Il termine data leakage è assurto agli onori della cronaca una decina di anni fa quando Edward Snowden rivelò i dettagli di una serie di programmi governativi statunitensi e britannici classificati top secret. Da quel momento, anche il grande pubblico sa che data leakage indica la sottrazione di dati sensibili dall’interno di un’azienda.
Ma per un’organizzazione quali dati possono essere considerati sensibili? E, soprattutto, come si può prevenirne il furto? Lo abbiamo chiesto a Luca Bonora, Head of Business Developer Manager di Cyberoo ed esperto di prevenzione del furto di dati.
Indice degli argomenti
Data leakage e data breach, qual è la differenza
Prima di entrare nel merito di quali dati vanno considerati sensibili e come proteggerli, è bene fare una precisazione: cosa differenzia un data leakage da un data breach.
Spesso, infatti, si usano entrambi i termini conferendogli il medesimo significato, ma in realtà indicano due tipi di furto dei dati ben differenziati. “Essenzialmente, possiamo definire data breach la perdita di login e password che avviene per un attacco dall’esterno mentre data leakage è una perdita di dati e file per un’attività dall’interno” ha affermato Luca Bonora. “Per esempio, se si ruba un documento contrattuale questo può essere usato in un’attività di social engineering e di confronto con altri modelli di business, ma difficilmente permetterà di fornire le credenziali per entrare in un’azienda. Invece, tramite un data breach si rubano login e password acquisendo quindi l’identità adatta per superare la sicurezza ed entrare nella rete dell’organizzazione”.
A fronte delle opportunità che creano certi tipi di attacchi, i leakage sono in grande crescita. Prova ne è che il Global Threat Report 2022 riporta che lo scorso anno si è avuto un aumento dell’82% dei data leakage connessi alle attività dei ransomware.
I dati sensibili non sono solo quelli inerenti alla privacy
Per definizione, l’azienda è proprietaria dei suoi dati. Ma tra tutti i dati posseduti, quali sono quelli sensibili? “Dal punto di vista legale, c’è una normativa che impone la compliance” ha sottolineato Bonora. “Il GDPR stabilisce, infatti, non solo quali dati devono essere considerati sensibili, ma anche come si devono archiviare e proteggere. Inoltre, impone di poter dimostrare chi ha un accesso amministrativo a tali dati”.
Tuttavia, per un’azienda l’aggettivo “sensibile” può riguardare una ben più ampia porzione di dati rispetto a quelli indicati dal GDPR. “I dati sensibili sono tutti quelli strategici, che possono mettere in discussione il business” ha puntualizzato Bonora. “Se un’azienda ha avviato un’attività di ricerca e sviluppo inerente alla progettazione di un nuovo prodotto, tutti i dati che riguardano tale attività per l’azienda sono sensibili perché critici per il business. GDPR e dati strategici sono due temi che vanno di pari passo, ma entrambi sono potenzialmente soggetti al data leakage”.
A volte i dati possono assumere interesse anche in funzione del periodo di tempo in cui sono disponibili. Pensiamo per esempio alle informazioni inerenti ai fatturati delle aziende quotate in borsa o ai documenti riservati della Pubblica Amministrazione. “Devono rimanere segreti fino alla loro data di pubblicazione dopo la quale devono essere pubblici. Tutti vi devono poter accedere – ha evidenziato Bonora – ma fino alla data di pubblicazione è importantissimo evitare che ci siano delle fuoriuscite di informazioni, di documenti che magari sono ancora provvisori. Questo è un altro tema molto importante legato al data leakage, che non riguarda solo l’azienda privata”.
I miei dati non sono interessanti, perché dovrebbero rubarli?
“A volte mi dicono: che dati mai potrei avere che possano interessare il cyber crime? Cosa vuoi che mi rubino?” ha aggiunto Bonora. “Se un’azienda guarda bene al suo interno ha sicuramente dei processi strategici che potrebbero fornire interessanti indicazioni per un concorrente”. Tuttavia, ci può essere il caso di un’impresa che realizza dei prodotti seguendo un processo consolidato, le cui fasi non hanno nulla di segreto. Quindi, si potrebbe pensare, non ha niente di valore da rubare.
“Non è vero – ha sostenuto Bonora – e questo per due motivi. Anzitutto, ha dei dipendenti dei quali è obbligata a raccogliere dati sensibili. In secondo luogo, siccome fa del business, ha dei fornitori e ha dei clienti. Ha un’amministrazione che gestisce i clienti, a cui, per esempio sono praticati sconti differenti perché non tutti acquisteranno a listino e non tutti saranno trattati nello stesso modo. In pratica, in azienda è comunque presente un insieme di informazioni che possono essere interessanti da rubare. Non è scontato che il dato sensibile sia per tutti la stessa cosa e che sia esclusivamente il dato personale”.
Come prevenire il data leakage
A tutti gli effetti, il data leakage è un furto di informazioni. In quanto tale, per allestire un sistema di prevenzione è necessario attivare un processo che permetta di avere sempre una chiara indicazione delle persone che accedono ai sistemi e quali sono i privilegi di tali persone.
“Bisogna avere sotto controllo i dati, monitorando sia dove sono conservati sia come sono conservati” ha precisato Bonora. “Si deve riuscire a garantire un backup, in modo da poter fare un veloce restore se necessario, e, soprattutto, ci si deve poter accorgere nel più breve tempo possibile se è in atto un data leakage. È un processo complesso da gestire, che diventa ancor più complicato se si considera la necessità della compliance al GDPR, che implica di poter dimostrare cosa è stato fatto per mantenere i dati in sicurezza e sotto controllo. Risulta evidente che emerge un tema importante per contrastare il data leakage: la consapevolezza di cosa sta succedendo ai dati”.
Quanto detto da Luca Bonora si traduce in pratica nel monitorare prima di tutto le attività delle persone che possiedono le credenziali per accedere a certi dati. Per esempio, questo può significare che un utente ha il diritto di aprire una determinata cartella e usare i file al suo interno. Vi accede tutti i giorni ed esegue sempre attività simili. Se, però, un giorno tale utente dovesse fare una copia di tutti i dati in quella cartella si verificherebbe un’anomalia, che potrebbe essere rilevata attraverso meccanismi machine learning.
“Potrebbe essere un’operazione del tutto lecita – ha precisato Bonora – ma siccome esula dalle attività consuete è meglio correre il rischio di segnalare un falso positivo piuttosto che non avere segnalato un comportamento inconsueto e che ha permesso il furto di dati. Per ottenere tale risultato possono essere adottate diverse soluzioni. Per esempio, il modulo Cypeer del nostro MDR permette di apprendere il comportamento degli utenti e quindi di individuare eventuali anomalie. La nostra Titan Suite consente invece di verificare la file integrity, mantenendo sotto controllo i file stessi per poter sapere quando è stato l’ultimo accesso e chi ha fatto cosa”.
Prevenire attraverso la threat intelligence
Nel processo di prevenzione dei data leakage è molto rilevante comprendere quando i dati sono già stati esfiltrati. Oggi, ogni azienda si deve ritenere sotto attacco e se uno, tra tutti, dovesse andare a buon fine, la prima cosa che i cyber criminali cercheranno di fare è estrarre dei file e renderli disponibili in Internet, tipicamente nel dark web.
“Rilevarli attraverso la threat intelligence è importante – conclude Luca Bonora – perché permette di accorgersi in near real time che ci sono informazioni già pubbliche e che quindi una data leakage è già avvenuto. Questo permette di sapere che c’è un problema e quindi di cercare di risolverlo. I dati persi non si recupereranno, ma quantomeno si eviteranno altri data leakage”.
Contributo editoriale sviluppato in collaborazione con Cyberoo
