Data breach, violazioni e reputazione: mai sottovalutare tutti i rischi. Annunciare una violazione della sicurezza adottando una risposta più proattiva, fa sì che utenti, clienti o consumatori possano ridurre la percezione del rischio e può persino far aumentare positivamente la valutazione pubblica di un’azienda. Del resto, l’approvazione pubblica che viaggia in rete è importante no? Discutiamone…
In breve:
Nel 2017 Unicredit subì un violazione dei suoi sistemi che interessò 3 milioni di dati. Tale incidente le costò una sanzione quantificabile in 2,8 milioni di euro, ma quando si trattò di trasparenza e reputazione Unicredit non ebbe dubbi, con un comunicato in data 26 luglio 2017 informò di avere subito un’intrusione informatica, ipotizzò l’accesso ad alcuni dati anagrafici e ai codici IBAN, trasmise il numero dei dati violati, comunicò di avere avviato un’indagine e di avere informato le autorità competenti, mettendo a disposizione un numero verde per i clienti che desiderassero maggiori informazioni e avvisò che le sue comunicazioni ai clienti, per ragioni di sicurezza, non sarebbero avvenute né per telefono né per mezzo della posta elettronica.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Unicredit è un esempio virtuoso – non sicuramente l’unico – in un arido deserto dove molti preferiscono mettere la testa sotto la sabbia. Succede infatti che mentre alcune aziende decidono di riconoscere i loro errori – o le loro “falle nella sicurezza” – e quindi di assumersi la propria responsabilità, altre preferiscono voltare le spalle e tenere tutto segreto, atteggiamento che oggi ha però molte conseguenze.
Si pensi solo cosa è successo a Uber che ha ricevuto sanzioni da record (2018, 2023, 2024) per l’errore di non aver notificato in tempo ai suoi autisti di aver subito un incidente informatico che coinvolgeva i loro dati.
A proposito di errori, c’è un bel pezzo scritto da Aaron Swartz a riguardo (avete il link a wiki se non ricordate chi sia), scritto nel 2012, ma secondo me ancora molto attuale. Cherish Mistake è la storia di due organizzazioni no profit: da una parte odiano commettere errori, dall’altra c’è un atteggiamento molto diverso. Così Aaron Swartz lo descriveva: “Lo noti la prima volta che visiti il loro sito web. Proprio nella barra di navigazione, in cima a ogni pagina, c’è un link con la scritta “Errori”. Cliccaci sopra e troverai un elenco di tutti gli errori che hanno commesso, a partire dal più orribilmente imbarazzante […] forniscono un resoconto notevole di tutti gli errori, sia cruciali che banali, che potresti ragionevolmente commettere quando inizi qualcosa di nuovo”. Ovviamente a nessuna delle due no profit piace commettere errori e “forse avere una pagina degli errori in cima al tuo sito web è decisamente troppo” ammise Aaron Swartz. Tuttavia tenere memoria degli errori aiuta a comprendere “come e quando cambia lo schema” per escogitare nuovi metodi per evitarli. Questo riguarda anche i dipendenti: se sono abbastanza responsabili non avranno paura di segnalare i loro errori rendendoli facilmente correggibili.
Il trucco è affrontare l’errore, confessare cosa è andato storto e pensare a cosa puoi cambiare per evitare che accada di nuovo. Di solito promettere di non farlo di nuovo non è sufficiente: devi scavare nelle cause profonde e affrontarle _ Aaron Swartz
Abbiamo due scelte: usare i nostri errori come un’opportunità per migliorare,o ignorare o nascondere gli errori che in un modo o nell’altro “continueranno a tormentarci […] Ci imbatteremo in loro ancora e ancora sotto diverse forme”. E questo è proprio il caso che ci presenta oggi il panorama del crimine informatico. Non c’è modo di sfuggirgli, non c’è modo di sapere se succederà ancora o meno, ma con tutta probabilità lo farà, soprattutto i criminali informatici sono più propensi ad attaccare ripetutamente quelle aziende che non denunciano gli incidenti.
I cambiamenti nel comportamento dei gruppi criminali rivelano che l’esfiltrazione dei dati operata da molti RaaS apre un panorama preoccupante circa le conseguenze del furto delle informazioni, che possono essere vendute per ulteriori attacchi. Al primo data breach – molto spesso nascosto a sua volta dal ransomware – ne seguirà un altro e se non ne seguirà un altro – avendo pagato il riscatto o meno – qualcuno comprerà o ruberà quelle informazioni per fare ancora più danno. Credete, nascondere un data breach non fa che peggiorare la situazione.
Di fronte ai pericoli uno struzzo nasconde la testa sotto terra: anche se il suo corpo è visibile alla preda, abbassa la testa cercando di mimetizzarsi con l’ambiente, nella speranza di non essere notato. Ancora, chi di noi da bambino, chiudendo gli occhi, non era convinto di essere all’improvviso diventato invisibile?
Spesso le violazioni vengono offuscate dalle aziende per la paura che queste influiscano sui ricavi trimestrali, sul prezzo delle azioni, sulla fedeltà dei clienti, sulla reputazione del marchio, tuttavia non segnalare l’evento può comportare enormi battute d’arresto finanziarie, complicazioni legali e il rischio di danni maggiori alla reputazione.
Ed è vero, un incidente informatico – la cui causa deriva il più delle delle volte da un errore umano – colpisce in modo severo un’azienda. Spesso appena dopo si verifica un calo di ricavi, spesso la reputazione viene calcolata così, in base ai bilanci e non a torto: non si tratta più solo di un problema di immagine, è diventato, a tutti gli effetti. un vero e proprio rischio finanziario che si deve gestire, mappando e anticipando.
Poi cos’altro? Ha sì! Si potrebbe verificare anche qualche licenziamento – ed è anche per questo che spesso le cose vengono nascoste – perché, per noi, aggiustare la persona è sempre più importante che aggiustare la macchina, dimenticandoci che, spesse volte, il problema è nel sistema stesso.
“È vero” evidenzia Swartz “a volte hai gli ingranaggi sbagliati e devi sostituirli, ma più spesso li stai semplicemente usando nel modo sbagliato. Quando c’è un problema, non dovresti arrabbiarti con gli ingranaggi, dovresti riparare la macchina”. Se la macchina non funziona quanti chilometri si potranno ancora percorrere? Soprattutto se si chiede di tenere nascosto un incidente agli stessi dipendenti, si chiede di fare qualcosa di non etico, per questo anche loro potrebbero perdere fiducia nei loro datori di lavoro. E anche questo fa parte della macchina.
Politiche e procedure si, rappresentano in un certo modo dei blocchi alla creatività e al flusso imprenditoriale, ma senza di loro oggi si va fuori mercato. Se le violazioni non si possono fermare – anche con tutte le buone intenzioni – avere un piano aggiornato di comunicazione per avvisare clienti e dipendenti non appena si verifica è davvero importante. Soprattutto se a causa di un ransomware tutto il sistema si blocca.
Bene, stiamo per entrare nel 2025 ed ad oggi le violazioni di dati rappresentano veramente una minaccia per tutti:
Non starò a ricordare in cosa consistono i pericoli, ma brevemente, la compromissione di dati sensibili o finanziari e proprietà intellettuale sono in cima alla lista. Tuttavia – mal comune mezzo gaudio – è quasi impossibile per qualsiasi organizzazione essere immune agli attacchi.
Chi però non adotta strategie, chi è convinto di non essere in possesso di dati sensibili, di non avere informazioni su eventuali carte di credito o simili dovrebbe iniziare a pensare di avere per lo meno dipendenti e fornitori e che i loro prodotti sono soggetti come gli altri a proprietà intellettuale, che i cattivi non vivono solo nelle grandi metropoli e che le porte aperte – come le password tenute in posti insicuri o computer aziendali utilizzati per fare shopping – sono un pericolo ovunque e per chiunque. E senza una pianificazione, un sistema ben organizzato, una collaborazione interna ed esterna più avanti si va, più la fortuna di non essere notati non basterà e non funzionerà.
Senza addentrarmi nelle numerosissime regole del Garante, per il quale il diritto all’oblio non è un diritto assoluto e andrebbe quindi bilanciato con altri diritti basterebbe dire che oggi gli stessi consumatori – frustrati dallo stato della protezione dei dati da parte di molte aziende – non permettono più alle aziende di nascondersi, emettendo feedback, facendo whistleblowing e rivolgendosi al Garante. Questo riguarda soprattutto i giovani, quelli che faranno il mercato di domani, quelli sfiduciati dalla convinzione che le cose non miglioreranno, quelli convinti che ad un certo punto avranno sicuramente dei problemi, anche se spesso non sono consapevoli delle proprie responsabilità. Quindi la reputazione di un brand è fondamentale, costruirla in modo solido è necessario.
Lo studio Security breaches and organization response strategy pubblicato sull’International Journal of Management dimostra come le strategie di risposta delle organizzazioni in seguito a un data breach o un incidente di violazione della sicurezza influenzino la valutazione della reputazione del brand e della situazione da parte dei consumatori (i quali spesso non attribuiscono lo stesso peso alle dimensioni del rischio) e come le organizzazioni abbiano molta più probabilità di mantenere la fiducia nel momento i cui decidono di essere trasparenti sugli attacchi informatici e proattive nel trovare soluzioni. Lo studio rivela tre fattori principali per mantenere la fiducia dei consumatori:
L’ultimo punto si è rivelato il più importante di tutti ovvero: annunciare una violazione della sicurezza e adottando una risposta più proattiva le organizzazioni possono ridurre la percezione del rischio dei consumatori e persino aumentare positivamente la loro valutazione pubblica. Del resto, l’approvazione pubblica è importante no? Infine si, quel calo di ricavi che inorridisce così tanto appena dopo un incidente si può trasformare in esperienza, in un errore prezioso, in acquisizione di nuovi clienti che saranno consapevoli di come si sta affrontando un problema per mettere tutti più al sicuro e così li farà sentire.
Non so se tutti saranno d’accordo con ciò che valuto in questo articolo ma su una cosa tutti convergeranno: la trasparenza è un beneficio non solo per clienti e dipendenti di un’azienda ma per tutta la comunità e così anche per la Cyber Threat Intelligence costretta a vagare nelle paludi più oscure. Quale è il vero panorama? Io mi sono fatta qualche idea, leggendo anche i lavori di molti degli attuali ricercatori.
Ogni mattina in Africa, come sorge il sole, una gazzella si sveglia e sa che dovrà correre più del leone o verrà uccisa. Ogni mattina in Africa, come sorge il sole, un leone si sveglia e sa che dovrà correre più della gazzella o morirà di fame. Ogni mattina in Africa, come sorge il sole, non importa che tu sia leone o gazzella, l’importante è che cominci a correre…
Tecniche sempre più efficienti da parte dei criminali informatici insieme alla continua proliferazione dei gruppi ransomware rappresentano una sfida per il nostro Paese insieme alla necessità di un approccio innovativo, sia per facilitare la Cyber Threat Intelligence nell’analisi delle somiglianze delle tattiche di attacco, sia per facilitare le strategie di difesa. L’analisi di somiglianze delle tecniche di attacco possono venire in aiuto – anche se spesso mostrano notevoli distinzioni – ma nel monitoraggio importa soprattutto comprendere il comportamento specifico dell’attaccante: parte significativa in questo ultimo caso è la collaborazione delle vittime.
Lo scorso anno a chiusura del 2024 ho voluto parlare di provocazioni ed eccone un’altra per il 2025, divisa in 8 punti che – a grandi linee – descrivono sommariamente la situazione a cui ci troviamo di fronte e che richiede un grande impegno e una grande collaborazione (alleati) da parte di tutti per combattere un mostro a mille teste, particolarmente arguto e cattivo:
Buon 2025.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Cyber Italia
Innovazione
Cybercrime
Cybercrime