Uno sguardo alle statistiche di violazione dei dati nel 2020

2020 ha dimostrato di essere un anno impegnativo da tutti i punti di vista. Con la crisi sanitaria causata dalla pandemia COVID-19 che ha sconvolto l’economia mondiale e paralizzato molti settori, la cybersecurity potrebbe essere stata l’ultima cosa a cui pensare. Tuttavia, molti attori maligni hanno approfittato del caos per seminare il caos e incassare il rilassamento degli sforzi di cybersecurity. Di conseguenza, il 2020 è stato un anno stellare per le violazioni dei dati e le multe regolamentari.

L’adozione affrettata di politiche diffuse di lavoro a distanza in tutti i settori aziendali ha creato grandi lacune nella cybersicurezza che hanno portato ad un aumento degli incidenti di sicurezza. Secondo la società di cybersecurity Malwarebytes’ Enduring from Home: COVID-19’s Impact on Business Security report, i lavoratori remoti sono diventati la fonte di quasi il 20% degli incidenti di cybersecurity nel 2020. Tra le aziende che hanno risposto al loro sondaggio, il 24% ha anche affrontato spese impreviste legate direttamente a cyberattacchi e violazioni che si sono verificati a causa del lavoro da casa.

Il rapporto ha anche mostrato una tendenza preoccupante tra i lavoratori remoti ad utilizzare i loro dispositivi personali invece di quelli in dotazione alla società. Il 27,7% degli intervistati ha dichiarato di utilizzare i propri dispositivi personali più dei dispositivi forniti dal loro posto di lavoro, con un ulteriore 31,2% che ammette di aver usato a volte i dispositivi personali per il lavoro. Solo il 39,1% ha utilizzato rigorosamente solo i dispositivi in dotazione al lavoro per svolgere le proprie mansioni.

Alcune delle principali preoccupazioni delle aziende quando si tratta di lavoro remoto sono legate al fatto che i dispositivi sono più esposti a casa dove persone non autorizzate possono avere accesso ad essi, la difficoltà di gestire i dispositivi utilizzando risorse di lavoro remoto, lo shadow IT e una diminuzione dell’efficacia del supporto IT svolto in remoto. Tutto questo in una situazione in cui solo il 61% delle aziende ha fornito ai dipendenti dispositivi in dotazione al lavoro e il 45% non ha effettuato analisi di sicurezza e privacy online degli strumenti software implementati per la transizione al lavoro da casa.

Principali cause di violazione dei dati

Secondo il rapporto 2020 di IBM e del Ponemon Institute Cost of a Data Breach, che ha intervistato 3200 persone che lavorano per 524 organizzazioni in 17 paesi e regioni, il 52% di tutte le violazioni dei dati è stato causato da malintenzionati esterni, un ulteriore 25% da difetti di sistema e il 23% da errori umani. Le informazioni di identificazione personale dei clienti (PII), che comprendono l’80% di tutte le violazioni di dati, sono state il tipo di record più spesso perso o rubato. Questo non è sorprendente dato che le PII sono il tipo di dati più prezioso a causa della loro sensibilità. Di conseguenza, è anche il tipo di dati più spesso protetto dai regolamenti sulla protezione dei dati.

Le credenziali compromesse e l’errata configurazione del cloud sono stati responsabili del 19% delle violazioni dannose dei dati, con vulnerabilità del software di terze parti che rappresentano un altro 16%. L’errore umano non è stato anche l’unico modo in cui i dipendenti hanno contribuito alle violazioni dei dati. Gli insider malintenzionati sono stati la causa principale del 7% delle violazioni di dati, con l’ingegneria sociale e gli attacchi di phishing che hanno preso di mira direttamente i dipendenti per un ulteriore 17%.

I dipendenti hanno anche dimostrato di essere più negligenti in alcuni settori che in altri. In cima alla lista c’è l’industria dell’intrattenimento, dove il 34% di tutte le violazioni di dati sono state causate da dipendenti negligenti, seguita dal settore pubblico e dei prodotti di consumo, dove l’errore umano ha rappresentato il 28% delle violazioni di dati. Nel settore sanitario, nonostante i pesanti regolamenti, la negligenza dei dipendenti è stata responsabile del 27% di tutte le violazioni di dati. Dall’altra parte dello spettro, nel settore dei trasporti, solo il 13% delle violazioni di dati è stato causato da un errore umano, mentre nel settore retail e tech è stato il 17%.

Le multe del GDPR continuano ad aumentare

Mentre l’applicazione di alcuni regolamenti sulla protezione dei dati, come l’HIPAA negli Stati Uniti, è stata allentata a causa della pandemia, le agenzie europee di protezione dei dati hanno continuato il loro lavoro senza ostacoli. Quest’anno ha portato una serie di multe record a causa del mancato rispetto del regolamento generale sulla protezione dei dati dell’UE. Fino ad oggi, 281 multe sono state emesse quest’anno, per un totale di oltre 162 milioni di euro.

Google è stato il più colpito, con il suo ricorso contro la multa di 50 milioni di euro della CNIL, l’autorità francese per la protezione dei dati, respinto dalla più alta corte del paese e l’autorità svedese per i dati che ha inflitto al gigante tecnologico un’altra multa di 7 milioni di euro per il mancato rispetto del diritto all’oblio di un individuo.

Nell’ottobre 2020, la seconda più grande multa GDPR mai imposta, di circa 35 milioni di euro, è stata emessa dal Data Protection Authority di Amburgo, in Germania, al rivenditore di abbigliamento H&M per aver registrato le riunioni con i dipendenti durante le quali sono state divulgate informazioni sensibili e averle poi condivise internamente tra i dirigenti.

British Airways è stata multata di 22 milioni di euro per non aver impedito una violazione dei dati che ha colpito 400.000 clienti a causa di scarse misure di sicurezza informatica. Marriott nel frattempo è stata colpita da una multa di 20,4 milioni di euro per la spettacolare violazione dei dati che ha colpito 83 milioni di record di ospiti ed è stata una conseguenza della sua mancanza di due diligence dopo l’acquisizione del gruppo Starwood che era alla base dell’incidente.

In conclusione

Come le aziende affrontano le difficoltà poste dalla pandemia COVID-19, è essenziale che non trascurino la cybersecurity. Gli attori maligni sono sempre alla ricerca di opportunità di profitto e quest’anno non è stato diverso. Allo stesso tempo, anche se le autorità per la protezione dei dati si sono mostrate più indulgenti a causa delle circostanze attuali, non si sono trattenute dall’applicare sanzioni esorbitanti quando è stata identificata una grave negligenza dei requisiti di protezione dei dati.

Tutto questo dimostra che la cybersecurity, che fino a pochi anni fa era considerata un ripensamento da molte organizzazioni, è ora una parte cruciale delle operazioni aziendali e non ci sarà più un momento in cui sarà accettabile non tenerne conto.