni reputazione unicredit


Unicredit è un esempio virtuoso – non sicuramente l’unico – in un arido deserto dove molti preferiscono mettere la testa sotto la sabbia. Succede infatti che mentre alcune aziende decidono di riconoscere i loro errori – o le loro “falle nella sicurezza” – e quindi di assumersi la propria responsabilità, altre preferiscono voltare le spalle e tenere tutto segreto, atteggiamento che oggi ha però molte conseguenze.

FINO AL 31 DICEMBRE, sconti estremi sui corsi Red Hot Cyber

Affrettati!

Fino al 31 dicembre potrai acquistare a prezzi scontati i nostri corsi cliccando sui seguenti coupon:

  • NIS2 : Network and Information system 2 scontato del 25%
  • Dark Web & Cyber Threat Intelligence scontato del 50%

    • Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Si pensi solo cosa è successo a Uber che ha ricevuto sanzioni da record (2018, 2023, 2024) per l’errore di non aver notificato in tempo ai suoi autisti di aver subito un incidente informatico che coinvolgeva i loro dati.

    uber violazione dati

    Aaron Swatrz: Cherish mistakes

    A proposito di errori, c’è un bel pezzo scritto da Aaron Swartz a riguardo (avete il link a wiki se non ricordate chi sia), scritto nel 2012, ma secondo me ancora molto attuale. Cherish Mistake è la storia di due organizzazioni no profit: da una parte odiano commettere errori, dall’altra c’è un atteggiamento molto diverso. Così Aaron Swartz lo descriveva: “Lo noti la prima volta che visiti il ​​loro sito web. Proprio nella barra di navigazione, in cima a ogni pagina, c’è un link con la scritta “Errori”. Cliccaci sopra e troverai un elenco di tutti gli errori che hanno commesso, a partire dal più orribilmente imbarazzante […] forniscono un resoconto notevole di tutti gli errori, sia cruciali che banali, che potresti ragionevolmente commettere quando inizi qualcosa di nuovo”. Ovviamente a nessuna delle due no profit piace commettere errori e “forse avere una pagina degli errori in cima al tuo sito web è decisamente troppo” ammise Aaron Swartz. Tuttavia tenere memoria degli errori aiuta a comprendere “come e quando cambia lo schema” per escogitare nuovi metodi per evitarli. Questo riguarda anche i dipendenti: se sono abbastanza responsabili non avranno paura di segnalare i loro errori rendendoli facilmente correggibili.

    Il trucco è affrontare l’errore, confessare cosa è andato storto e pensare a cosa puoi cambiare per evitare che accada di nuovo. Di solito promettere di non farlo di nuovo non è sufficiente: devi scavare nelle cause profonde e affrontarle _ Aaron Swartz

    Abbiamo due scelte: usare i nostri errori come un’opportunità per migliorare,o ignorare o nascondere gli errori che in un modo o nell’altro “continueranno a tormentarci […] Ci imbatteremo in loro ancora e ancora sotto diverse forme”. E questo è proprio il caso che ci presenta oggi il panorama del crimine informatico. Non c’è modo di sfuggirgli, non c’è modo di sapere se succederà ancora o meno, ma con tutta probabilità lo farà, soprattutto i criminali informatici sono più propensi ad attaccare ripetutamente quelle aziende che non denunciano gli incidenti. 

    I cambiamenti nel comportamento dei gruppi criminali rivelano che l’esfiltrazione dei dati operata da molti RaaS apre un panorama preoccupante circa le conseguenze del furto delle informazioni, che possono essere vendute per ulteriori attacchi. Al primo data breach – molto spesso nascosto a sua volta dal ransomware – ne seguirà un altro e se non ne seguirà un altro – avendo pagato il riscatto o meno – qualcuno comprerà o ruberà quelle informazioni per fare ancora più danno. Credete, nascondere un data breach non fa che peggiorare la situazione. 

    Mai sottovalutare i rischi 

    Di fronte ai pericoli uno struzzo nasconde la testa sotto terra: anche se il suo corpo è visibile alla preda, abbassa la testa cercando di mimetizzarsi con l’ambiente, nella speranza di non essere notato. Ancora, chi di noi da bambino, chiudendo gli occhi, non era convinto di essere all’improvviso diventato invisibile?

    data breach violazioni e reputazione

    Spesso le violazioni vengono offuscate dalle aziende per la paura che queste influiscano sui ricavi trimestrali, sul prezzo delle azioni, sulla fedeltà dei clienti, sulla reputazione del marchio, tuttavia non segnalare l’evento può comportare enormi battute d’arresto finanziarie, complicazioni legali e il rischio di danni maggiori alla reputazione. 

    Ed è vero, un incidente informatico – la cui causa deriva il più delle delle volte da un errore umano – colpisce in modo severo un’azienda. Spesso appena dopo si verifica un calo di ricavi, spesso la reputazione viene calcolata così, in base ai bilanci e non a torto: non si tratta più solo di un problema di immagine, è diventato, a tutti gli effetti. un vero e proprio rischio finanziario che si deve gestire, mappando e anticipando.  

    Poi cos’altro? Ha sì! Si potrebbe verificare anche qualche licenziamento – ed è anche per questo che spesso le cose vengono nascoste – perché, per noi, aggiustare la persona è sempre più importante che aggiustare la macchina, dimenticandoci che, spesse volte, il problema è nel sistema stesso.

    “È vero” evidenzia Swartz “a volte hai gli ingranaggi sbagliati e devi sostituirli, ma più spesso li stai semplicemente usando nel modo sbagliato. Quando c’è un problema, non dovresti arrabbiarti con gli ingranaggi, dovresti riparare la macchina”. Se la macchina non funziona quanti chilometri si potranno ancora percorrere? Soprattutto se si chiede di tenere nascosto un incidente agli stessi dipendenti, si chiede di fare qualcosa di non etico, per questo anche loro potrebbero perdere fiducia nei loro datori di lavoro. E anche questo fa parte della macchina.

    Politiche e procedure si, rappresentano in un certo modo dei blocchi alla creatività e al flusso imprenditoriale, ma senza di loro oggi si va fuori mercato. Se le violazioni non si possono fermare – anche con tutte le buone intenzioni – avere un piano aggiornato di comunicazione  per avvisare clienti e dipendenti non appena si verifica è davvero importante. Soprattutto se a causa di un ransomware tutto il sistema si blocca.

    Le violazioni di dati sono una minaccia per tutti

    Bene, stiamo per entrare nel 2025 ed ad oggi le violazioni di dati rappresentano veramente una minaccia per tutti: 

    • si verificano più frequentemente di quanto pensiamo e la sicurezza dei dati non ha a che fare solo con le banche o le strutture sanitarie, 
    • le violazioni di dati non accadono solo alle grandi imprese, quelle piccole e medie vengono colpite parecchio (e sì, sono più vulnerabili e meno capaci di proteggersi).

    Non starò a ricordare in cosa consistono i pericoli, ma brevemente, la compromissione di dati sensibili o finanziari e proprietà intellettuale sono in cima alla lista. Tuttavia  – mal comune mezzo gaudio –  è quasi impossibile per qualsiasi organizzazione essere immune agli attacchi.

    Chi però non adotta strategie, chi è convinto di non essere in possesso di dati sensibili, di non avere informazioni su eventuali carte di credito o simili dovrebbe iniziare a pensare di avere per lo meno dipendenti e fornitori e che i loro prodotti sono soggetti come gli altri a proprietà intellettuale, che i cattivi non vivono solo nelle grandi metropoli e che le porte aperte – come le password tenute in posti insicuri o computer aziendali utilizzati per fare shopping – sono un pericolo ovunque e per chiunque. E senza una pianificazione, un sistema ben organizzato, una collaborazione interna ed esterna più avanti si va, più la fortuna di non essere notati non basterà e non funzionerà.

    Senza addentrarmi nelle numerosissime regole del Garante, per il quale il diritto all’oblio non è un diritto assoluto e andrebbe quindi bilanciato con altri diritti basterebbe dire che oggi gli stessi consumatori – frustrati dallo stato della protezione dei dati da parte di molte aziende – non permettono più alle aziende di nascondersi, emettendo feedback, facendo whistleblowing e rivolgendosi al Garante. Questo riguarda soprattutto i giovani, quelli che faranno il mercato di domani, quelli sfiduciati dalla convinzione che le cose non miglioreranno, quelli convinti che ad un certo punto avranno sicuramente dei problemi, anche se spesso non sono consapevoli delle proprie responsabilità.  Quindi la reputazione di un brand è fondamentale, costruirla in modo solido è necessario.

    Data breach e violazioni dati: una risposta proattiva aumenta positivamente la reputazione di un’azienda

    Lo studio Security breaches and organization response strategy pubblicato sull’International Journal of Management dimostra come le strategie di risposta delle organizzazioni in seguito a un data breach o un incidente di violazione della sicurezza influenzino la valutazione della reputazione del brand e della situazione da parte dei consumatori (i quali spesso non attribuiscono lo stesso peso alle dimensioni del rischio) e come le organizzazioni abbiano molta più probabilità di mantenere la fiducia nel momento i cui decidono di essere trasparenti sugli attacchi informatici e proattive nel trovare soluzioni. Lo studio rivela tre fattori principali per mantenere la fiducia dei consumatori: 

    • il rischio percepito dai consumatori, 
    • la gravità della violazione
    • l’efficacia della risposta dell’organizzazione interessata. 

    L’ultimo punto si è rivelato il più importante di tutti ovvero: annunciare una violazione della sicurezza e adottando una risposta più proattiva le organizzazioni possono ridurre la percezione del rischio dei consumatori e persino aumentare positivamente la loro valutazione pubblica. Del resto, l’approvazione pubblica è importante no? Infine si, quel calo di ricavi che inorridisce così tanto appena dopo un incidente si può trasformare in esperienza, in un errore prezioso, in acquisizione di nuovi clienti che saranno consapevoli di come si sta affrontando un problema per mettere tutti più al sicuro e così li farà sentire.

    Questioni di equilibrio 

    Non so se tutti saranno d’accordo con ciò che valuto in questo articolo ma su una cosa tutti convergeranno: la trasparenza è un beneficio non solo per clienti e dipendenti di un’azienda ma per tutta la comunità e così anche per la Cyber Threat Intelligence costretta a vagare nelle paludi più oscure. Quale è il vero panorama? Io mi sono fatta qualche idea, leggendo anche i lavori di molti degli attuali ricercatori.

    Ogni mattina in Africa, come sorge il sole, una gazzella si sveglia e sa che dovrà correre più del leone o verrà uccisa. Ogni mattina in Africa, come sorge il sole, un leone si sveglia e sa che dovrà correre più della gazzella o morirà di fame. Ogni mattina in Africa, come sorge il sole, non importa che tu sia leone o gazzella, l’importante è che cominci a correre…

    Tecniche sempre più efficienti da parte dei criminali informatici insieme alla continua proliferazione dei gruppi ransomware rappresentano una sfida per il nostro Paese insieme alla necessità di un approccio innovativo, sia per facilitare la Cyber Threat Intelligence nell’analisi delle somiglianze delle tattiche di attacco, sia per facilitare le strategie di difesa. L’analisi di somiglianze delle tecniche di attacco possono venire in aiuto – anche se spesso mostrano notevoli distinzioni – ma nel monitoraggio importa soprattutto comprendere il comportamento specifico dell’attaccante: parte significativa in questo ultimo caso è la collaborazione delle vittime. 

    Lo scorso anno a chiusura del 2024 ho voluto parlare di provocazioni ed eccone un’altra per il 2025, divisa in 8 punti che – a grandi linee – descrivono sommariamente la situazione a cui ci troviamo di fronte e che richiede un grande impegno e una grande collaborazione (alleati) da parte di tutti per combattere un mostro a mille teste, particolarmente arguto e cattivo: 

    1. tendiamo a farci un’idea precisa da dove venga un gruppo criminale, ma spesso incorriamo in errori di attribuzione: i gruppi operano da più paesi contemporaneamente e si spostano spesso, i loro crimini variano da paese a paese, i loro affiliati operano dietro nomi falsi, 
    2. spesso un paese di provenienza viene identificato in base alla lingua utilizzata: pensiamo però alla lingua russa che è altresì usata sia in paesi come Bielorussia, Kirghizistan e Kazakistan, sia nell’Europa orientale, nei Balcani, nell’Europa occidentale, negli Stati Uniti, in Israele e nei paesi baltici,
    3. anche se un gruppo scompare ne appare subito un altro: i loro malware vengono comprati, riutilizzati tramite leak se non perfezionati,
    4. molti attori della minaccia stanno ora lavorando con più famiglie di ransomware contemporaneamente, il che consente loro di ottimizzare le proprie operazioni e mitigare i rischi associati all’affidamento a un singolo gruppo,
    5. tra le gang è in atto un certo tipo di collaborazione ma anche una lotta/competizione tra clan e cartelli: se una testa di questo mostro a mille teste viene tagliata, un’altra emerge, con capacità moltiplicate e crescita di attacchi e profitti.
    6. la ricerca attuale si concentra prevalentemente sull’analisi del ransomware e poco sui modelli comportamentali associati agli attacchi, 
    7. l’analisi di somiglianze delle tecniche di attacco possono venire in aiuto – anche se spesso mostrano notevoli distinzioni – ma nel monitoraggio importa soprattutto comprendere il comportamento specifico dell’attaccante: parte significativa in questo ultimo caso è la collaborazione delle vittime, la divulgazione e la segnalazione degli incidenti, che non sempre avviene con trasparenza.
    8. con le giuste informazioni, la natura in stile Idra del crimine informatico, arguto e particolarmente complesso da eradicare potrebbe trasformarsi in una vulnerabilità

    Buon 2025.

    Olivia Terragni
    Autore, ex giornalista, laureata in Lettere e Filosofia con indirizzo storico-economico e poi in Architettura, ha poi approfondito i suoi studi in Network Economy e in Informations Economics, conclusi con un Master in Cyber Security e Digital Forensics e un Master in Filosofia e Governance del Digitale. Appassionata di innovazione tecnologica e sistemi complessi e della loro gestione nell’ambito della sicurezza e della loro sostenibilità in contesti internazionali. Criminalista. Velista ottimista.
    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS

    Copyright @ 2003 – 2024 RED HOT CYBER
    PIVA 16821691009