Secondo il recente report annuale pubblicato da Ponemon.org, nel corso del 2020 ben l’80% delle violazioni ha riguardato i dati identificativi delle persone. Ciascun record di database compromesso che conteneva dati personali identificativi è costato all’azienda vittima della violazione 150 dollari, e sono stati necessari 280 giorni per identificare e contenere una violazione dei dati.
Il settore sanitario risulta essere il più colpito registrando anche i costi più alti per risolvere le violazioni sui dati. Mediamente, i costi si aggirano sui 7,13 milioni di dollari per violazione con un incremento del 10,5% rispetto al 2019.
Altro dato importante di cui tenere conto riguarda il fattore umano che è una delle tre principali fonti di violazioni oltre alle cause organizzative e quelle strumentali.
Esistono metodologie e tecniche affidabili, tra cui la 5 Whys (la tecnica dei cinque perché), per eseguire una corretta Root Cause Analysis che può aiutare ad individuare appunto la “vera” causa principale della violazione e più in generale della non conformità.
Indice degli argomenti
Metodologia Root Cause Analisys e tecnica dei 5 Whys
La Root Cause Analysis o RCA è una metodologia molto efficace per aiutare le persone a trovare una risposta sulla causa “principale” per cui un problema si è verificato.
Tale strumento ci garantisce di comprendere appieno come risolvere, compensare o imparare da eventuali problemi sottostanti all’interno della causa principale, detta causa radice.
Ciò in futuro ci aiuterà a prevenire sistematicamente l’accadimento di problemi.
All’interno di un’organizzazione, la risoluzione dei problemi, le indagini sui problemi e l’analisi delle cause principali sono collegati da tre domande fondamentali:
- Qual è il problema?
- Perché è successo?
- Che cosa sarà fatto per evitare che accada di nuovo?
La maggior parte delle organizzazioni usa erroneamente il termine “causa principale” per identificare una sola singola causa principale. Concentrarsi però solamente su una singola causa, come vedremo più avanti, può limitare il set di soluzioni, rischiando in questo modo l’esclusione di soluzioni valide. Proprio per questo motivo la Root Cause Analysis tiene conto delle seguenti 3 tipologie di cause:
- Cause fisiche: sono le cause tangibili, gli oggetti materiali che hanno fallito in un qualche modo.
- Cause umane: le persone hanno fatto qualcosa di sbagliato o non hanno fatto qualcosa di necessario. Le cause umane in genere portano a cause fisiche.
- Cause organizzative: si intende un sistema, un processo o una politica che le persone utilizzano per prendere decisioni o fare il proprio lavoro in modo errato. Ad esempio, la mancata definizione di compiti di manutenzione porta alla circostanza che nessuno è formalmente responsabile della manutenzione, ma, erroneamente, si presume che qualcuno comunque esegua l’intervento di manutenzione.
La tecnica dei cinque perché
Per ottenere una Root Cause Analisys efficace, tra le molte tecniche a disposizione quella che si presta di più allo scopo è senza dubbio la tecnica dei 5 Whys (o dei cinque perché). Questa tecnica è stata sviluppata da Sakichi Toyoda presso Toyota per determinare la causa principale, e la soluzione, a qualsiasi problema dato nel processo di produzione. La tecnica è stata successivamente presa in prestito da programmatori, amministratori di sistema e dirigenti.
La tecnica dei 5 Whys utilizza una serie di domande per raggiungere la causa principale di un problema. L’idea di base è che ogni volta che ci poniamo “perché”, la risposta diventa la base del prossimo “perché”.
È un semplice strumento utile per problemi in cui non si ha necessità di statistiche avanzate, quindi non necessariamente per problemi complessi.
Potrebbe essere necessario chiedersi “perché” più di cinque volte per risolvere il problema: il punto è quello di rimuovere i problemi a livello di superficie per arrivare alla causa principale; indagare per almeno cinque livelli è un’opportunità per ottenere un buon numero di informazioni, spunti e riferimenti.
Le premesse fondamentali per l’applicazione dell’indagine sono:
- che esista la consapevolezza dell’importanza del ruolo e dell’indagine; è pertanto importante l’attività di formazione in tal senso, verso le risorse coinvolte;
- che sia attivo un sistema di rilievo attraverso audit eseguiti con modalità differenti e condotti da vari soggetti aziendali, con o senza pianificazione;
- disponibilità della segnalazione; non si può indagare su qualcosa che non è rilevato o riferito/riportato;
- disponibilità di un canale di comunicazione, ecc.; è possibile ricorrere anche a report anonimi (predisporre sistemi di segnalazione riservati, come ad esempio la cassetta delle segnalazioni e dei suggerimenti).
Come condurre un’indagine per individuare la causa delle violazioni dati
Ecco uno schema che può agevolare nella conduzione dell’indagine attraverso sei step:
- focalizzare l’attenzione sull’evento
- qualcosa è accaduto o poteva accadere;
- qualcosa è stato rilevato di anomalo/critico durante audit;
- qualcosa è stato rilevato di anomalo/critico durante normale presenza presso aree di lavoro;
- qualcosa di anomalo/critico è stato riferito (anche in forma anonima o tramite i canali di comunicazione).
- per l’indagine:
- coinvolgere i soggetti che possono dare il maggior contributo e ricevere gli effetti positivi della sensibilizzazione;
- lavorare in squadra o in più soggetti per capire più velocemente cosa ha portato all’evento, quali soluzioni adottare ed eliminare eventuali pregiudizi;
- ricostruire l’intera catena che ha portato all’incidente/evento/oggetto di rilievo.
- compilazione del report
- uno solo guida la formalizzazione utilizzando il modulo di rapporto per l’indagine dell’incidente.
- analisi delle cause e identificazione delle azioni
- l’output dell’indagine consiste nell’identificazione delle cause ultime e nell’identificare gli input migliori per risolvere la criticità ed evitare che si verifichi ancora l’evento che ha determinato la necessità di indagine.
- verificare l’efficacia dell’azione;
- valutare eventuali benefici ottenuti.
Applicazione dei cinque perché alle principali cause di perdita di dati
Confrontando i dati della ricerca di Ponemon con i dati raccolti da altre organizzazioni come Verizon, Wombat’s e Netwrix emerge che:
- il phishing;
- l’accesso ai dispositivi aziendali a utenti “non autorizzati”;
- la gestione debole delle password;
- la cattiva gestione dei privilegi assegnati agli account;
- l’Invio di e-mail ai destinatari sbagliati;
sono tra le cinque cause più diffuse che generano violazione, sottrazione e perdita dei dati.
Le aziende tendono a mitigare il rischio implementando soluzioni tecnologiche; ma siamo sicuri che questa sia la strada corretta? Se adottiamo una metodologia non appropriata, infatti, si potrebbe essere tentati, nell’etichettare questi eventi come cause di “origine materiale”, ma è proprio così come sembra a prima vista?
Applicazioni pratiche della tecnica dei cinque perché
Proviamo dunque di seguito ad analizzare cinque case study reali, che per ovvii motivi non sveleremo le identità aziendali, provando ad impiegare la tecnica dei cinque perché.
Il phishing
Il phishing è quando un truffatore invia e-mail maligne che sembrano provenire da una fonte attendibile al fine di indurre le vittime a rivelare informazioni personali. Il phishing rappresenta il 93% delle violazioni e l’e-mail è il vettore di attacco più comune.
Problema: il giorno 28 febbraio 2020 il team della sicurezza informatica dell’azienda ALFA s.r.l. identifica un attacco di phishing avvenuto tramite gli account postali. Sono stati violati gli accessi al database dei pazienti e sono stati sottratti dati sensibili e identificativi di 750 ospiti.
- Primo perché: perché sono stati violati i dati di 750 pazienti? Perché il dipendente “Mario Xyz” ha ricevuto una e-mail di phishing che conteneva un avviso di scadenza password per il suo account aziendale.
- Secondo perché: perché il dipendente “Mario Xyz” ha ricevuto una e-mail di phishing? Perché il sistema dei certificati SSL non è stato configurato correttamente dal reparto IT.
- Terzo perché: perché il sistema dei certificati SSL non è stato configurato correttamente? La configurazione del sistema anti-phishing risale a tre anni fa e da allora non è più stato aggiornato.
- Quarto perché: perché il sistema antipishing non è più stato aggiornato da tre anni? Perché la risorsa che si occupava dell’aggiornamento è andata in pensione e non è più stata rimpiazzata.
- Quinto perché: perché non è stato nominato un nuovo responsabile o la responsabilità non è stata attribuita ad un’altra risorsa? Perché manca un processo dettagliato.
Azione di miglioramento: La Direzione per evitare che il problema si ripresentasse in futuro ha provveduto ad aggiornare la politica anti-pishing andando a ridefinire il processo assegnando ruoli e responsabilità nel team della sicurezza informatica. La Direzione ha inoltre deciso di eseguire periodicamente test di simulazione di phishing per verificare se la formazione è stata efficace e i dipendenti seguono le politiche di sicurezza delle informazioni, identificando gli utenti ad alto rischio che hanno maggiori probabilità di fare “clic” su collegamenti dannosi.
Accesso ai dispositivi aziendali a utenti “non autorizzati”
Il 55% dei dipendenti consente ad amici e parenti di accedere ai dispositivi forniti dal datore di lavoro a casa. Questo è un segno di scarsa consapevolezza della sicurezza informatica, poiché l’amico o il familiare possono accedere a dati sensibili delle organizzazioni o ai dati dei clienti oppure potrebbero scaricare ransomware o malware che potrebbe compromettere applicazioni cloud e storage aziendali.
Problema: il giorno 5 aprile 2020 il team di sicurezza informatica dell’azienda BETA S.r.l. rileva una eliminazione massiva di record dal database in Cloud da remoto da un account aziendale.
- Primo perché: perché un account aziendale sta eseguendo un’eliminazione di record massiva? Il dipendente sta lavorando in “smart working” da casa dove ha lasciato il dispositivo incustodito; in sua assenza uno dei suoi 3 figli (il quale era venuto a conoscenza della password ad insaputa del genitore) consultando la e-mail ha inconsapevolmente scaricato un malware da un allegato.
- Secondo perché: perché il dispositivo è stato lasciato incustodito? Perché il dipendente, pensando che in casa non ci fosse nessuno, si è recato nell’altra stanza per rispondere ad una telefonata di lavoro che si è protratta molto più a lungo del previsto.
- Terzo perché: perché il dipendente non ha osservato il disciplinare sugli strumenti informatici riguardo agli accorgimenti da osservare quando si opera in modalità remota? Perché il disciplinare sugli strumenti informatici non contemplava gli accorgimenti sull’attività da remoto il dipendente non ha ricevuto adeguata informazione e formazione.
- Quarto perché: perché il disciplinare sugli strumenti informatici non contempla la modalità sull’attività da remoto? Perché la necessità è emersa solo durante lo stato di emergenza dettato dalla pandemia di covid-19.
Azione di miglioramento: la Direzione al fine di evitare che questa problematica si potesse ripresentare in futuro ha deciso di aggiornare il disciplinare sugli strumenti informatici e ha deciso, per mitigare ulteriormente il rischio, di adottare un piano di sicurezza delle informazioni completo che tutti i dipendenti dovranno seguire, e incoraggiare i leader di squadra a far rispettare la disciplina della sicurezza informatica all’interno dei loro team. Assicurarsi che tutti i dispositivi siano protetti da password e, se possibile, utilizzare l’autenticazione a due fattori per tutti i dispositivi e le applicazioni aziendali.
Gestione debole delle password
Il riutilizzo della password è una pratica rischiosa, perché una volta che un account viene compromesso, l’hacker ottiene l’accesso a una più ampia varietà di risorse.
Altri rischi sono legati alla creazione e uso di password “deboli”, al mancato aggiornamento delle password, alle annotazioni delle password in prossimità del computer e alla condivisione delle password con altri utenti.
Problema: il giorno 16 giugno 2020 il team di sicurezza informatica dell’azienda GAMMA s.r.l. rileva una violazione dei dati presenti all’interno del cloud aziendale, all’interno del mail server e nell’area intranet relativamente ad un unico account aziendale.
- Primo perché: perché gli account della posta, del cloud e della intranet sono stati violati? Durante un attacco hacker che ha coinvolto tutti gli account dei dipendenti solo i tre account di “Paolo Xyz” sono stati compromessi.
- Secondo perché: perché solo gli account di “Paolo Xyz” sono stati compromessi? Perché “Paolo Xyz” ha utilizzato la password 12345678 per tutti gli account a cui aveva accesso (cloud, posta, intranet).
- Terzo perché: perché il neoassunto “Paolo Xyz” ha usato una password debole riutilizzandola su tutti e tre gli account aziendali? Perché “Paolo Xyz” non si ricordava del fatto che non dovesse usare password deboli.
- Quarto perché: perché “Paolo Xyz” non si ricordava del fatto che non dovesse usare password deboli? Perché non esiste un disciplinare sugli strumenti informatici esaustivo in merito alla gestione delle password e la formazione, che avviene oralmente, è affidata ai colleghi di ufficio di “Paolo Xyz”.
Azione di miglioramento: la Direzione procederà ad aggiornare il disciplinare degli strumenti informatici inserendo una politica della gestione delle password e pianificherà delle sessioni di formazione dedicate esclusivamente alla pratica dell’utilizzo delle password. Inoltre, la Direzione implementerà uno strumento di “scadenza password” che ricordi automaticamente agli utenti di modificare le password prima che scadano.
Cattiva gestione dei privilegi assegnati agli account
Anche i professionisti IT possono commettere errori, e tali errori spesso costano molto caro alle aziende. Gli account con privilegi elevati, come gli account di admin, sono potenti, ma i controlli di sicurezza per prevenire il loro abuso sono spesso inadeguati.
Se i professionisti IT non riescono ad aggiornare e proteggere le password degli account con privilegi, gli aggressori possono violarle più facilmente e ottenere l’accesso alla rete dell’organizzazione.
Problema: il giorno 6 maggio 2019 il team di sicurezza informatica dell’azienda DELTA s.r.l. rileva l’eliminazione degli account postali presenti sul mail server aziendale creati nell’ultimo anno, pertanto tutti i dipendenti hanno perso le e-mail.
- Primo perché: perché sono state eliminate solo le caselle di posta recenti? Solo gli utenti che hanno privilegi di admin possono eliminare le caselle di posta dal server. L’azienda ha subito un attacco hacker durante il quale l’attaccante è riuscito ad individuare gli utenti admin ed a impossessarsi dei privilegi di accesso delle caselle create nell’ultimo anno.
- Secondo perché: perché tutti gli account postali creati nell’ultimo anno avevano i diritti di admin? perché l’attribuzione dei privilegi delle caselle di posta in passato era affidata agli stagisti e nell’ultimo anno in loro assenza sono state create direttamente dal responsabile dell’ufficio informatico.
- Terzo perché: perché l’attribuzione dei privilegi era affidata agli stagisti in passato? Perché è una tipica attività formativa ideale per gli stagisti. Da quando non ci sono più gli stagisti le caselle di posta vengono create con l’impostazione predefinita con i privilegi di admin.
- Quarto perché: perché da quando non ci sono più gli stagisti le caselle vengono create con i privilegi di admin per impostazione predefinita? Perché in assenza di uno specifico processo, è una operazione che comporta molto dispendio di tempo, e le risorse in capo all’ufficio IT non riescono a gestirli per mancanza di tempo.
Azione di miglioramento: la Direzione in ottica del miglioramento continuo ha deciso di ridefinire l’intero processo riassegnando ruoli e responsabilità. La Direzione ha deciso di inserire come misura preventiva e necessaria l’implementazione del principio dei privilegi minimi per tutti gli account e i sistemi, ove possibile. Infine, la Direzione ha definito gli account amministrativi e dipendenti separati per il personale IT; gli account admin dovrebbero essere utilizzati solo per gestire parti specifiche dell’infrastruttura.
Invio di e-mail ai destinatari sbagliati
La mancata consegna è la quinta azione più frequente che provoca violazioni dei dati. È anche la violazione più complessa da mitigare; ci sono stati casi di alto profilo in cui un dipendente ha inviato un’e-mail contenente “dati sensibili” ai destinatari sbagliati. La mancata consegna rappresenta circa il 62% delle violazioni dei dati sugli errori umani nel settore sanitario.
Problema: il giorno 25 settembre 2020 il team interno della privacy dell’azienda EPSILON s.r.l. apre un’indagine sull’invio di una e-mail contenente dati sensibili ad un destinatario errato.
- Primo perché: perché è stata inviata una e-mail al destinatario sbagliato? Perché l’indirizzo e-mail che è stato immesso nel sistema conteneva un errore di battitura.
- Secondo perché: perché l’indirizzo e-mail è stato inserito con un errore di battitura? Perché durante la trascrizione dal modulo cartaceo a quello informatico è stata interpretata male una lettera.
- Terzo perché: perché è necessaria la trascrizione da cartaceo a digitale? Il nominativo era un nuovo paziente la cui anagrafica doveva essere inserita a sistema.
- Quarto perché: perché i nuovi pazienti compilano un modulo cartaceo per comunicare i loro dati anagrafici senza che siano verificati dal personale interno? Perché la fase di verifica non è contemplata nel processo.
Azione di miglioramento: questo errore è uno dei più difficili ed insidiosi da evitare; tuttavia, per mitigare i potenziali danni che questo rischio può comportare la Direzione ridefinirà il processo di acquisizione delle anagrafiche andando ad inserire la fase di “verifica” dei dati. Inoltre, la Direzione farà implementare delle finestre di warning a comparsa che invitano i mittenti a ricontrollare l’indirizzo e-mail quando inviano le e-mail. La Direzione implementerà infine anche una soluzione di prevenzione della perdita di dati (DLP) che monitora gli eventi che potrebbero portare alla perdita di informazioni e ad agire automaticamente, ad esempio impedendo agli utenti di inviare dati sensibili al di fuori della rete aziendale.
Conclusioni
Grazie all’impiego della tecnica dei “5 Whys” abbiamo visto nei case study precedenti come le “cause principali” delle violazioni sui dati siano da attribuire principalmente al fattore umano ed alle politiche di gestione più che al fattore tecnologico.
L’errore umano, la formazione non adeguata, politiche deboli e mancanza di procedure sono le vere “cause principali” che generano le principali violazioni sui dati. Il fattore tecnologico funge pertanto esclusivamente da supporto al fattore umano per mitigare il rischio.
Per raggiungere l’obiettivo, è necessario stabilire programmi di formazione efficaci per i dipendenti e politiche di gestione esaustive che devono essere comunicate in maniera convincente e soprattutto a “prova di errore” al personale preposto. A supporto, infine, le organizzazioni devono implementare tecnologie che consentano di proteggere i dati più sensibili, indipendentemente da dove risiedono.