Quando nel 2017 Equifax, una delle più grandi agenzie statunitensi di valutazione del credito, subisce un grave attacco informatico, con la violazione di dati personali di 148 milioni di cittadini di nazionalità americana, britannica e canadesi, non immagina che il danno maggiore sarà causato non dai cyber criminali ma dall’azienda stessa.
Indice degli argomenti
Data breach: il caso Equifax
Equifax dà la notizia del data breach con mesi di ritardo, poi apre un portale per consentire agli utenti di verificare se i propri dati fossero stati violati, ma lo fa creando un sito con dominio separato con vulnerabilità di sicurezza, che viene bloccato dai principali browser in quanto assimilabile a siti di phishing.
Come se non bastasse, in un post su Twitter la società fornisce agli utenti un link errato che rimanda non al proprio portale ma a un sito simile, creato da un ricercatore per dimostrare proprio come quello di Equifax si prestasse per scopi di phishing.
Gli errori nella gestione dell’incidente costano carissimi a Equifax, che solo nella prima settimana vede crollare del 35% il valore delle proprie azioni in borsa e negli anni successivi dovrà pagare una serie di sanzioni e risarcimenti di importi multimilionari che porteranno il costo totale del data breach intorno alla cifra record di 1,38 miliardi di dollari (un resoconto completo della vicenda è disponibile sul sito dell’Electronic Privacy Information Center).
Cosa impariamo dal data breach Equifax
Il data breach a Equifax è diventato un vero e proprio caso scuola di come non si deve gestire una violazione ed è emblematico dei danni reputazionali che possono derivare da una risposta sbagliata.
Un rischio talvolta ancora sottovalutato dalle organizzazioni che, a fronte di una violazione, tendono a preoccuparsi maggiormente dei danni diretti – dal furto di dati e denaro all’interruzione delle attività di uffici e impianti produttivi – o dei danni di responsabilità, come il pagamento di penali e sanzioni a causa della violazione di requisiti normativi e contrattuali.
Costi stimabili, anche prima che l’incidente si verifichi, e a cui si è soliti dare priorità con interventi soprattutto di natura preventiva: antivirus, firewall e backup sono tutte misure volte a impedire che l’incidente accada e possa provocare conseguenze rilevanti.
Danni indiretti: i costi reputazionali
Altrettanto gravi, anche se più difficili da quantificare e mitigare, sono i danni indiretti come i costi reputazionali.
Un data breach può arrecare un profondo danno di immagine a un’organizzazione che può protrarsi per periodi di tempo molto lunghi, suscitando dubbi sulla sua capacità di tutelare i propri stakeholder e causando la perdita di quote di mercato o, per le società quotate, un calo del valore delle azioni in borsa.
Entità del danno di un data breach: le variabili
L’entità del danno può dipendere da diverse variabili. Una di queste è il settore in cui opera l’organizzazione.
Organizzazioni la cui capacità di proteggere il proprio patrimonio informativo viene percepita dagli stakeholder come abilitante per il proprio business risultano più esposte a conseguenze di natura reputazionale.
Anche perché i rischi per le persone coinvolte (i c.d. interessati) tendono ad essere maggiori: si pensi ai possibili impatti di una violazione dei servizi online erogati da un istituto bancario o ospedaliero rispetto a una violazione subita da un’azienda manufatturiera che produce componenti meccaniche (scenario, quest’ultimo, più rilevante dal punto di vista della tutela dei diritti di proprietà intellettuale e industriale che sotto il profilo privacy).
Oltre alla tipologia e al volume di dati violati, un altro fattore che incide sui costi reputazionali sono le modalità con cui il data breach viene gestito, come dimostra il caso Equifax: dalla rapidità con cui viene rilevato e notificato alle autorità competenti alla capacità di porvi rimedio e comunicare in maniera coerente e trasparente con gli interessati.
Importante investire in persone, processi e tecnologie
Uno studio condotto dal Ponemon Institute dimostra come, subito dopo aver reso noto un data breach, le organizzazioni vedano calare il prezzo delle proprie azioni in media del 5%. Tuttavia, quelle con una buona postura di sicurezza, frutto di investimenti in persone, processi e tecnologie, sono in grado di recuperare il loro originale valore azionario dopo una media di 7 giorni a fronte dei 90 giorni impiegati da organizzazioni con una scarsa postura di sicurezza.
La storia recente offre anche degli esempi virtuosi.
L’esempio virtuoso di Unicredit
Nel panorama italiano, spicca la violazione subita da Unicredit, connessa a un attacco subito nel 2015 ma rilevato e reso noto ad ottobre 2019.
Una volta scoperta la violazione, la banca si è mossa rapidamente, notificando l’incidente alle autorità competenti entro le tempistiche stabilite dalla normativa e informando gli interessati con un comunicato pubblico.
Nel testo pubblicato sul sito della banca viene specificata la quantità e la tipologia di dati violati, i rischi che potrebbero derivare da una loro perdita di riservatezza e le regole di comportamento consigliate per evitare truffe.
Nel comunicato vengono inoltre richiamate le misure adottate per rafforzare la sicurezza dei servizi web e mobile erogati dalla banca, come l’attuazione di un sistema di Strong Customer Authentication basato su identificazione biometrica o inserimento di OTP.
Quale lezione per tutte le imprese
Confrontando la risposta di Unicredit con quella di Equifax e altre organizzazioni uscite con la reputazione danneggiata da incidenti di sicurezza e data breach, emerge il diverso livello di preparazione dei protagonisti nell’affrontare eventi simili.
A cominciare dalla gestione delle pubbliche relazioni: una comunicazione efficace con i propri stakeholder, soprattutto in un contesto di crisi, deve coinvolgere diverse funzioni aziendali: dall’ufficio legale per gli aspetti normativi, alla funzione IT per le problematiche tecnologiche alla direzione marketing per le esigenze di comunicazione.
Una collaborazione che non può essere improvvisata ma che deve essere preceduta da un’adeguata pianificazione. Non bastano in tal senso politiche e procedure di gestione dei data breach; servono strumenti operativi come manuali, playbook e modelli di comunicazioni, sostenuti da esercitazioni pratiche, che consentano alle persone di sapere come comportarsi in scenari di crisi ritenuti verosimili e che possano essere utilizzati o adattati a seconda del caso.
L’importanza di una notifica tempestiva e trasparente
C’è poi il tema della trasparenza e delle tempestività delle comunicazioni.
Per evitare sanzioni e danni di immagine, è fondamentale informare dell’accaduto le autorità competenti nei tempi previsti.
L’urgenza della notifica può variare in funzione del tipo di organizzazione. Al vincolo delle 72 ore introdotto dal GDPR, già di per sé non poco oneroso per le organizzazioni, possono aggiungersi ulteriori requisiti, ad esempio quelli previsti dagli enti regolatori per chi opera in settori controllati come, ad esempio, il mondo bancario (la European Banking Authority richiede ai prestatori di servizi di pagamento di notificare eventuali gravi incidenti operativi o di sicurezza entro 4 ore dalla rilevazione).
Inoltre, qualora l’incidente possa comportare un rischio elevato per la sicurezza dei dati personali, devono essere informati anche gli interessati. E deve essere il Titolare a farlo, specialmente se si tratta di un’organizzazione quotata in borsa: gli investitori o i clienti non possono scoprirlo dai giornali, come accaduto nel caso di Uber, il cui tentativo di nascondere un data breach avvenuto nel 2016 è valso alla Società una multa di 148 milioni di dollari.
Comunicare in maniera efficace e tempestiva con le autorità e con i propri stakeholder è imprescindibile per minimizzare le ricadute di un data breach sul piano reputazionale.
Richiede tuttavia un’azione coordinata da parte di figure con competenze differenti, ancor più complicata in un momento in cui l’incidente è ancora in evoluzione.
Per andare a buon fine, sono quindi necessarie preparazione e risorse non indifferenti.
Le organizzazioni devono tenerne conto nel pianificare la propria strategia di cyber security, affiancando alle misure di prevenzione, giustamente al centro delle preoccupazioni di chi si occupa di tutela aziendale, interventi mirati volti a far sì che, in caso di incidente, le persone sappiano farsi trovare pronte.
