Secondo IBM Italia un data breach costa e anche molto. Lo si evince dal report annuale denominato “Cost of a Data Breach”, che il noto colosso ha divulgato lo scorso 30 luglio 2024.
Alla base delle violazioni, episodi come phishing, furto o compromissione di credenziali sono ritenuti i principali “vettori di attacco iniziale” nonché i più diffusi. Secondo questo report rappresentano il 30% delle violazioni in Italia, non poco.
In tutto questo, il report si spinge più in là stando al passo con questi tempi e ipotizza che l’uso di sistemi di AI e la messa in opera di sistemi di automazione riduca il costo medio delle violazioni per una cifra che si aggira intorno ai 3,24 milioni di euro.
Ma leggiamo meglio l’intero report.
Indice degli argomenti
Le novità del report IBM sugli impatti di un data breach
Partiamo dalle novità. Secondo il report in disamina, le novità di quest’anno hanno riguardato un’indagine volta, come si legge testualmente, a esplorare:
- se le organizzazioni avessero subito interruzioni operative a lungo termine, come l’impossibilità di evadere gli ordini di vendita, una chiusura completa della struttura produttiva o un servizio clienti inefficace;
- se la violazione avesse coinvolto dati archiviati in fonti di dati non gestite, altrimenti noti come dati shadow;
- in che misura le organizzazioni avessero utilizzato l’AI e l’automazione in ciascuna aree come prevenzione, rilevamento, indagine e risposta;
- la natura degli attacchi con estorsione, ad esempio, estorsione e attacchi ransomware o solo estorsione ed esfiltrazione dei dati;
- il tempo necessario per ripristinare i dati, i sistemi o i servizi allo stato precedente alla violazione nonché quello impiegato per segnalare la violazione;
- se le organizzazioni che avessero coinvolto le forze dell’ordine a seguito di un attacco ransomware, pagando il riscatto.
In sostanza, questo report più che atto a rilevare nuove tecnologie, tattiche emergenti ed eventi recenti, si è spinto a indagare sullo stato dell’arte per ricavarne le evidenze in termini economici.
Di qui, i primi dati secondo i quali “il costo medio di una violazione dei dati in Italia ha raggiunto i 4,37 milioni di euro nel 2024, a fronte di violazioni sempre più dannose e di un aumento delle richieste ai team di sicurezza”, si legge nell’estratto come da comunicato ufficiale.
Con la conseguenza che i costi delle violazioni rispetto all’anno passato (2023) hanno subito un incremento del 23%, il più alto dai tempi anche postumi della situazione pandemica.
Per non parlare dei danni ingenti, cagionati dalla inferta violazione dati (cd data breach).
Il Cost of a Data Breach: i risultati emersi
Il Report 2024 si attesta su un’analisi approfondita delle reali violazioni dei dati subite da 604 organizzazioni a livello globale tra marzo 2023 e febbraio 2024.
| ASPETTI | CONSEGUENZE |
| Cybersecurity più AI effetto ripagato | Il 69% delle organizzazioni italiane analizzate sta integrando l’AI e l’automazione nella sicurezza nel proprio SOC (Security Operation Center), un incremento pari all’11% rispetto all’anno scorso, con un risparmio riscontrato in media di 3,24 milioni di euro dei costi di violazione dei dati. |
| AI abbattimento del tempo di rilevazione e contenimento | Le organizzazioni che utilizzano sistemi di AI ovvero meccanismi di automazione nell’ambito della sicurezza hanno rilevato e contenuto un incidente, in media, 114 giorni prima. |
| Vettori di attacco iniziali | Phishing vettore di attacco iniziale più comune, e rappresenta un costo totale medio di 4,18 milioni di euro per violazione. A seguire, le credenziali rubate o compromesse (social engineering) al 13% per 4,75 milioni di euro. |
| Lacune nella Data Visibility | Il 40% delle violazioni analizzate in Italia ha riguardato dati archiviati su ambienti multipli (cloud pubblico, privato e on-prem) e il 29% su quello pubblico. Le violazioni dei dati esaminate che hanno interessato più ambienti hanno comportato anche costi più elevati (4,49 milioni di euro in media), mentre i dati violati archiviati su cloud pubblici hanno richiesto più tempo (254 giorni) per essere identificati e contenuti. |
| Settori colpiti | Aziende del settore tecnologico in primis con costi medi (5,46 milioni di euro) seguiti dal settore industriale (5,13 milioni di euro) e da quello farmaceutico (5,01 milioni di euro). |
| Data Breach lifecycle | Una media di 218 giorni per identificare e contenere gli incidenti, 40 giorni in meno rispetto alla media globale che è pari a 258 giorni. |
| Fattori di aumento dei costi | I tre fattori principali sono stati la carenza di competenze in materia di sicurezza (185.000 euro), il coinvolgimento di terzi (176.000 euro) e la complessità del sistema di sicurezza (172.000 euro). |
Report IBM sul data breach: perché aumentano i costi
L’aumento dei costi su base annua è dovuto, secondo il Report, essenzialmente alla “perdita di attività” e alla “necessità di risposta” che clienti e terze parti devono attuare post violazione.
Gli sviluppi
Il report 2024 si apre con due importanti sviluppi. Come anticipato, il costo medio globale di una violazione dei dati è aumentato del 10% rispetto al 2023, raggiungendo i 4,88 milioni di dollari.
L’aumento dei costi è riconducibile anzitutto, come si legge testualmente nel Report in parola, “all’interruzione dell’attività, ma anche alle misure adottate successivamente alla violazione, come le correzioni e l’ampliamento del supporto clienti”.
I ricercatori hanno anche scoperto poi che “l’utilizzo dell’AI e dell’automazione nella sicurezza sta dando i suoi frutti, riducendo in alcuni casi i costi delle violazioni fino a 2,2 milioni di dollari in media”.
In altri termini, secondo questi studi condotti da valenti studiosi, senza AI e automazione ad assisterli, i responsabili della sicurezza ci impiegheranno più tempo per rilevare e contenere una violazione, con conseguente aumento dei costi, rispetto a chi invece adotta soluzioni di ultima generazione.
La carenza di personale
La carenza di personale è un altro fattore determinate. Infatti, i team di cyber security sono spesso “a corto di personale”.
Secondo il report “più della metà delle organizzazioni vittime di violazione dei dati, ha dovuto affrontare gravi carenze nel personale addetto alla sicurezza”. Tale mancanza di personale qualificato è chiaro ed evidente che aumenti via via che il landscape delle minacce si amplia.
Le percentuali
Le percentuali fornite da questo report sono decisamente interessanti:
- quelle che coinvolgono i cd “dati shadow” dimostrano come il 35% delle violazioni abbia coinvolto tali dati, a dimostrazione che la proliferazione dei dati sta rendendo più difficile il monitoraggio e la salvaguardia;
- i dati archiviati invece in un solo tipo di ambiente sono stati violati in misura inferiore, indipendentemente dal fatto che l’ambiente fosse un cloud pubblico (25%), on-premise (20%) o un cloud privato (15%).
Dal punto di vista qualitativo, leggiamo nel Report come “Quasi la metà di tutte le violazioni [abbiano] coinvolto informazioni di identificazione personale (PII) dei clienti, potenzialmente inclusive di numeri di identificazione fiscale (ID), e-mail, numeri di telefono e indirizzi di residenza”.
Costo medio di un attacco con insider malevolo
“Rispetto ad altri vettori, gli attacchi con insider malevolo hanno comportato costi più elevati, che ammontano in media a 4,99 milioni di dollari. Tra gli altri costosi vettori di attacco figurano la compromissione dell’e-mail aziendale, il phishing, l’ingegneria sociale e le credenziali rubate o compromesse. La gen AI potrebbe avere un ruolo nella creazione di alcuni di questi attacchi di phishing. Ad esempio, la gen AI rende più semplice che mai, anche per chi non parla inglese, produrre messaggi di phishing grammaticalmente corretti e plausibili”.
Le raccomandazioni per evitare un data breach
Il Report fornisce poi una serie di raccomandazioni, scopriamo quali.
Rafforzare la strategia di prevenzione con AI e automazione
La prima raccomandazione risiede, come si ha modo di leggere nel Report, nella “…adozione di modelli di AI generativa e di applicazioni di terze parti in tutta l’organizzazione, nonché l’uso continuo di dispositivi Internet of Things (IoT) e applicazioni SaaS”.
L’utilizzo dell’AI e dell’automazione a supporto delle strategie di prevenzione, sovente viene affrontata dai servizi di sicurezza gestiti (cloud computing).
Lo sfruttamento dei sistemi di AI nonché l’automazione nelle operazioni di prevenzione ha determinato un impatto maggiore rispetto alle tre aree di sicurezza: rilevamento, indagine e risposta, risparmiando di media 2,22 milioni di dollari rispetto a quelle organizzazioni senza uso di sistemi di AI nelle tecnologie di prevenzione.
Conoscere il “landscape” dei propri dati
Secondo le evidenze di cui al Report, la maggior parte delle organizzazioni distribuisce i dati su più ambienti, inclusi repository di dati on-premise, cloud privati e cloud pubblici.
Tuttavia, molte organizzazioni hanno un inventario dei dati incompleto o non aggiornato, ritardando nella possibilità di scoprire quali dati sono stati violati e quanto questi siano sensibili o riservati. Ritardi che aumentare il costo di una violazione.
Secondo le stime del Report in parola, “il 40% delle violazioni dei dati ha coinvolto dati archiviati in più ambienti e, quando i dati violati venivano memorizzati nel cloud pubblico, hanno registrato il costo medio di una violazione più elevato, pari a 5,17 milioni di dollari”. Per ulteriori dettagli, si rinvia direttamente al Report.
Un approccio che metta la sicurezza al primo posto nell’uso della gen AI
Ancora, sebbene non si parli altro che di AI generativa e le organizzazioni stanno procedendo rapidamente con questa, in realtà dal report si evince che “solo il 24% delle iniziative legate alla gen AI vengono protette”.
Con l’adozione dell’AI generativa in continuo aumento, le organizzazioni non si rendono conto che, scrive IBM per l’Italia nel report, avrebbero “bisogno di un framework per proteggere i dati, i modelli e l’utilizzo della gen AI, oltre a stabilire la governance dei controlli AI”.
Non c’è dunque ancora una consapevole percezione dell’importanza di questi temi.
Al fine di (poter) proteggere l’uso di modelli di AI generativa occorre che “i team di sicurezza monitorino input dannosi, come iniezioni di prompt e output contenenti dati sensibili” Ma lo fanno? Sono in grado? Certo, sarebbe essenziale sviluppare playbook di risposta onde negarne l’accesso, mettere in quarantena e disconnettere i modelli compromessi.
Una misura di mitigazione efficace, ecco che risiede in una formazione adeguata, ben strutturata sulla sicurezza al passo con i tempi e l’evoluzione in atto, a quanti (professionisti e non addetti alla sicurezza, ivi compresi i data scientist e data engineer) lavorano nei nascenti team di AI.
Migliorare la formazione sulla risposta alle minacce informatiche
Ultimo aspetto da considerare è il “modo in cui un’organizzazione reagisce e comunica durante e dopo una violazione”.
Leggiamo nel Report che “il 75% dell’aumento dei costi medi di una violazione …è stato determinato dal costo del lucro cessante”, comprendente:
- tempo di inattività;
- perdita di clienti e ordini;
- acquisizione di nuovi clienti.
Fuori analisi sono state tenute tutte le attività di risposta post-violazione come ad esempio la creazione di un help desk per i clienti, o l’offerta di monitoraggio del credito ai clienti interessati e il pagamento di sanzioni normative.
Report IBM sul data breach: una “lezione per tutti”
Dal Report, tutti noi possiamo ricavare questo insegnamento e cioè che “investire nella preparazione alla risposta post-violazione può aiutare a ridurre i costi di una violazione dei dati”.
Le organizzazioni per essere resilienti sono chiamate a “integrare le funzionalità di risposta tecnica con la pianificazione strategica per coprire l’impatto sul business, proteggere i clienti e mantenere la continuità operativa”.
Ma non è tutto.
Una governance ben strutturata va assolutamente costruita, e il prendere decisioni in anticipo può aiutare i vertici dirigenziali a “prevedere la gestione di gravi interruzioni aziendali”, in ottica di semplificazione pensando al post attacco e annesse azioni di ripristino.
La formazione è ancora una volta essenziale, specialmente quella fatta di simulazioni grazie alla partecipazione a esercizi di simulazione di crisi informatiche.
Non a caso, il Report esprime a chiare lettere l’opinione secondo la quale investire nella preparazione alla risposta, contribuisce senz’altro alla riduzione dei costi in termini anche di “effetti dirompenti di una violazione dei dati”, supportando “la continuità operativa e contribuire a preservare le relazioni con clienti, partner e altri stakeholder”.
Non di meno, conclude il Report una “risposta collaudata rassicura i dipendenti e riduce lo stress, l’angoscia e gli attriti interni” giacché “le fasi acute di un attacco vengono sì gestite, controllate e comunicate da un team non solo strutturato, ma anche e decisamente ben preparato”.
Ancora una volta, dunque, si sottolinea l’importanza della consapevolezza: non scordiamocela, anzi continuiamo ad accrescerla.
