Comunicare direttamente un data breach appena avviene, o tenere la notizia riservata, sperando che non si diffonda postuma via stampa o social media? Molte delle aziende che hanno subito una violazione dei dati se lo chiedono. A spingere per la riservatezza sono la paura di un danno d'immagine e delle multe per il mancato rispetto della normativa sulla tutela dei dati.

La risposta universale è che la normativa GDPR obbliga le vittime a comunicare questi eventi in maniera tempestiva. Per legge, quindi, l'opzione della riservatezza non esiste.  Emblematico al riguardo l'attacco singolare di un cyber criminale a diverse aziende, che ha cancellato i dati di database esposti online e ha chiesto un riscatto alle vittime per non denunciarle per violazione del GDPR.

Il rispetto della normativa non è l'unico buon motivo per gestire i data breach in maniera adeguata. Una indagine di Kaspersky dal titolo “How businesses can minimize the cost of a data breach” rivela che nel caso di violazione dei dati, le PMI che scelgono di informare volontariamente stakeholder e clienti subiscono una perdita economica del 40% inferiore rispetto alle aziende le cui violazioni vengono comunicate direttamente dai media. La stessa tendenza è stata riscontrata anche nelle grandi imprese.

L’indagine è stata condotta a giugno 2020 intervistando 5.266 decision-makers in ambito IT, di 31 Paesi diversi. Ai partecipanti sono state chieste, fra le altre, informazioni sui costi sostenuti per riprendersi da un attacco informatico.
La conclusione è che esiste una correlazione tra il modo in cui viene divulgata una violazione dei dati e le perdite finanziarie che l'azienda vittima subisce a seguito di un incidente di cyber security. Più nel dettaglio, non informare in modo tempestivo i clienti su una possibile violazione dei dati comporta ripercussioni finanziare e danni reputazionali gravi. Al contrario, le aziende che prendono in mano la situazione e comunicano proattivamente gli incidenti informatici in genere riescono a limitare i danni.

Passando dalla teoria alla pratica, Kaspersky ha calcolato che le perdite subite da una PMI che comunica apertamente una violazione dei dati ammontano in media a 93 mila dollari. La stessa PMI che lascia trapelare la notizia dell’incidente attraverso i media subisce in media un danno economico di 155 mila dollari. Passando alle enterprise, si calcola che le grandi aziende che informano volontariamente i propri clienti di una possibile fuga di dati subiscono il 28% in meno di danni economici rispetto a chi lascia ai media il compito (1.134 milioni contro 1.538 milioni di dollari). 

Bravi e meno bravi

L'indagine di Kaspersky rivela anche un altro dato interessante. Solo il 46% delle aziende rivela una violazione in modo proattivo. Il 30% delle aziende che ha subito un furto di dati preferisce non comunicarlo pubblicamente. Quasi un quarto (24%) delle aziende prova a nascondere l’incidente. Il problema di quest'ultima posizione è che non ha mai esito positivo, nell'epoca dei social media.
Pensiamo per esempio al caso Luxottica. L'azienda ha ammesso l'attacco ransowmare che ha bloccato le attività aziendali, non il data leak. Un mese dopo i cyber criminali dietro all'attacco hanno pubblicato un post in cui rivelavano la vera natura dell'accaduto: "Sembra che i consulenti per la sicurezza non sappiano fare bene il loro lavoro o che Luxottica gli abbia chiesto loro di mentire. Luxottica sa che la violazione è avvenuta e ha ricevuto le prove della violazione". Il post era accompagnato dagli screenshot di cartelle rubate. 

Il post è stato ripreso dalle testate giornalistiche di tutto il mondo. Molte poi hanno indagato ulteriormente sulla natura dei dati rubati e sui possibili danni per i clienti coinvolti. La scarsa trasparenza dell'azienda ha pesato più dell'attacco stesso.

Quanto accaduto a Luxottica è solo uno dei tanti casi analoghi che si ripetono con una frequenza elevata. Dovrebbero dimostrare come nell'epoca attuale non sia più possibile nascondere gli scheletri nell'armadio. Ci sarà sempre qualcuno pronto a tirarli fuori e a sottoporli al pubblico giudizio. 

L'altro nodo importante della questione riguarda quanto tempo impiega l'azienda ad accorgersi del data leak. Secondo il sondaggio, il 29% delle PMI che ha impiegato più di una settimana a identificare la violazione subita, si è ritrovato a leggere sui media la notizia dell’attacco. Questo dato è quasi il doppio rispetto alle aziende che hanno rilevato tempestivamente l’incidente (15%). Il trend è confermato anche per le grandi imprese, rispettivamente il 32% e il 19%. 

Anche qui giocano un ruolo importante gli attaccanti stessi, che spifferano spesso le loro malefatte alla stampa quando non vedono immediatamente soddisfatte le proprie richieste. Il fatto che sia la stampa a diffondere la notizia porta i clienti e potenziali vittime a non sentirsi tutelati. A prescindere che la mancata comunicazione sia intenzionale, o dovuta alla mancanza di competenze tecniche. Un esempio notevole di quest'ultimo caso è quello della violazione di Marriott che fu scoperta dopo 4 anni. 

La cosa giusta da fare

Nel momento in cui si verifica un data breach, la prima cosa da fare è comunicare in modo proattivo quanto accaduto, avvisando uno per uno tutti i potenziali clienti interessati. Non solo per rispettare la normativa, ma per far capire che l'azienda ha il controllo della situazione, ha capito che cos'è accaduto e si sta muovendo attivamente per tutelare i suoi clienti. 

Oltre tutto questo approccio consente anche alle aziende di poter raccontare la vicenda dal proprio punto di vista, condividendo con i media informazioni corrette che non lascino adito a speculazioni sbagliate. Subire un attacco informatico non è sintomo di incompetenza, è qualcosa che oggi può accadere. Anzi, che accade sicuramente, è solo da capire quando. È la capacità di reagire e di gestire la situazione a fare la differenza.
Un altro capitolo è la prevenzione, che determina se l'azienda dovrà pagare o meno una multa per mancata protezione dei dati, e il suo ammontare. Per questo è necessaria un'azione di monitoraggio continua e proattiva mediante prodotti specializzati, che i fornitori di cyber security sono sicuramente in grado di indicare. Chi poi non avesse le competenze interne per gestire tali prodotti nel modo migliore, può sempre fare affidamento sugli MSSP, che dispongono di figure altamente specializzate. 

Non ultimo, dato che i data breach partono spesso da attività di phishing mirato, è consigliabile programmare un'attività di formazione continua di tutto il personale dell'azienda.