Assistiamo purtroppo a una continua crescita del numero dei data breach subiti da aziende private ed enti pubblici. Solo negli USA, secondo il “End-of-Year Data Breach Report 2019” dell’Identity Theft Resource Center (ITRC), organizzazione no profit fondata per supportare le vittime di questi crimini, il numero di data breach registrati è stato nel 2019 pari a 1.473, in crescita del 17% rispetto al 2018. In termini di record complessivi esposti, secondo l’ITRC il totale del 2019 è stato di 164 milioni (mentre nel 2018 aveva raggiunto i 471 milioni, ma di questi, 383 milioni erano riconducibili a un solo data breach, quello di Marriott).
Le aziende private sono state le principali vittime di data breach (644), seguite dal settore sanitario (525). Su tutti gli eventi, quelli riconducibili a hacking contano per un 39% dei casi, seguiti da un 36% di accessi non autorizzati. Quello che è grave è osservare un trend complessivo negli ultimi 10 anni che non mostra alcun miglioramento. La conseguenza più grave è che le informazioni personali, una volta esposte, permettono agli hacker di svolgere ulteriori attività malevole (frodi, ulteriori furti di dati) indirizzandole ai singoli individui.
Qual è il costo che un’azienda deve sostenere in caso di attacco hacker che comporti un data breach di queste dimensioni?
Una nota ricerca che risponde a questa domanda è quella svolta annualmente da Ponemon Institute, il “2019 Cost of a Data Breach Report”, che quest’anno, sulla base di interviste a 500 organizzazioni medio grandi di tutto il mondo che hanno subito un data breach, stima che il costo medio per record sottratto sia pari a 150 dollari (era 145 dollari nel 2014). Per le aziende italiane che hanno partecipato allo studio il costo medio si attesta a un valore leggermente inferiore, 146 dollari per record sottratto. L’analisi prende in considerazione un centinaio di fattori di costo potenziali, tecnologici, legali, regolatori, legati alla perdita del valore del brand, perdita di clienti e mancata produttività dei dipendenti.
Gli USA sono il Paese in cui il costo medio per data breach è cresciuto di più negli ultimi anni, passando da un valore di 3,5 milioni di dollari nel 2006 a 8,19 milioni di dollari nel 2019 (una crescita del 130%).
Il costo medio varia considerando il settore, in quanto il mondo sanitario e finanziario devono affrontare costi molto più alti rispetto alla media di 150 dollari per record: in particolare il settore Health (che nello studio è costituito da organizzazioni private localizzate negli USA) nel 2019 ha raggiunto un valore di 429 dollari per record perso.
Quali sono per le aziende che hanno subito un data breach le voci di costo più elevate?
- Al primo posto l’impatto economico legato alla perdita di business (perdita di fatturato, business disruption e quindi downtime di sistemi e servizi, costi legati alla necessità di trovare nuovi clienti), che complessivamente pesa per il 36,2% del costo complessivo.
- A seguire (31,1% del costo complessivo) i costi legati alle attività di detection e escalation interna, quindi tutto quanto ha riguardato la gestione dell’incidente.
- Terzo costo il tema del Post-breach (27,3%), quindi i processi attivati per dare continuità di servizio, risposta ai clienti, oltre che naturalmente per il ripristino della situazione.
- Il costo per le notifiche è una voce a parte, che è stata stimata da Ponemon pari al 5,4% del costo complessivo.
- Non sono invece compresi nella stima di Ponemon i costi che normalmente le aziende sostengono per la security (dalle misure preventive di protezione degli ambienti ICT, a tutti i costi per la compliance a standard, policies aziendali e norme di settore, agli strumenti per monitoraggio e risposta).
Dall’analisi emerge inoltre che il costo del data breach può durare anni: in media, il 67% dei costi viene affrontato nel primo anno, il 22% nel secondo e il restante 11% negli anni successivi. In alcuni settori molto regolati, come quelli sanitario e finanziario, la durata del periodo in cui si affrontano costi legati all’incidente informatico può essere anche più lunga. Anche in termini di gestione degli incidenti, i tempi risultano oggi maggiori: rispetto a quanto osservato nel 2018, quest’anno è incrementato sia il tempo per identificare un data breach (in media 206 giorni) sia quello richiesto per contenerlo (73 giorni). Purtroppo, questo non è un buon segnale perché in realtà più rapidamente si risponde a un incidente, più si riduce il costo complessivo.
Queste analisi fanno riferimento a campioni ampi di aziende e arrivano ad estrapolare il costo del cyber crime che impatta singoli settori di mercato: è possibile però estendere queste valutazioni e stimare il costo complessivo per la comunità internazionale.
Nello studio “Net Losses: Estimating the Global Cost of Cybercrime”[1] del CSIS (Center for Strategic and International Studies) si affronta con ampiezza il tema della spesa legata al cyber crime, permettendoci di vederlo da punti di vista diversi. L’analisi rende esplicite tutte le possibili voci di costo causate dal cyber crime, con alcune aggiunte rispetto allo studio Ponemon, ossia i costi diretti e indiretti per la società nel suo complesso dovuti a:
- Perdita/ furto di asset finanziari, di informazioni personali e di business
- Perdite specifiche del settore manifatturiero per sottrazione di brevetti o, più in generale, di Intellectual Property
- Posti di lavoro persi a causa di crimini cyber
- Danno reputazionale
- Costi addizionali per mettere in sicurezza i sistemi informatici e le reti, acquisto di cyber insurance
- Spese per il ripristino a seguito di un attacco cyber, quindi costi per danni fisici, legati al danno di reputazione e costi legali
- Manipolazione del valore finanziario di aziende quotate.
Nell’analisi di febbraio 2018, “Economic Impact of Cybercrime— No Slowing Down”, di CSIS e McAfee, è stata ribadita la crescita dell’impatto economico del cyber crime, che come riporta la figura successiva, è passato dallo 0,6% sul Global GDP nel 2014 (per un totale di 474 miliardi di dollari) allo 0,8% sul Global GDP nel 2018 (pari a 679 miliardi di dollari). Estendendo questo trend ai prossimi anni, si stima che il costo del cyber crime arriverà a valere oltre 1.000 miliardi di dollari nel 2022.
I motivi per cui il costo del cyber crime è in continua ascesa sono molteplici:
- I cyber criminali sono molto veloci nell’utilizzo di nuove tecnologie (AI, criptovalute, ecc.) che li aiutano a rendere più efficaci i propri attacchi
- La grande crescita nella digitalizzazione di Paesi con economie arretrate, costretti a budget ristretti e quindi a una cybersecurity limitata
- L’organizzazione sempre maggiore del cyber crime a livello globale e locale (con alcuni Paesi che hanno propri centri specializzati in questo, es. Brasile, Vietnam, Nord Corea) e la rivendita di strumenti e servizi che permettono anche a “non esperti” di sferrare attacchi (Cybercrime-as-a-Service)
- Lo sviluppo di tecniche per facilitare la monetizzazione dei crimini, sui black market (dove agiscono broker e intermediari), con criptovalue e money mules.
Inoltre, va considerato che il cyber crime dispone oggi di una superfice di attacco estremamente estesa, se contiamo
- 4,5 miliardi di persone utenti di Internet a gennaio 2020 (il 59% della popolazione globale), ma in Europa Occidentale una percentuale che tocca il 95%;
- 3,8 miliardi di persone attive sui social network (di cui 3,75 da mobile)
- 1,7 miliardi di siti web presenti sul world wide web (anche se si stima che solo 200 milioni siano effettivamente attivi)
- 20 miliardi di oggetti IoT installati nel 2020
Correlate a questi numeri, quindi, la scala dei risultati ottenuti dal cyber crime ha raggiunto livelli impressionanti: per citare alcuni numeri che descrivono bene il fenomeno, ricordiamo:
- “Nel 2019 sono stati bloccati quasi 90 miliardi di tentativi di violazioni al giorno, a fronte di circa 6 miliardi di ricerche quotidiane stimate su Google” (ha affermato Gil Shwed, fondatore e CEO di Check Point).
- Uno dei più importanti ISP ha osservato 80 miliardi di tentativi di attacco al giorno, dimostrando così l’importanza del livello di automazione oggi raggiunto dal cyber crime.
- Secondo molti ricercatori di sicurezza, una stima della quantità di nuovo malware prodotto al giorno si aggira tra i 300mila e 1 milione di software malevolo creato in 1 giorno. Si tratta per lo più di software automatico che ricerca su internet device e reti vulnerabili.
- Google Play Protect, Sistema di protezione automatica per mobile Android, ha bloccato nel 2019 oltre 1,9 miliardi di tentativi di installazione di app con malware provenienti da store non ufficiali. Il numero è in crescita: erano 1,6 miliardi nel 2017 e nel 2018.
Attività che purtroppo nei giorni dell’epidemia da COVID-19 hanno registrato un ulteriore incremento: come notato da un vendor di cybersecurity, le mail di phishing sono esplose con un trend del +600% a fine febbraio: gli incidenti di sicurezza osservati sono passati da 137 a 1.188 in febbraio e 9.116 prima della fine di marzo. Secondo il vendor, un 2% dei 468mila attacchi globali con email osservati nel periodo, avevano come tema l’emergenza da coronavirus.
A cura di:
Elena Vaciago
Associate Research Manager, The Innovation Group