Data Breach, quanto costa veramente?
Quanto costa davvero una Data breach, e cosa c’entra questo tipo di attacco informatico con la brand reputation? Negli ultimi anni, hanno cominciato ad apparire sul dark web con sempre maggiore frequenza strumenti di hackering molto potenti. La sempre più facile reperibilità di conoscenze e strumenti ha portato a un rapido aumento del numero di bande di criminali informatici dedite ad attaccare i sistemi informativi aziendali, alla ricerca di segreti industriali, di liste di utenti, o semplicemente di dati da criptare per poi chiedere un riscatto.
Cresce il numero degli attacchi, cresce la loro sofisticazione e cresce anche il tempo necessario a individuare una minaccia e a neutralizzarla. Non per niente il mestiere del CISO (Chief Information Security Officer) è fra i meno desiderati della filiera informatica.
Costi e statistiche dei data breach
D’altronde, i CISO hanno ottime ragioni per essere preoccupati “24/7”. Non solo le statistiche sugli attacchi sono in continuo aumento, ma i data breach diventano sempre più costosi alle aziende che li subiscono. Un recente studio pubblicato da Kaspersky, “IT security economics in 2019: how business are losing money and saving costs amid cyberattacks”, frutto di quasi 5.000 interviste in 23 Paesi, ha mostrato che il costo medio di un data breach per le aziende di classe enterprise è salito a 1,41 milioni di dollari nel 2018, contro l’1,23 milioni di dollari di media del 2018. Questo ha spinto le grandi organizzazioni a raddoppiare in media i loro budget 2019 dedicati alla cybersecurity, che sono passati da 8,9 milioni di dollari del 2018 a circa 18,9 milioni di dollari per il 2019.
Data breach sempre più costose
Ma gli uomini di Kaspersky sono pure ottimisti. Il report presentato qualche mese fa da IBM e Ponemon Institute (3.200 interviste, oltre 500 aziende in 17 settori e 16 regioni del mondo) parla di un danno medio complessivo di 3,9 milioni di dollari per data breach, con una estrema variabilità in base al Paese, al settore in cui l’azienda opera e al numero di record di dati che sono stati compromessi: si va da 1,25 a 8,19 milioni di dollari. Il report specifica anche che la media del danno è intorno a 150 dollari per ogni record perso nel data breach; giusto per dare un’idea del trend, il report del 2010 fissava la cifra a circa la metà.
Geografia e settorialità
Interessante è anche la differenza del danno su base geografica: si va dalla media di 1,35MLN$ per breach del Brasile agli 8,19MLN$ degli USA, con l’Italia che naviga a centro classifica molto vicina alla media, con un valore di 3,52MLN$. Se invece andiamo a vedere i danni per settore di attività, spicca la media di 6,45MLN$ per breach del comparto sanità, seguito dalla finanza (5,86MLN$), dall’energia (5,6MLN$) e dal comparto industriale (5,20MLN$).
Tutti i costi di un data breach
La divergenza fra le cifre dei vari report si spiega perché non tutti tengono conto di tutti i fattori di spesa creati dal data breach. Se ci si limita a considerare il lavoro necessario per ricostruire gli archivi danneggiati, si arriva a cifre tutto sommato accettabili. Ma i veri danni di un data breach sono altri: per esempio la perdita di business, il fermo aziendale. E non è necessario che un malware blocchi le linee di montaggio per mettere fuori gioco l’azienda: se un ransomware colpisce i file dell’ERP criptando tutte le informazioni sui clienti e sugli ordini, la linea di produzione potrà anche continuare a sfornare prodotti, ma essi rimarranno chiusi nei magazzini perché non si saprà quali devono essere inviati e a chi. Questo è il primo vero costo dei data breach: finché il sistema informativo non torna in linea, l’azienda non vende, non fattura, non guadagna; i magazzinieri sono fermi, i camion sono fermi, gli autisti sono fermi. E la concorrenza nel frattempo contatta i vostri clienti.
L’effetto boomerang sulla brand reputation
C’è poi un altro “costo nascosto” dei data breach: il danno alla brand reputation. Le aziende che hanno subito un data breach tipicamente vedono nelle settimane seguenti alla pubblicazione dell’episodio un tasso di abbandono dei clienti, che passano a un concorrente, nettamente più alto di quello fisiologico. Questo in particolare per entità che gestiscono dati considerati sensibili: nel settore healthcare, per esempio, il tasso di abbandono della clientela dopo un data breach arriva al 7%. E anche questo fenomeno tende ad aumentare, perché sta progressivamente aumentando da parte degli utenti la consapevolezza dell’importanza della propria privacy. Tanto che, da quando in Europa è in vigore la direttiva GDPR, il rischio di subire (oltre ai danni diretti del data breach) anche una class action di clienti inferociti diventa ogni giorno più concreto.
GDPR e data breach
Il regolamento varato dall’Unione Europea prende molto sul serio i data breach, e ritiene molto grave che un’azienda non abbia fatto tutto quanto il possibile per mantenere al sicuro i dati dei suoi clienti. Proprio per questo, il regolamento ha messo una serie di paletti che rendono molto difficile far passare sotto silenzio un data breach, e dopo che esso viene reso pubblico l’azienda subisce una sanzione che può essere molto, molto pesante. Si va dal 2% al 4% del fatturato aziendale dell’anno precedente, a seconda della gravità delle infrazioni commesse a causa delle quali è stato possibile il data breach.
Insomma, se gli hacker trovano il modo di entrare nei vostri database, rubarli e criptarli, dovrete fronteggiare nell’ordine: le spese per ripristinare i dati; i mancati guadagni del periodo in cui il sistema è down; i danni collaterali in caso di blocco della produzione; i danni alla brand reputation (e conseguente perdita di clientela) che avrete quando dovrete, per legge, rendere noto l’episodio; la sanzione del Garante se in base al regolamento GDPR viene provata la vostra responsabilità; le eventuali cause o class action dei clienti coinvolti nel data breach.
I data breach colpiscono tutti
Ce n’è abbastanza per convincere anche i più dubbiosi a investire di più e meglio nella sicurezza dei dati conservati in azienda. Se pensate di cavarvela con un “a noi non succederà mai, siamo piccoli” vi segnaliamo che un altro studio del Ponemon Institute quantifica nel 67% del totale il numero di piccole e medie aziende che hanno subito tentativi di attacco nel 2018. E a chi pensa che comunque gli attacchi che portano al data breach siano eventi rari, sottoponiamo le cifre rilevate dal Breach Level Index: nella prima metà del 2018, 3,3 miliardi di record sono stati compromessi. Vuol dire che ogni secondo nel mondo vengono rubate le credenziali di 214 clienti. Mentre leggevate questo articolo, sono state rubate le identità di circa 120mila clienti.