I data breach sono in aumento. Di recente abbiamo visto come Yahoo ne abbia subito uno molto importante e imbarazzante, con più di un miliardo di account utente violati. Abbiamo visto come ci siano seri indizi sul fatto che la Russia abbia violato alcuni sistemi informatici negli Stati Uniti con la speranza di influenzare le elezioni presidenziali 2016. Insomma sembra che oggigiorno ad inserire le proprie informazioni su un sito web ci si senta un po’ come a bordo di un’automobile 50 anni fa: senza cinture di sicurezza o airbag, semplicemente pregando di non essere mai coinvolti in un incidente.
Ci sono stati molti altri casi oltre ai due sopracitati. Il megastore americano Target ha avuto 40 milioni di numeri di carte di credito rubati e messi in vendita on-line. Ashley Madison, il più grande sito di incontri per adulti, ha subito un attacco in conseguenza al quale 37 milioni di account sono stati violati e gli utenti, spesso sposati e sotto falsa identità, sono stati messi alla berlina vedendo pubblicati online i loro “affari extraconiugali”. Persino all’Ufficio Gestione del Personale degli Stati Uniti D’america sono stati rubati tutti i dati relativi a dipendenti passati, presenti e potenziali.
L’impatto di questo genere di data breach è profondo e duraturo. Alcuni utenti hanno perso tempo e denaro per proteggersi dalle conseguenze di questi furti d’identità, altri hanno visto i loro matrimoni andare in fumo, altri ancora sono stati oggetto di ricatti ed estorsioni sotto la minaccia di pubblicare le informazioni compromettenti indebitamente sottratte.
Tutti questi utenti sono stati traditi dalle organizzazioni stesse alle quali avevano affidato i propri dati, organizzazioni che non hanno saputo difendersi a dovere contro le insidie della pirateria informatica.
Peggio ancora. Secondo uno studio, il 93 per cento dei data breach degli ultimi 10 anni avrebbe potuto essere evitato. I sistemi non sono sempre protetti nemmeno contro le vulnerabilità più note; i dipendenti non sono sempre preparati per evitare di cadere in trucchi anche banali come email di phishing etc. E quando poi le uova si rompono nel paniere (cioè la violazione effettivamente si verifica), non sono quasi mai prese misure adeguate per limitare i danni.
Quello che si osserva è che molte organizzazioni non fanno nemmeno i passi fondamentali per proteggere le informazioni personali degli utenti in loro possesso. Strano perchè oltretutto i costi per questo genere di incidenti di data breach sono considerevoli sia a livello reputazionale che materiale (si stima che soltanto negli USA circa 500 miliardi di dollari all’anno vadano in fumo per le conseguenze di questo genere di violazioni).
Per incentivare le organizzazioni ad investire nella sicurezza ci vorrebbero bastone e carota. Innanzitutto il bastone. Regolazioni andrebbero imposte dagli stati sovrani affinchè le entità, siano esse private o pubbliche, alle quali noi tutti affidiamo informazioni personali, patiscano maggiori penalità nel caso si verifichino violazioni dei dati in loro possesso. Poi la carota. Dovrebbero essere stilate delle linee guida di valutazione in questo ambito affinchè le organizzazioni possano fornire “segnali di sicurezza” codificati e credibili in modo da attrarre un maggior numero di utenti, ricevendo quindi un ritorno in termini economici sui loro investimenti.
Le automobili di oggi sono molto più sicure di 50 anni fa. Vengono effettuati crash-test in ambienti controllati in seguito ai quali ad ogni modello di automobile viene dato un punteggio, così le persone sono in grado di sapere qual’è il livello di sicurezza dell’auto che vogliono acquistare. In questa maniera le case automobilistiche sono incentivate ad investire nella sicurezza: un buon punteggio di sicurezza può essere usato, come vediamo molto spesso nelle pubblicità, addirittura come base per una campagna di marketing. A questo livello di evoluzione si è arrivati attraverso una crescita di consapevolezza nel consumatore, la nascita di standard a livello nazionale e internazionale e il contributo di enti di valutazione indipendenti, al punto che oggigiorno ci aspettiamo alti standard di sicurezza per proteggere noi e la nostra famiglia quando siamo in macchina. Non dovremmo aspettarci niente di meno quando in gioco ci sono le nostre preziose informazioni personali.
Dai un’occhiata a questo articolo per scoprire di più su una recente falla di Facebook.
articolo originale: techcrunch.com
