Sono quasi quattrocentomila le transazioni finanziarie rubate in seguito al data breach di British Airways, il primo di una certa importanza dopo l’entrata in vigore del GDPR. Un fatto importante, che deve farci riflettere. Ecco infatti come le aziende italiane possono prepararsi ad affrontare un attacco del genere.
Indice degli argomenti
La vicenda
Lo scorso 7 settembre il data breach di British Airways, la terza compagnia aerea europea ed una delle maggiori al mondo, ha portato al furto di 380.000 transazioni finanziarie contenenti numeri di carte di credito, nomi e indirizzi dei clienti, compreso il codice di sicurezza usato per potere eseguire ulteriori operazioni future.
Non è chiaro quando l’attacco sia stato scoperto, né si sa esattamente se e quando British Airways abbia avvisato il Garante della Privacy inglese, ma sappiamo che “il furto” è durato dal 21 agosto al 5 settembre ovvero oltre due settimane: un periodo lungo per un attacco senza che British Airways abbia reagito disabilitando i sistemi, quasi che non se ne fosse accorta.
A termini di GDPR le aziende hanno 72 ore, da quando se ne accorgono, per analizzare e comunicare al Garante un data breach, ovvero qualora i dati esposti possano ledere i diritti dei clienti, siano leggibili e non si sia di fronte ad attacchi multipli: da quanto dichiarato da British Airways, l’attacco pare essere stato uno, andando a modificare il software o la pagina del sistema di pagamento e duplicando sistematicamente le transazioni finanziarie verso l’esterno.
La compagnia aerea rischia una multa fino al 4% del fatturato
Accorgersi di un attacco fa parte dei doveri delle aziende e il non accorgersene non è una scusante valida per evitare una sanzione. Pertanto, British Airways in questo momento rischia una sanzione fino a 500 milioni di sterline (560 milioni di euro), ovvero il 4% del suo fatturato: non male per le casse del Regno Unito; certamente un problema per British Airways perché oltre a rischiare di dovere pagare la multa per il data breach, che equivale ad oltre un terzo degli utili del 2017, potrebbe essere chiamata a rifondere direttamente le spese illegittime occorse ai 380.000 clienti i cui dati delle carte di credito sono stati rubati. Anche perché ci sono dei precedenti in Gran Bretagna (Ticketmaster e CarPhone Warehouse, rispettivamente 40.000 e 1.500.000 di carte rubate); l’unico modo da parte di British Airways per provare alle autorità che l’attacco è stato invisibile sarebbe quello di fornire i log del traffico di rete, che è un requisito ai fini del GDPR.
I costi per British Airways non finiscono qui, ma vediamo innanzitutto cosa non ha funzionato e quali insegnamenti possiamo trarre da questo evento per evitare che accada ad una delle nostre aziende.
Data breach di British Airways: analisi di un attacco
Sicuramente è mancato un attento monitoraggio di quanto stava avvenendo sui propri sistemi di pagamento e sul sito Web. L’attacco ha sfruttato delle falle nel software che potevano essere chiuse andando ad aggiornare i sistemi per tempo (non siamo di fronte ad uno zero day attack), mentre a livello di rete il traffico, se attentamente analizzato, poteva rivelare qualcosa di sospetto. La prima lezione da cogliere è sicuramente quella di assicurarsi che la propria rete sia dotata di un sistema di monitoraggio ed allerta sofisticato, sempre aggiornato, che analizzi sia i processi in esecuzione sia il traffico in entrata ed in uscita.
L’aggiornamento software, che deve essere sistematico e ricorrente e le operazioni per rimediare alle vulnerabilities sono un altro punto importante e spesso sottovalutato, ma comunque non sempre sufficiente a prevenire gli attacchi: possiamo incamerarlo come lezione numero due ma questa non è la soluzione e da sola non darà comunque mai una copertura completa al problema.
Si stanno facendo strada altre soluzioni che combinano il monitoraggio della rete (traffico e porte), le soluzioni endpoint, il comportamento degli utenti e i picchi di utilizzo di risorse che fanno scattare degli allarmi automatici volti a stroncare sul nascere i malware, a contenere il nodo infetto o chiudere le connessioni, se necessario, per contenere gli attacchi: esistono varie soluzioni che rispondono a questa esigenza e le tecnologie presenti nelle reti possono fare propendere la scelta per l’una o per l’altra.
Assicurazioni cyber: utili a prevenire un data breach
Anche le assicurazioni cyber più evolute ed attente al GDPR forniscono ai clienti un monitoraggio costante dei sistemi e della rete, comprensivo del sistema di log richiesto dal GDPR, al fine di stroncare sul nascere o contenere gli attacchi. E il motivo è presto detto: meno attacchi o attacchi contenuti per le compagnie di assicurazioni vogliono dire meno sinistri e meno risarcimenti da erogare, oltre al fatto che evitare o minimizzare un sinistro significa salvaguardare il business o la sopravvivenza di un’azienda.
Questo incidente apre un altro tema importante, fino ad oggi poco attenzionato. Il GDPR richiede alla aziende di essere compliant e al contempo le aziende stesse devono richiedere ai propri fornitori di essere GDPR compliant, facendo intendere che nessuna azienda è un’isola a sé e che non basta preoccuparsi di avere i propri sistemi e processi in regola: bisogna preoccuparsi anche, in questo caso, di quale software viene sviluppato e adottato per i sistemi delle aziende o quali servizi (che agli occhi degli utenti vengono erogati dall’azienda) vengono affidati all’esterno.
In questo caso specifico, il sistema di prenotazione di British Airways non è stato attaccato forse perché non ritenuto di interesse o di minor interesse rispetto al sottosistema di pagamento: forse sviluppato e gestito dall’esterno o diversamente fornito da un servizio esterno ma incapsulato all’interno dei sistemi di British Airways. La domanda a cui rispondere a questo punto è: chi doveva accorgersi del malfunzionamento/attacco e chi deve controllare la qualità/bontà/autenticità del codice?
Si può rispondere analizzando le conseguenze di questo attacco, che non permettono un calcolo dei danni immediato e completo, mentre l’estensione del problema va ben oltre il sito Web di British Airways.
Come ha reagito la compagnia aerea
Quanto è avvenuto nell’incidente di British Airways è così grave che la compagnia ha inviato una e-mail di scuse a tutti i 380.000 clienti interessati dal furto con tre azioni per rimediare al danno:
- tutte le transazioni misconosciute dai clienti, successive e riconducibili all’evento saranno rimborsate;
- si consiglia ai clienti di rivolgersi alla propria banca per avere consigli su cosa fare (presumibilmente richiedere una nuova emissione della carta di credito);
- si offre un anno di abbonamento al servizio di “credit rating” di Experian più un monitoraggio sul furto d’identità.
I criminali responsabili di questo attacco hanno raccolto informazioni sufficienti per effettuare acquisti anche in futuro e questi dati potrebbero già essere nel Dark Web. Pertanto, British Airways s’impegna a rifondere tutte le future transazioni illegittime: normalmente sono le carte di credito a rifondere i clienti vittime delle truffe online, ma questo è un data breach e le responsabilità sono direttamente riconducibili a British Airways ed eventualmente al sotto sistema di pagamento del sito Web.
Costo previsto: incerto, impossibile da stimare a priori, ma fintantoché i clienti non avranno chiesto alla propria banca di bloccare queste carte di credito, rimarranno attive.
Cancellare la vecchia carta di credito e chiedere l’emissione di una nuova carta è l’unica cosa da fare per bloccare future transazioni. Il costo sarà a carico di British Airways, per una somma complessiva davvero da capogiro: 25€ x 380,000 = 9,5 milioni di €.
Un abbonamento ad Experian per monitoraggio del credit rating e furto d’identità servirà a tenere informati i clienti se qualcuno proverà a chiedere finanziamenti o ottenere altre carte di credito a loro nome, ma non può evitare che questo succeda. Costo stimato del servizio 100€ per cliente a carico di British Airways ovvero 38 milioni di € esclusi i danni eventuali nel caso in cui avvengano effettivamente furti d’identità.
A questo punto appare chiaro che il costo di non richiedere ad un proprio fornitore di controllare la conformità ed autenticità del codice sorgente o monitorarne il corretto funzionamento può risultare molto alto, sia come danni a terzi sia a livello di sanzioni. Proprio per questo motivo, sempre più aziende e clienti richiedono ai propri fornitori se hanno una copertura assicurativa cyber risk in particolare per danni a terzi.
La richiesta dei clienti è legittima per due motivi: il primo perché una copertura danni a terzi effettivamente offre una garanzia ai clienti che se ci fosse un attacco cyber, come quello avvenuto a British Airways, l’azienda sarebbe in grado di rifondere il danno subito dal cliente.
Il secondo motivo è che una azienda che è coperta da una polizza cyber ha già dovuto affrontare un assessment sul grado di sicurezza della propria rete, le azioni correttive per minimizzare i rischi di attacco, una seppur limitata revisione dei processi GDPR ed una valutazione del rischio residuo per il quale pagherà un premio, oltre ad essersi dotata probabilmente anche di un sistema di monitoraggio costante della rete: alcune polizze lo forniscono e garantiscono un forte sconto ai clienti che lo attivano.
Data breach di British Airways: una lezione per le aziende italiane
In conclusione, i consigli che possiamo trarre da questo attacco cyber occorso a British Airways sono quattro:
- installare un sistema di monitoraggio dei processi e della rete con alert e azioni automatiche di difesa in caso di attacchi o sospetti attacchi con registrazione dei log;
- tenere aggiornati i sistemi con aggiornamenti in tempi massimi di 6 mesi per chiudere tutte le vulnerabilità note;
- dotarsi di una buona polizza cyber risk per coprire danni provocati a terzi, questo insieme ai due punti precedenti potrebbe anche aiutare ad evitare sanzioni legate al GDPR e comunque una buona polizza cyber risk integra già il primo punto è fornisce supporto per il secondo;
- richiedere ai propri fornitori una “certificazione cyber risk” da mettere per iscritto o chiedere di produrre la documentazione comprovante la loro copertura cyber per danni a terzi.
Questo è o sarebbe l’approccio da tenere per le aziende che oggi hanno messo al centro del loro business model un sito di eCommerce: affrontare diversamente il problema e senza prepararsi ad implementare questo modello di comportamento può portare alle conseguenze sopra descritte.
