Ma quanto ci costano i data breach? Facciamo un po’ di conti
2024-2-23 17:16:36 Author: www.cybersecurity360.it(查看原文) 阅读量:5 收藏

I numeri

Dati alla mano, paese per paese, vediamo come impatta una violazione dei dati e cosa ci attende nel 2024. Ma ora le aziende stanno puntando su strategie innovative per proteggere i propri asset digitali

Pubblicato il 23 Feb 2024

Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant, BCI Cyber Resilience Committee Member, CLUSIT Scientific Committee Member, BeDisruptive Training Center Director

In un contesto sempre più erratico e caratterizzato da un processo di digitalizzazione e innovazione spinto dall’Artificial Intelligence è necessario avere implementato solide strategie di cyber security per contrastare i continui cyber attack.

Tuttavia, le violazioni dei dati sono in aumento. Ma qual è il costo di una violazione dei dati e cosa ci attende nel 2024?

Scenario & postura resiliente vs. cyber attack

In un contesto dove le minacce informatiche sono costantemente in mutamento, diventa progressivamente più arduo per le organizzazioni salvaguardare i propri dati e sistemi senza l’adozione di strategie efficaci di gestione della superficie di attacco o di gestione del rischio associato alle terze parti.

Backup & disaster recovery: come garantire un riavvio efficace dell'infrastruttura IT

Le organizzazioni o i settori maggiormente esposti al rischio di attacchi informatici necessitano di comprendere le modalità per proteggere le proprie risorse digitali, considerando che, in assenza di tali misure, potrebbero incorrere in perdite milionarie dovute a danneggiamenti, furto di dati, compromissione della reputazione e molto altro, il cui costo finale può essere solo quantificato nel tempo.

A tal proposto, è interessante analizzare i vari report pubblicati recentemente sulla materia per comprendere meglio il rischio un’organizzazione potrebbe dover affrontare nel mondo digitale di oggi. E precisamente :

  • IBM Cost of a Data Breach 2023
  • Crowdstrike 2023 Global Threat Report
  • Verizon 2023 Data Beach Investigations Report

E-mail dei dipendenti, dal Garante privacy nuove indicazioni sulla conservazione dei metadati: gli impatti

Approfondimenti sulle violazioni dei dati nel 2024

Di seguito quanto si evince dai report sopra riportati in termini di violazione dei dati:

  • Il costo medio di una violazione dei dati ha raggiunto i 4,45 milioni di dollari nel 2023 (Fonte: IBM Cost of a Data Breach Report 2023) – Si è registrato un aumento del 2,3% rispetto al 2022 di 4,35 milioni di dollari. Di fatto, dal 2020, il costo medio di una violazione dei dati è aumentato del 15,3% da 3,86 milioni di dollari e, sulla base di questo trend, si ritiene che i costi raggiungeranno i 5 milioni di dollari entro i prossimi anni.
  • Il malware e gli attacchi distruttivi hanno rappresentato il 24% e il 25% di tutti gli attacchi informatici (Fonte: IBM Cost of a Data Breach Report 2023) – I costi e i danni causati da attacchi malware sono stati in media di 5,24 milioni di dollari, mentre i costi da attacchi distruttivi hanno raggiunto i 5,13 milioni di dollari. Questi due tipi di attacchi hanno rappresentato la percentuale maggiore di tutti gli attacchi dannosi in più di 500 organizzazioni studiate da IBM e Ponemon Institute. Inoltre, mentre gli attacchi malware possono avere una serie di obiettivi, come il furto di dati o l’estorsione, gli attacchi distruttivi hanno il solo scopo di distruggere dati, paralizzare i sistemi o causare danni irreversibili. Gli aggressori Nation-state o state-sponsored sono, di solito, gli attori degli attacchi distruttivi che sfruttano vulnerabilità zero-day, malware distruttivi o ransomware.
  • Occorrono 84 secondi da una violazione iniziale del sistema da parte di un criminali informatici per effettuare un altro movimento laterale (Fonte: CrowdStrike 2023 Global Threat Report) – Bastano solo 84 secondi perché un criminale informatico si sposti lateralmente su un altro sistema. Di fatto, sebbene molte organizzazioni possano concentrare i loro sforzi sulla prevenzione delle violazioni, sembrerebbe che molte di esse non dispongano di forti politiche di controllo degli accessi o di segmentazione della rete interna. Ciò significa che i criminali informatici, che sono in grado di ottenere l’accesso non autorizzato ai sistemi, una volta entrati, hanno inizialmente libero roaming.
  • I criminali utilizzano sempre meno il malware per ottenere l’accesso ai sistemi (Fonte: CrowdStrike 2023 Global Threat Report) – Nel Global Threat Report 2023 di Crowdstrike, solo il 29% dei rilevamenti di violazioni ha riguardato malware nel 2022, in calo rispetto al 38% del 2021. Ciò suggerisce che i criminali informatici stanno utilizzando più metodi per rubare credenziali valide ed eseguire exploit di vulnerabilità per ottenere l’accesso ai sistemi. Inoltre, i criminali informatici sono avvantaggiati anche dalle scarse capacità di rilevamento e ai tempi di risposta delle organizzazioni per portare a termine i loro attacchi.
  • Le organizzazioni che investono in servizi o strumenti di rilevamento delle violazioni dei dati AI per l’automazione o la sicurezza hanno costi di violazione dei dati inferiori e cicli di vita delle violazioni più brevi (Fonte: IBM Cost of a Data Breach Report 2023) – Le organizzazioni che utilizzano servizi di rilevamento automatico o sistemi di AI per il rilevamento delle violazioni hanno registrato:
    1. una media di 1,76 milioni di dollari in meno di costi di violazione dei dati rispetto alle aziende che non li utilizzano.
    2. un ciclo di vita della violazione più breve – di circa 108 giorni – che include il rilevamento iniziale della minaccia, il contenimento e la risoluzione dall’inizio alla fine.
  • Le organizzazioni che non hanno coinvolto le forze dell’ordine negli attacchi ransomware hanno registrato costi e cicli di vita delle violazioni più elevati (Fonte: IBM Cost of a Data Breach Report 2023) – Le organizzazioni colpite da un attacco ransomware, ma che hanno scelto di non coinvolgere le forze dell’ordine, hanno subito, in media, un aumento di 470.000 dollari di costi e danni e 33 giorni aggiuntivi nel ciclo di vita della violazione, rispetto a quelle che hanno scelto di non denunciare l’attacco e che corrispondono al 37% del totale delle organizzazioni colpite.
  • I costi di violazione dei dati più elevati (Fonte: IBM Cost of a Data Breach Report 2023) – Il settore sanitario ha registrato i costi di violazione dei dati più elevati nel 2023, raggiungendo una media di 10,93 milioni di dollari. Di seguito i primi cinque settori con i costi medi più alti in USD – settore sanitario incluso) sono stati:
    1. Settore sanitario – $ 10.93 milioni
    2. Dati finanziari – $ 5.9 milioni
    3. Prodotti farmaceutici – 4,82 milioni di dollari
    4. Energia – 4,78 milioni di dollari
    5. Industriale – 4,73 milioni di dollari
  • Le infrastrutture critiche hanno registrato in media 5,04 milioni di dollari di costi di violazione dei dati, mentre gli altri settori hanno registrato una media di 3,78 milioni di dollari (Fonte: IBM Cost of a Data Breach Report 2023) – Le infrastrutture critiche hanno naturalmente costi di violazione dei dati più elevati a causa del tipo di informazioni e dati che gestiscono. Di fatto, i primi cinque settori con i costi più elevati per le violazioni dei dati sono stati tutti nei settori Infrastrutture Critiche, che includono sanità, finanza, energia e altro ancora (vedere sopra). I settori che non rientrano nelle Infrastrutture Critiche includono in genere settori come i beni di consumo, alimentare/bevande o i viaggi/turismo.
  • L’82% delle violazioni si è verificato nell’ambiente cloud, con il 39% delle violazioni della sicurezza cloud che si estende su più ambienti (Fonte: IBM Cost of a Data Breach Report 2023) – Interessante notare che l’82% di tutte le violazioni dei dati ha riguardato dati archiviati nel cloud, pubblici o privati, e il 39% di queste violazioni ha riguardato più ambienti. Inoltre, le violazioni della sicurezza del cloud sono state fortemente correlate a costi più elevati per le violazioni dei dati, poiché le aziende impiegavano più tempo per identificarle e contenerle.

È doveroso sottolineare che, quando si è verificata una violazione in più ambienti, i costi medi hanno raggiunto i 4,75 milioni di dollari.

È anche importante notare che le violazioni che si sono verificate nello spazio cloud pubblico sono state, in media, di circa 4,54 milioni di dollari, il 17% in più rispetto alle violazioni che si sono verificate negli ambienti di storage pubblici o on-premise, pari a 3,98 milioni di dollari.

  • I cicli di vita delle violazioni contenuti entro 200 giorni hanno avuto un costo medio di 3,93 milioni di dollari, mentre i cicli di vita delle violazioni che sono durati più di 200 giorni hanno avuto un costo medio di 4,95 milioni di dollari (+23%) (Fonte: IBM Cost of a Data Breach Report 2023) – Duecento giorni è stato il punto di partenza per la maggior parte dei cicli di vita delle violazioni dei dati. Le organizzazioni colpite da una violazione dei dati – che sono state in grado di identificare, contenere e risolvere rapidamente – hanno registrato un costo di violazione dei dati molto inferiore rispetto alle aziende che hanno impiegato più di 200 giorni per risolvere i loro problemi. I cicli di vita delle violazioni che durano più di 200 giorni hanno, di fatto, avuto una media di 4,95 milioni di dollari di costi di violazione dei dati, che rappresentano quasi il 23% in più di costi riferiti alle violazioni con un ciclo di vita entro i 200 giorni e pari a un costo medio di 3,93 milioni di dollari.
  • Il ciclo di vita medio della violazione è stato di 277 giorni nel 2023 (Fonte: IBM Cost of a Data Breach Report 2023) – Nel 2023, il tempo medio per identificare una violazione è stato di 204 giorni. Il tempo medio per contenere una violazione nel 2023 è stato di 73 giorni, portando il ciclo di vita totale della violazione a 277 giorni. Anche il ciclo di vita medio delle violazioni nel 2022 è stato di 277 giorni, con una variazione del +0%. Per la cronaca, l’anno medio più alto del ciclo di vita delle violazioni è stato nel 2021, con una media di 281 giorni.
  • Le organizzazioni più grandi hanno registrato una diminuzione dei costi delle violazioni dei dati nel 2023, mentre le organizzazioni più piccole hanno registrato un aumento significativo dei costi delle violazioni dei dati (Fonte: IBM Cost of a Data Breach Report 2023) – Le organizzazioni più grandi (>5000 dipendenti) dispongono, in genere, di programmi di sicurezza più consolidati e risultano più attrezzate nel gestire eventuali violazioni dei dati e sarà sempre più difficile per i criminali informatici rubare o compromettere i loro dati. Dal rapporto di IBM si evince, infatti, che le aziende con almeno 10.000 dipendenti hanno registrato un calo dei costi compreso tra l’1 e il 2%. Dal report si evince che i criminali informatici stanno spostando la loro attenzione sulle piccole o medie imprese (<5000 dipendenti) che non sono così ben protette e hanno maggiori probabilità di essere violate. Le organizzazioni con 500-5000 dipendenti hanno, di fatto, registrato un aumento di almeno il 20% dei costi delle violazioni dei dati rispetto al 2022.
  • Il tipo più comune di dati rubati o compromessi è stato il Customer Personal Identifiable Information – PII (IBM Cost of a Data Breach Report 2023) – I primi cinque tipi di dati che sono stati rubati o compromessi nel 2023 sono stati:
    1. PII del cliente
    2. PII dei dipendenti
    3. Proprietà intellettuale (PI)
    4. Dati dei clienti (non PII)
    5. Dati societari
  • Il 74% delle violazioni della sicurezza ha coinvolto un elemento umano (Fonte: Verizon Data Breach Investigations Report 2023) – La stragrande maggioranza delle violazioni della sicurezza coinvolge un elemento umano, i.e. l’errore umano, le credenziali rubate, l’uso improprio dei privilegi o l’ingegneria sociale.
  • Le credenziali rubate/compromesse (15%) e il phishing (16%) sono stati i due vettori di attacco più comuni nel 2023 (Fonte: IBM Cost of a Data Breach Report 2023) – Le violazioni che utilizzano credenziali rubate o compromesse hanno richiesto in media 328 giorni per essere identificate e contenute, seguite da insider dannosi (308 giorni) e ingegneria sociale (298 giorni).
  • Oltre il 32% degli incidenti di Log4shell si è verificato entro i primi 30 giorni dal suo rilascio (Fonte: Verizon Data Breach Investigations Report 2023) – Sebbene la vulnerabilità di Log4shell sia stata un grave incidente globale che ha colpito molte grandi organizzazioni, la maggior parte delle vulnerabilità di Log4j sono state corrette e non hanno interessato molte organizzazioni negli ultimi due anni. Tuttavia, a causa dell’uso diffuso delle applicazioni Log4j, molti esperti ritengono che sarà ancora una vulnerabilità prevalente per gli anni a venire.
  • L’attività degli hacktivisti è cresciuta in modo significativo negli ultimi due anni e continuerà ad aumentare (Fonte: Crowdstrike 2023 Global Threat Report) – Dall’inizio della guerra in Ucraina alla fine del 2022, Crowdstrike ha riscontrato un aumento significativo dell’attività di hacktivisti proveniente dalla Russia e che ha colpito diversi paesi in tutto il mondo. È doveroso evidenziare che nel 2023 ci sono state anche diverse segnalazioni o incidenti provenienti da Taiwan che hanno confermato il coinvolgimento della Cina o di suoi affiliati in molti attacchi hacktivist.
  • Il principale vettore di attacco per gli attacchi ransomware è l’e-mail (Verizon Data Breach Investigations Report 2023) – Quasi il 35% degli attacchi ransomware ha avuto origine da un account e-mail che è stato violato. Ovvero, l’attacco via e-mail coinvolge un utente ignaro che apre ed esegue il malware da solo. Inoltre, gli altri due vettori di attacco più diffusi sono: la condivisione del desktop e le applicazioni Web.

Proteggere le aziende dai data breach: la gestione di emergenze cyber e continuità operativa

I costi dei data breach per Paese

Da quanto si evince dal report IBM Cost of a Data Breach Report 2023, gli Stati Uniti hanno registrato i costi di violazione dei dati più elevati al mondo. Ciò è probabilmente dovuto a causa della ricchezza delle organizzazioni, dell’economia e della quantità di dati gestiti negli Stati Uniti.

Inoltre, il report rivela che, nell’area Medio Oriente, nel 2022, il costo medio per violazione dei dati era pari a 6,46 milioni di dollari. Cifra che è salita a 8,07 milioni di dollari nel 2023, registrando un incremento di quasi il 20%.

Di seguito la classifica dei primi cinque Paesi/Aree geografiche che hanno registrato i costi più elevati per le violazioni dei dati, e precisamente:

  1. Stati Uniti – 9.48 milioni di dollari
  2. Medio Oriente – 8,07 milioni di dollari
  3. Canada – 5,13 milioni di dollari
  4. Germania – 4,67 milioni di dollari
  5. Giappone – 4,52 milioni di dollari

È doveroso sottolineare che il costo medio di un attacco informatico risulta elevato non solo a causa della compromissione di dati e informazioni, ma anche per l’impatto prolungato che esso esercita sull’intero tessuto organizzativo dell’azienda, sia nel breve che nel medio termine.

Gli attacchi informatici possono infatti interrompere o rallentare le operazioni aziendali, e un sistema informatico inattivo significa un’azienda che, in tutto o in parte, si trova in una situazione di stallo.

Inoltre, i dati rubati, che comprendono informazioni personali di dipendenti o clienti, rappresentano un ulteriore costo. Senza trascurare le spese necessarie per il ripristino dei danni, come la ricostruzione delle reti, che richiede interventi tecnici specifici non sempre alla portata dei team IT di piccole e medie imprese.

Nel caso degli attacchi ransomware, che impediscono l’accesso a sistemi e dati fino al pagamento di un riscatto, alcune aziende finiscono per pagare la somma richiesta. È importante ricordare, tuttavia, che cedere al pagamento non garantisce la risoluzione del problema e, inoltre, fornisce risorse economiche agli hacker, sostenendo di fatto l’economia del crimine informatico. Di fatto, si stima che ogni riscatto pagato finanzi altri nove attacchi di questo tipo.

Non va infine trascurato l’onere derivante da sanzioni e costi legali in caso di violazioni dei dati. Il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea attribuisce alle imprese l’obbligo di tutelare i dati degli utenti e di segnalare tempestivamente eventuali violazioni. La mancata osservanza di queste normative può portare al pagamento di multe significative e al sostenimento di spese legali rilevanti.

Cosa succede in Italia

Dal report si evince che l’Italia ha registrato, nel 2023, un costo complessivo delle violazioni di dati pari a 3,55 milioni di euro, in crescita vs. 3,03 milioni di euro nel 2021.

Inoltre, in media, sono necessari 235 giorni per rilevare e neutralizzare una minaccia informatica, con 174 giorni impiegati per individuare una violazione e 61 giorni per arginarla.

Ciò rappresenta una riduzione di 15 giorni rispetto alla media italiana del 2022, che era di 250 giorni. Un risultato che guadagna ulteriore interesse se confrontato con i dati pre-covid del 2019, quando erano necessari 283 giorni in totale, i.e. 213 per l’identificazione e 70 per il contenimento.

È interessante notare come in Italia, le organizzazioni che hanno adottato in modo intensivo l’intelligenza artificiale (AI) e l’automazione hanno evidenziato un periodo di gestione delle violazioni dei dati significativamente ridotto di 112 giorni rispetto a quelle che non hanno implementato queste tecnologie, (i.e. 199 giorni vs. 311).

Inoltre, le organizzazioni che hanno integrato l’AI e l’automazione nella loro sicurezza informatica hanno riscontrato costi medi per violazione dei dati notevolmente inferiori, con una riduzione di quasi 1,56 milioni di euro (da 4,53 milioni a 2,97 milioni di euro), rappresentando il più elevato risparmio sui costi rilevato nello studio di IBM.

Nonostante ciò, considerando che circa il 38% delle organizzazioni italiane non ha ancora adottato l’AI e l’automazione nei propri sistemi di sicurezza, rimangono ampi margini di miglioramento per accelerare il rilevamento e la risposta alle minacce e per abbattere ulteriormente i costi legati alle violazioni.

Che cosa ci attende nel 2024

Il cybercrime, secondo quanto afferma la società di ricerche americana Cyber security Ventures, costerà al mondo 9,5 trilioni di dollari nel 2024, posizionandolo come la terza economia mondiale, dopo Stati Uniti e Cina.

Di seguito un’analisi dei costi globali dei danni da criminalità informatica previsti da Cyber security Ventures nel 2024:

  1. 9,5 trilioni di dollari all’anno
  2. 793 miliardi di dollari al mese
  3. 182,5 miliardi di dollari a settimana
  4. 26 miliardi di dollari al giorno
  5. 1 miliardo di dollari l’ora
  6. 18 milioni di dollari al minuto
  7. 302,000 USD al secondo

Inoltre, sempre secondo Cybersecurity Ventures, assisteremo ad un aumento considerevole dei costi finanziari scaturiti dai vari attacchi, con stime che indicano una crescita annua del 15% dei costi globali dei danni causati dalla criminalità informatica nei prossimi due anni, raggiungendo i 10,5 trilioni di dollari all’anno entro il 2025.

Ne consegue che le organizzazioni dovranno adottare sempre più una strategia di difesa a più livelli per proteggersi dalle minacce informatiche(i.e.: Managed Detection and Response, Cyber Threat Intelligence, Patching, vulnerability assessment, Zero-Trust, SASE, ecc), oltre a continuare a educare i dipendenti e preparare i piani di risposta agli incidenti ed esercitarli periodicamente.

Ovvero, si tratta di acquisire una consapevolezza continua del panorama delle minacce, attraverso un approccio proattivo, disciplinato, quanto mai necessario in un panorama normativo che si basa sempre più su un approccio risk-based e resilience-based e che presuppone l’implementazione dei principi di Risk Management, Business Continuity e Cybersecurity.

Conclusioni

Con l’incremento del costo finanziario legato agli attacchi informatici e al moltiplicarsi dei data breach, le aziende stanno prendendo sempre più coscienza dell’importanza cruciale di adottare misure di sicurezza informatica efficaci.

La lotta alla cyber criminalità necessita di un approccio olistico che integri tecnologie avanzate, educazione e formazione costante dei dipendenti, oltre a un’attività proattiva di identificazione delle minacce.

Di fronte a minacce in costante evoluzione, le aziende stanno puntando su strategie innovative per proteggere i propri asset digitali, garantire la continuità operativa e mitigare le potenziali perdite finanziarie derivanti da incidenti informatici.

Il contesto della sicurezza informatica è in rapido cambiamento, e per questo le aziende devono restare allerta, flessibili e collaborative, al fine di anticipare e contrastare efficacemente le azioni dei cyber criminali.

14 Marzo 2024 - 12:00

GenAI e Security Operation: perché diventerà una integrazione inevitabile? Il parere degli esperti

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/outlook/ma-quanto-ci-costano-i-data-breach-facciamo-un-po-di-conti/
如有侵权请联系:admin#unsafe.sh