Le data breaches sono così tante che non fanno più notizia se non sono “monstre”, ma anche quelle piccole fanno male

Vi ricordate quando le data breach facevano notizia? Qualcuno violava un database aziendale per rubarne i dati e subito si trovava la notizia da qualche parte. Certo, quelle che facevano rumore erano le più eclatanti come i famosi miliardi di username e password rubati da Yahoo, ma anche le prime AST, i primi ospedali, le università e così via. Adesso, le data breach sono così tante che solo per tenerne il conto servirebbe un sito dedicato.

In realtà, però, i siti dedicati non mancano: per esempio, gli instancabili curatori di Ransomfeed.it tengono traccia di molte delle violazioni che sfociano in un ransomware e molte di queste sono accompagnate dall’esfiltrazione di dati con conseguente minaccia di diffusione. Purtroppo, rappresentano solo un pezzo di un panorama di attacchi ed esfiltrazioni molto ampio e frammentato. Sui forum del Dark Web si trovano migliaia di post che offrono dati esfiltrati in qualche modo da qualche azienda, entità, ministero, ufficio… e la stampa muta. Perché? Perché sono troppi.

Ormai fai notizia solo se il leak è di dimensione mostruosa, come i dati dei 361 milioni di account di Telegram pubblicati di recente oppure quando la violazione può avere effetti a cascata come nel caso Pure Storage, dove la compromissione può coinvolgere altre aziende che hanno a disposizione database da proteggere. Delle decine di migliaia di record rubati ogni giorno, non si sa nulla o quasi.

Eppure, se si guarda la lista di aziende vittime di ransomware o di violazioni dichiarate, si vede che la stragrande maggioranza riguarda entità di dimensioni medio/piccole, ignorate dalla massa, ma non per questo meno pericolose.

Le conseguenze arrivano per tutti

Questa marea di violazioni informatiche ha creato un mare di credenziali e dati rubati così grande che i criminali non riescono a dargli fondo. E oltre al danno, c’è anche la beffa. Chi subisce un furto di dati è ovviamente esposto alla mannaia del Garante della Privacy che in Italia ha una particolarità: al contrario di quanto succede nella stragrande maggioranza dei Paesi europei, qui segue la regola del fare “piccole” multe a tante aziende invece di perseguire con multe elevate le poche che creano gravi infrazioni.
Come si legge dal report rilasciato da DLA Piper sulle multe inflitte nel 2023 in Europa a seguito di violazioni della privacy:

“European data protection supervisory authorities have grown in confidence year on year, with multiple fines issued during 2023 across a wide range of sectors. Notably Spain and Italy have opted for the little and often approach – issuing a large number of fines often for quite small amounts.”

Purtroppo, i “quite small amounts” di cui si parla sono piccoli se confrontati con le multe milionarie comminate alle grandi aziende, ma non in valore assoluto. Infatti, a fronte delle 1866 violazioni contestate nel 2023, sono state elevate multe per 145.167.327 euro, arrivando a una media di quasi 85mila euro di multa per ogni violazione.

Uno scenario sempre più complesso e in peggioramento

Cosa bisogna aspettarsi, quindi, nei prossimi mesi? Sappiamo che sia il numero degli attacchi andati a segno, sia dei furti di dati è in deciso aumento grazie ai numerosi report rilasciati dai vendor di sicurezza. Di conseguenza, l’unico scenario possibile è quello di un peggioramento della situazione media. Ma questo non deve spingere le aziende nel baratro dell’invevitabilità. La sicurezza informatica è un processo continuo e come tale dev’essere trattato.

Le minacce crescono in numero e sofisticazione, ma anche gli strumenti in mano a chi sa fare il proprio mestiere di gestione dell’infrastruttura sono migliorati molto. Bisogna far capire alle aziende che non basta un contatto occasionale per gestire la sicurezza, ma che serve un rapporto costante basato su iniziative ripetute e test continuativi. Perché se è vero che una multa può arrivare se facciamo un errore da qualche parte è anche vero che se le aziende fermano i processi di aggiornamento le multe inizieranno a fioccare.