:format(avif))
"Fuga di dati mette a rischio più di 150 milioni di utenti". "Hacker fa trapelare 33 milioni di nomi utente e password." Hai già sentito notizie simili? Man mano che la tecnologia di sicurezza avanza e diventa più sofisticata, le aziende faticano a tenere il passo con i requisiti più recenti. Praticamente non passa giorno senza notizie su una nuova fuga o una violazione di dati. Scopriamo come si differenziano e come impedire che i dati della tua azienda vadano perduti.
Prima di tutto, cos'è una fuga di dati? Molto semplicemente, si tratta di un incidente di sicurezza in seguito al quale dei soggetti non autorizzati riescono ad accedere a informazioni riservate. Queste informazioni possono essere rubate, trasferite inavvertitamente o fornite di propria volontà dalle persone. I dati trapelati possono essere digitali (file elettronici) oppure fisici (documenti, lettere, immagini o dispositivi). Tuttavia, le fughe di dati non sono la stessa cosa delle violazioni di dati.
Violazioni di dati e fughe di dati: in cosa differiscono?
Anche se talvolta questi due termini sono usati in modo intercambiabile, non è del tutto corretto considerarli dei sinonimi. Entrambe portano alla stessa conseguenza – esposizione non autorizzata dei dati. La differenza sta nella causa.
Solitamente le fughe di dati sono dovute a misure di sicurezza scadenti o azioni compiute inavvertitamente da qualcuno. Nella maggior parte dei casi le fughe di dati informatici non avvengono con intento doloso e sono causate da un errore umano. Ad esempio, i ricercatori di sicurezza di vpnMentor sono da anni a caccia di database esposti. Uno dei loro risultati più significativi risale al 2020, quando scoprirono che l'app Key Ring utilizzava un bucket Amazon S3 configurato in modo errato per archiviare 44 milioni di record. Tra di essi figuravano documenti d'identità, informazioni assicurative, patenti di guida e carte di credito. Anche se nessun malintenzionato se n'era accorto prima dei ricercatori, e l'azienda aveva provveduto alla chiusura del database, l'episodio può essere comunque considerato una fuga di dati.
Le violazioni di dati, al contrario, sono intenzionali. Una violazione di dati si verifica quando un criminale informatico attacca un'azienda o un database, allo scopo di mettere le mani su informazioni sensibili e riservate. Fra le tattiche più comuni usate nell'ambito delle violazioni di dati vi sono gli attacchi DDoS, i malware e le strategie di ingegneria sociale, che possono scardinare le difese di un'azienda. Gli esiti di violazioni e fughe di dati sono simili; le fughe, tuttavia, sono prive dell'intento malevolo che contraddistingue le violazioni.
Tipi di fughe di dati
Per individuare tempestivamente le fughe di dati, è necessario saper riconoscere i diversi tipi di incidenti e le strategie che potrebbero causarli.
Errore umano
Una fuga accidentale può scaturire da eventi banali, come ad esempio inviare un'e-mail confidenziale all'indirizzo sbagliato. Anche lasciare accessibile al pubblico un database contenente dati di clienti, o smarrire un dispositivo con accesso a informazioni riservate, sono da considerarsi fughe accidentali di dati. Ma le conseguenze dipendono in ultima analisi da chi ha ricevuto l'e-mail o ha trovato la scappatoia che gli ha permesso di accedere al database. Alcuni potrebbero eliminarla mentre altri potrebbero avere idee subdole.
Truffe e violazioni di sistemi
Talvolta può accadere che qualcuno cerchi vulnerabilità nella tua sicurezza, come software obsoleti o bug di sistema, semplicemente per dimostrarne l'esistenza. Non ti attaccheranno apertamente. Infatti, potrebbero individuare delle falle per mettere le mani su informazioni che dovrebbero essere inaccessibili dall'esterno. Altre persone potrebbero applicare tattiche di ingegneria sociale per creare l'ambiente ideale per una fuga di dati.
Fuga di dati intenzionale
Benché le fughe di dati spesso non abbiano intenti dolosi, potrebbero comunque essere istigate in modo deliberato. Una situazione di questo tipo può verificarsi quando un dipendente accede ai segreti dell'azienda o ai dati degli utenti per rivenderli in cambio di denaro. Può anche trattarsi di un whistleblower che, avendo obiezioni morali sull'operato della sua azienda, usa le informazioni sottratte per rendere pubblica una questione scottante. In ogni caso, queste persone sanno quello che fanno e di solito cercano di restare anonime mentre operano dall'interno.
Che tipo di dati è esposto a rischi?
Le fughe di dati sono un disastro per le vittime e un'occasione d'oro per i criminali informatici che, di solito, cercano informazioni sensibili importanti per guadagnare grosse somme. Di solito sono a caccia di informazioni di identificazione personale come nomi, indirizzi e numeri di previdenza sociale e carte di credito. Questi dati possono quindi essere utilizzati per furti di identità e il riciclaggio di denaro. Le credenziali di accesso sottratte illecitamente vengono spesso inserite in database di password rubate, che finiscono in vendita sul dark web.
Quando dei malintenzionati vogliono arrecare danno a una specifica azienda, le informazioni che cercano possono andare ben oltre i dati di identificazione personale. Ad esempio, possono mirare a informazioni sensibili sulle imprese, come le comunicazioni interne o i piani strategici. Anche i segreti commerciali e la proprietà intellettuale, così come il codice proprietario e i software, possono finire nel radar di un hacker.
Oggi i dati sono qualcosa da cui non si può prescindere. Con la crescente frequenza degli attacchi informatici, le aziende devono adottare misure rigorose per garantire la massima sicurezza dei propri dati.
Aumenta la tua sicurezza online
Identifica le violazioni prima che arrechino danni alla tua azienda
Come vengono utilizzati i dati trapelati?
Dopo aver messo le mani su dati trapelati o rubati, gli hacker possono sfruttarli per i propri obiettivi criminali. Ecco alcuni modi in cui i dati compromessi possono essere usati per finalità dolose.
Ingegneria sociale
I dati trapelati spesso includono informazioni identificabili come nomi, password e indirizzi e-mail. Gli hacker possono utilizzare tali informazioni negli attacchi di ingegneria sociale. Gli attacchi di phishing sono attacchi durante i quali gli hacker inviano e-mail false che impersonano una fonte affidabile per indurre la vittima potenziale a scaricare un allegato dannoso o fare clic su un link pericoloso. Se non ci fossero le fughe di password, gli hacker farebbero molta più fatica a indirizzare e condurre con successo i loro attacchi.
Doxing
Doxing , o doxxing, è l'atto di esporre informazioni identificabili, come il nome, l'indirizzo di casa e il numero di telefono, con intenzioni malevole. Dopo aver acquisito i dati trapelati, gli hacker di solito hanno una sovrabbondanza di informazioni per "doxare" una persona. Spesso il doxing ha come bersaglio una persona o un gruppo specifico di persone e questa strategia è stata storicamente usata in campagne di molestie.
Rallentamento o interruzione delle attività aziendali
Una fuga di dati può avere un impatto estremamente negativo sull'organizzazione colpita. Secondo la National Cyber Security Alliance , un sorprendente 60% delle imprese ha cessato l'attività entro sei mesi dalla perdita di dati.
Esempi reali di fughe e violazioni di dati
Le fughe e le violazioni di dati sono più comuni che mai e, secondo gli esperti, la frequenza di questi incidenti informatici è destinata ad aumentare in futuro. Ecco qualche esempio di gravi incidenti informatici che hanno travolto aziende di tutto il mondo, alcuni con conseguenze più deleterie di altri:
ChatGPT
Nel marzo del 2023 è stato scoperto un bug nel chatbot ChatGPT di OpenAI che ha causato la perdita di dati degli utenti, tra cui nomi, titoli delle chat e alcuni dettagli delle loro carte di credito. L'azienda ha sottolineato che non erano trapelati i dati completi delle carte, ma solo le ultime quattro cifre e le date di scadenza. La piattaforma è rimasta temporaneamente offline mentre il bug veniva risolto.
Credit Suisse
Nel febbraio del 2022 un whistleblower ha avviato una fuga di dati per smascherare diversi criminali di alto profilo che si avvalevano dei servizi della banca svizzera Credit Suisse; in totale, sono trapelati i dati di oltre 18.000 conti. I dati sottratti sono stati condivisi col quotidiano tedesco Süddeutsche Zeitung, che ha pubblicato uno scottante reportage sul sistema bancario svizzero.
Twitch
Nel mese di ottobre 2021, la piattaforma di live streaming Twitch ha rivelato di aver subito una massiccia violazione dei dati. L'attacco ha compromesso oltre 100 GB di dati sensibili, che includevano nomi, indirizzi, e-mail e guadagni degli streamer.
Facebook
Il 3 aprile 2021, un esperto di sicurezza ha scoperto una massiccia fuga di dati che ha colpito 533 milioni di utenti di Facebook. Nel complesso, la fuga ha generato 2.837.793.637 punti dati. In media gli hacker avevano violato almeno cinque categorie di dati per utente, tra cui numeri di telefono, nomi e cognomi, date di nascita, ID Facebook, indirizzi e-mail e biografie personali.
Experian
Nel febbraio del 2021 sono emersi rapporti sulla peggiore violazione di dati della storia del Brasile, che ha fatto trapelare le informazioni riservate di oltre 200 milioni di persone e 40 milioni di aziende. I sospetti sono caduti su Serasa Experian, una società che fornisce servizi di informazione e dati. I dati trapelati includevano informazioni di identificazione personale come date di nascita, nomi e cognomi, indirizzi, fotografie degli utenti, affidabilità creditizie, reddito e altri dati finanziari.
Come prevenire fughe di dati e violazioni
Per ridurre al minimo il rischio di fughe di dati, devi stabilire pratiche e procedure di sicurezza adeguate nella tua azienda. Ricorda che non puoi sempre controllare ogni singola cosa a livello di sicurezza. Non puoi mai sapere se o quando potresti diventare un bersaglio. Avrai però una maggiore tranquillità adottando alcune misure preventive.
Controlla i tuoi dati
Devi sempre conservare backup dei tuoi dati, senza però archiviare copie non necessarie. Mantieni le informazioni sensibili in un solo database sicuro, anziché su diversi terminali: così facendo, diminuiranno le possibilità di fughe di dati. È essenziale anche conoscere e controllare chi ha accesso alle informazioni e di che tipo di dati si tratti. I dipendenti dovrebbero essere autorizzati ad accedere solo ai dati di cui hanno bisogno per il loro lavoro. In questo modo, puoi evitare incidenti e fughe intenzionali.
Applica restrizioni alle e-mail dei tuoi dipendenti
Puoi configurare Google Drive in modo tale da avvisare i dipendenti ogni volta che tentano di condividere i file dell'azienda con un soggetto terzo. Imposta anche filtri contro lo spam e il phishing, per ridurre il rischio che possibili attacchi di ingegneria sociale vadano a buon fine.
Addestra i tuoi dipendenti
Una comprensione di base dei potenziali rischi di sicurezza informatica è fondamentale per tutte le persone che lavorano in azienda, soprattutto per chi gestisce dati sensibili. Dalla persona addetta alla reception fino all'analista capo, tutti devono essere consapevoli degli attacchi di ingegneria sociale, dei tipi di malware in circolazione e dei requisiti di sicurezza interna. Conoscendo e comprendendo l'entità dei danni che una fuga di dati potrebbe causare all'azienda, il personale si comporterà in modo più attento.
Stabilisci misure di sicurezza solide nella tua azienda
Usa i firewall per proteggere la rete e limitare il traffico specifico. Adotta misure efficienti di protezione contro i diversi tipi di malware, come ransomware, spyware o keylogger. Usa una VPN con crittografia robusta per garantire connessioni sicure, soprattutto se i dipendenti spesso viaggiano o lavorano da casa. Assicurati che, per i loro account più sensibili, utilizzino password complesse e l'autenticazione a due fattori. Incoraggiare l'uso di un generatore di password per creare password complesse, memorizzandole in modo sicuro in una cassaforte crittografata e aggiornandole frequentemente per evitare perdite di password.
Preparati al peggio
Nessuno vuole affrontare lo scenario peggiore, ma gli incidenti possono sempre verificarsi. Di conseguenza, è consigliabile mettere a punto un piano di risposta e controllo dei danni in caso di fughe di dati. Se subisci un attacco informatico, ogni minuto è prezioso: essere in grado di agire tempestivamente può evitare la perdita di ingenti somme di denaro – e della fiducia dei clienti – nel lungo periodo.
Predisponi un approccio in sicurezza all'archiviazione nel cloud.
Garantire la sicurezza dei dati archiviati nel cloud è indispensabile. In assenza di adeguate misure di sicurezza, le informazioni sensibili possono essere violate e rubate. Dedica tutto il tempo necessario a configurare la tua archiviazione cloud seguendo le migliori prassi in materia di sicurezza e, all'occorrenza, adotta strumenti aggiuntivi per proteggere i dati sul cloud.
Valuta e monitora i rischi derivanti da terzi.
Anche se riuscissi a garantire una sicurezza completa per la tua impresa, ricorda che i dati possono trapelare per mano di soggetti terzi, come partner e fornitori. Gli attacchi alle catene di approvvigionamentosono in aumento, e le imprese devono valutare le loro collaborazioni con terzi in termini di sicurezza per ridurre al minimo il rischio di cadere vittima di fughe di dati.
Pratiche di prevenzione delle fughe di dati
Innanzitutto, scopri che tipo di dati sono trapelati. Nomi di account, indirizzi e-mail e password sono spesso coinvolti in fughe di dati. Se il tuo account è stato colpito, cambia la password il prima possibile. Se utilizzi la stessa password altrove, è necessario cambiarla anche là. Se non lo fai, sarai vulnerabile a un attacco di credential stuffing , e tutti i tuoi account online saranno a rischio. Se la violazione ha coinvolto le tue carte di credito o i dati del conto corrente, contatta immediatamente la banca e blocca le carte.
Se la tua azienda è vittima di una fuga di dati, è fondamentale agire tempestivamente. Assicurati di contenere l'estensione della fuga non appena scopri l'accaduto. Avvia subito un'indagine approfondita per appurare cosa è successo esattamente, e perché. Informa la tua clientela circa la fuga. Condividi tutte le informazioni pertinenti: la data e il tipo di fuga, nonché i sistemi e gli utenti coinvolti. Infine, potenzia l'infrastruttura di sicurezza della tua azienda per ridurre il rischio di futuri incidenti informatici.
In conclusione
Le fughe di dati sono una minaccia in costante crescita nel panorama digitale: per questo motivo, essere previdenti e giocare d'anticipo è più importante che mai. Se sei preoccupato per la sicurezza dei tuoi dati professionali e personali, puoi iniziare ad adottare misure specifiche per proteggerli. La prima regola del business è creare il tuo gestore di password per aziende.
NordPass è un gestore di password che offre uno spazio di archiviazione crittografato per tutti i tuoi dati sensibili, come credenziali di accesso, indirizzi, dettagli di carte di credito o dati identificativi. Oltre alla cassaforte sicura, avrai anche accesso a funzionalità che contribuiscono a rafforzare la sicurezza dei dati, come funzione Salute Password , che controlla se le tue password sono deboli o riutilizzate, e il Data Breach Monitor , che ti avvisa se sei oggetto di una fuga di dati di password. Gioca d'anticipo rispetto alle fughe di dati e inizia a risolvere le falle di sicurezza, prima che le tue informazioni preziose finiscano nelle mani sbagliate.