Quanto può costare un furto di dati alle aziende?

Il Cost of Data Breach Study torna ad analizzare i danni causati dai furti di dati (data breach) alle aziende. Il report del 2017, a cura del Ponemon Institute, ha interpellato 413 compagnie di 13 differenti Paesi che, nel corso del 2016, sono state bersaglio degli hacker.

In base a quanto appreso dagli analisti, l’evento più grave avrebbe compromesso circa 99.500 record, un valore tutto sommato contenuto se paragonato ai 143 milioni di account rubati dai database Equifax (una delle principali agenzie di controllo crediti degli Stati Uniti) ma pur sempre oneroso per le casse e la reputazione di un brand – come vedremo a breve.

A livello globale (esclusi gli Stati Uniti), il costo medio di una violazione dati è pari a 3.62 milioni di dollari, in calo del 10% rispetto a dodici mesi prima. Negli USA il valore sale a 7.35 milioni di dollari, in crescita del 5% (il dollaro forte sarebbe il principale motivo, situazione che si è invece invertita negli ultimi mesi).

Per ogni record compromesso, l’azienda subisce un danno medio di 225$ (+2%) negli Stati Uniti e 141$ (-11.4%) nei restanti Paesi. Una corretta stima dei danni, sottolinea lo studio, deve però tenere conto di vari elementi – che analizzeremo nel prossimo paragrafo.

Stima dei danni: quali elementi considerare

data_breach_1

Gli attacchi malevoli o criminali sono i più costosi da gestire. Fonte: Cost of Data Breach Study.

  •  Perdita di clienti (churn). A seguito di un furto dati la fiducia dei clienti di un’azienda viene messa alla prova. Il rischio di perdere clienti è concreto anche per via dei danni che le attività di questi ultimi si troveranno ad affrontare dopo l’attacco. Per limitare le perdite, gli analisti consigliano di pianificare (prima degli attacchi) appositi programmi “salvaguardia fiducia” – deve essere quindi una pratica frequente, non è possibile prevedere quando avverrà un attacco.
    In aggiunta a questo, la presenza di una figura specializzata nella tutela dei dati (chief privacy officer, chief information security officer), che possa condurre iniziative mirate, può essere ugualmente utile ad arginare i danni. Lo studio afferma che le imprese più soggette a perdere clienti appartengono al settore dei servizi finanziari, seguono le scienze biologiche e la sanità. Aziende che operano nel campo delle comunicazioni, dell’istruzione e dell’intrattenimento sono afflitte in misura minore dal fenomeno.
  • Quantità di dati trafugati (data breach size). Il costo da pagare varia in base al numero di informazioni compromesse. Il budget medio da destinare alla risoluzione di attacchi che hanno compromesso fino a 10.000 record è pari a 4.5 milioni di dollari; se si superano i 50.000 record la cifra è più che raddoppiata (10.3 milioni di dollari).
  • Tempo impiegato per l’individuazione ed il contenimento dell’attacco. Le aziende più veloci sono quelle che pagheranno il minor prezzo, osserva lo studio. Il tempo medio di individuazione dell’avvenuta violazione è sceso da 201 a 191 giorni mentre quello di contenimento da 70 a 66 giorni. I maggiori investimenti in soluzioni di sicurezza e prevenzione sarebbe il motivo alla base di questo calo. La complessità dei moderni sistemi di sicurezza, unitamente a servizi cloud ed a fenomeni come il BYOD (l’utilizzo di device personali per la produttività) possono rallentare le procedure.
  • Individuazione, variazione dei costi (cost escalation). Categoria nella quale rientrano alcune procedure pre e post violazione: attività forensi ed investigative, perizie e controlli, gestione dell’unità di crisi, comunicazioni con i dirigienti ed il consiglio di amministrazione
  • Costi derivanti dalle attività post attacco. Categoria nel quale rientrano attività come help desk, investigazioni speciali, spese legali, agevolazioni varie (discount servizi), servizi di protezione dell’identità, recupero/messa in sicurezza dei sistemi, interventi normativi.
  • Causa del problema. Come mostra l’immagine all’inizio del paragrafo sono gli attacchi informatici a causare più danni alle aziende, seguono i glitch di sistema e gli errori umani.

Fonte: 1