3,92 milioni di dollari. È il costo medio di un data breach, un costo che risulta essere particolarmente grave per piccole e medie imprese per le quali il dato medio è di 2,5 milioni di dollari. 25.575 è il numero dei record che in media vengono coinvolti in un data breach, il cui costo è stato calcolato in 150 dollari per record, e 279 giorni il tempo medio per identificare e contenere una violazione. La Sanità il settore più colpito.
Sono i dati principali che emergono dalla 14ma edizione del report Cost of a Data Breach realizzato da Ponemon Institute con la sponsorship di IBM Security, pubblicato lo scorso luglio.
“Il tempo medio di rilevazione di una intrusione resta troppo alto, a livelli inaccettabili”, ha detto Alessio Pennasilico, Information & Cyber Security Advisor di P4I, commentando lo studio. “Il valore delle informazioni – ha aggiunto – si dimostra sempre di più tangibile e un asset tanto per le organizzazioni quanto per i criminali. Per questa ragione assistiamo alla costante crescita in quantità e qualità di incidenti, con i costi afferenti, nel mondo della sanità e per la stessa ragione costi apparentemente ‘irrisori’ come 150 dollari a record, se moltiplicati per il numero medio di record di qualsiasi base di dati di qualsiasi organizzazione è un costo insostenibile in molti casi, specialmente per una PMI”.
Comparando il costo medio di un data breach con il numero dei dipendenti si evince che l’impatto su una PMI può essere devastante: se il costo totale per le organizzazioni più grandi (oltre 25.000 dipendenti) è stato in media di 5,11 milioni di dollari, quindi 204 dollari per dipendente, per le realtà più piccole (tra i 500 e i 1.000) dipendenti, a fronte di un costo medio di 2,65 milioni di dollari, il costo medio per dipendente è di 3.533 dollari.
Un altro dato che lo studio evidenzia è che le aziende che sono state in grado di rilevare e contenere una violazione in meno di 200 giorni hanno speso 1,2 milioni di dollari in meno rispetto al costo totale medio di una violazione: “Una cifra importante che, per l’ennesima volta, dimostra come chi attui la strategia ‘sono certo che avverrà un incidente e lavoro per minimizzarne frequenza e impatto’ ottenga reali e concreti benefici economici dagli investimenti tecnologici e organizzativi fatti”, ha sottolineato Pennasilico.
E per la prima volta, quest’anno il Report descrive in dettaglio la “coda lunga” di una violazione dei dati, dimostrando che i suoi costi possono essere avvertiti per anni dopo l’incidente: circa il 67% dei costi viene registrato entro il primo anno, il 22% nel secondo e un altro 11% si estende oltre i due anni dalla violazione; costi che sono risultati più elevati nel secondo e terzo anno per le aziende operanti in ambienti altamente regolamentati, come la sanità, i servizi finanziari, l’energia e l’industria farmaceutica.
Come calcolare il costo di una violazione
Per realizzare il Report 2019 sono state coinvolte 507 organizzazioni a livello worldwide che hanno subito una violazione e sono state intervistate 3.211 persone utilizzando la metodologia ABC (Activity Based Costing). Le violazioni studiate si sono verificate tra luglio 2018 e aprile 2019 e le interviste sono state condotte tra ottobre 2018 e aprile 2019.
Le attività oggetto di analisi sono suddivise in 4 centri di costo sulla base dei processi che ad esse fanno riferimento e che riassumiamo rapidamente:
- Rilevamento ed escalation – Attività che consentono a un’azienda di rilevare e segnalare una violazione al personale appropriato entro un periodo di tempo specificato (attività forensi e investigative, servizi di valutazione e audit, gestione del team di crisi, comunicazioni al management esecutivo e al CdA).
- Notifica – Attività che consentono all’azienda di notificare ai soggetti che hanno subito una violazione dei dati (persone interessate) e attività legate alla comunicazione agli enti regolatori (e-mail, lettere, telefonate in uscita o avviso generale agli interessati che le loro informazioni personali sono state perse o rubate; comunicazione con i regolatori; determinazione di tutti i requisiti normativi, impegno di esperti esterni).
- Attività successive alla violazione – Processi avviati per aiutare le persone o i clienti interessati dalla violazione a comunicare con la società, nonché i costi associati alle attività di riparazione con i soggetti interessati e comunicazioni con le autorità di regolamentazione (attività di help desk / comunicazioni in entrata, monitoraggio dei rapporti di credito e servizi di protezione dell’identità, emissione di nuovi account o carte di credito, spese legali, sconti sul prodotto, multe).
- Perdita di business – Attività associate al costo delle attività perse, tra cui fatturato del cliente, interruzione dell’attività e tempi di inattività del sistema (costi che possono essere sia diretti, perdita di clienti, sia indiretti, come impatti negativi sulla reputazione).
Come si vede dalla figura 4, i costi derivanti da perdita di business rappresentano ben il 36% dei costi totali; questa rappresenta il costo maggiore ininterrottamente dal 2015 al 2019 anche se la sua percentuale sul totale è leggermente diminuita
Le cause principali di un data breach
Per comprendere a pieno i risultati dello studio è bene ricordare cosa intendono i ricercatori con “violazione dei dati” e “record compromesso”. La violazione dei dati è un evento in cui il nome di una persona, una cartella clinica, una cartella finanziaria, una carta di debito ecc. sono potenzialmente messi a rischio, in formato elettronico che cartaceo. Viene definito record compromesso una informazione che identifica la persona fisica le cui informazioni sono state perse o rubate in un data breach.
Lo studio identifica tre cause principali di violazione: attacco dannoso o criminale, anomalia del sistema, errore umano.
Il Report rileva che le violazioni derivanti da un attacco informatico malevolo non solo sono le più comuni, ma risultano anche le più costose. Dal 2014, le violazioni causate da attacchi informatici sono aumentate del 21%, passando dal rappresentare il 42% delle cause di data breach nel 2014 al 51% nel 2019. Inoltre, in questi casi il tempo per identificare e contenere la violazione è risultato di 314 giorni, ancora maggiore del già preoccupante dato medio di 279 giorni. Ed è anche proprio questo maggiore tempo necessario che aiuta a spiegare perché in le violazioni causate da un attacco malevolo risultano del 27% più costose di quelle causate da errori umani (4,45 milioni di dollari contro 3,5) e del 37% più costose di una violazione causata da problemi del sistema (quest’ultima in media determina costi per 3,24 milioni).
Fattori che influenzano il costo di un data breach…nel bene e nel male
I ricercatori hanno preso in considerazione 26 fattori che hanno un’influenza, negativa o positiva, sulla dimensione dei costi di un data breach introducendo 4 nuove dimensioni rispetto alle precedenti analisi: test approfonditi del piano di risposta agli incidenti, adozione di un approccio DevSecOps, infrastruttura OT e complessità del sistema.
Come si vede dalla figura 6, ai due estremi della scala ci sono la formazione, e quindi la competenza, del team di risposta agli incidenti e il verificarsi di un data breach presso una terza parte.
La capacità di un’organizzazione di rispondere efficacemente a un data breach viene rafforzata dalla presenza di un team di incident respons (IR) dedicato; i ricercatori hanno rilevato che i risparmi sono stati amplificati nei casi in cui sono stati condotti test approfonditi dei piani di IR: 1,23 milioni è il risparmio conteggiato per queste realtà in confronto a chi non aveva un team di risposta agli incidenti o non aveva testato il proprio IR.
Particolare attenzione, per quanto riguarda gli impatti negativi, è da rivolgere alle terze parti perché, nel caso il data breach sia causato da una terza parte, il costo aumenta di ben 370.000 dollari.
Come si può facilmente intuire, l’azienda estesa e che ha fatto proprio l’approccio Industria 4.0 ha un importante impatto, negativo, sulla dimensione dei costi correlati a un data breach, tra le voci più significative vediamo infatti una importante migrazione al cloud (+ 300.000), il coinvolgimento dell’infrastruttura OT (+ 260.000), l’utilizzo diffuso delle piattaforme mobile (+ 240.000). Importante è anche l’impatto della complessità del sistema (+ 290.000).
La considerazione che ne consegue è che, a fronte di un’evoluzione del modello di business e dell’infrastruttura tecnologica dell’azienda per rispondere in modo efficace a mercati in profonda trasformazione, l’approccio alla security non può rimanere quello di qualche anno fa.
Lo dimostra l’analisi dei fattori che mitigano i costi di un data breach.
L’uso esteso della crittografia, la prevenzione della perdita di dati, la condivisione delle informazioni sulle minacce e l’integrazione della sicurezza nel processo di sviluppo del software (DevSecOps) sono stati tutti associati a costi di violazione dei dati inferiori alla media. Tra questi, la crittografia ha avuto il maggiore impatto, insieme alla presenza e competenza del team IR, contribuendo a ridurre i costi di 360.000 in media.
Particolare impatto, positivo, ha poi l’adozione di soluzioni basate sulle tecnologie più innovative: le organizzazioni che hanno implementato soluzioni di sicurezza automatizzate che riducono la necessità di un intervento umano diretto, basate su intelligenza artificiale, apprendimento automatico, analisi e orchestrazione automatizzata della risposta agli incidenti, hanno riscontrato costi significativamente inferiori. Le organizzazioni che non hanno implementato soluzioni di questo tipo hanno visto lievitare i costi di un data breach fino al 95% rispetto a chi le ha adottate (5,16 milioni di dollari contro 2,65 milioni).
