E' indubbio che l'anno 2019 sia stato quello che più ha dimostrato come oggi siano i dati le vere prede dei cyber attaccanti, sia che si tratti di "criminali comuni" che di gruppi sponsorizzati da Stati nella cyber guerra a bassa intensità che ormai contraddistingue le relazioni tra alcune nazioni. Database esposti, dati esfiltrati e pubblicati, dati condivisi con terze parti, dati criptati, dati rivenduti nel dark web... Di queste parole si sono riempiti i giornali, non solo quelli di settore, nel 2019.
Sopratutto sarà capitato a tutti di leggere notizie dove si fa riferimento ai cosiddetti data breach e data leak: due dizioni spessissimo usate come sinonimi, perfettamente intercambiabili. In realtà tra data leak e data breach ci sono differenze di fondo.
In comune, le due definizioni hanno, ovviamente, le conseguenze: dati sensibili vengono esposti online e possono quindi (anche se non necessariamente) essere sfruttati per vari scopi, dalla semplice rivendita dei dati nel dark web al furto di identità, al ricatto ecc... Tecnicamente parlando, però, lo scandalo di Cambridge Analytica, che ha visto la raccolta dei dati di 87 milioni di profili Facebook, è stato un data leak. Al contrario l'esposizione dei dati di 500 milioni di clienti della catena alberghiera Marriot, evento accaduto nel 2018, è un data breach. In cosa consiste la differenza? Il punto non è secondario, perché avere chiari questi concetti aiuta a organizzarsi, approntare le soluzioni più adatte, apprendere "buone prassi" che ci rendano sempre più attenti alla sicurezza dei dati e e capaci di difendere la privacy, nostra personale e di eventuali nostri clienti.
Cosa è un data breach
Un data breach è un attacco diretto su dati privati operato da una entità non autorizzata. Un attaccante che penetra in un database o che riesce ad estorcere (magari con una email di phishing) credenziali di accesso ai dati della vittima dell'attacco di phishing ecc... Nel caso della catena Marriot International, gli attaccanti hanno installato un malware nei sistemi probabilmente nel 2014, e questo è rimasto non individuato fino al 2018: la conseguenza diretta è stata l'esposizione dei dati di milioni di clienti. In dettaglio gli attaccanti hanno installato un Remote Access Trojan (RAT) per avere accesso ai sistemi e il tool Mimikatz, specializzato nell'individuazione di username e password nei sistemi di memoria. Se da Marriot avessero provveduto ad effettuare audit riguardanti il rispetto degli standard di sicurezza è molto probabile che il malware sarebbe stato individuato molto prima.
Cosa è un data leak?
Un data leak invece è la trasmissione non autorizzata di dati da dentro una organizzazione ad un destinatario esterno. Il termine può essere usato sia per indicare trasferimenti fisici di dati che digitali, anche se la quasi totalità dei data leak avviene online. Questo tipo di eventi possono dipendere da varie cause, anche se la principale è l'errore umano: ad esempio l'invio di email al destinatario sbagliato oppure l'esposizione accidentale di informazioni in risposta a una richiesta. La maggior parte dei data leak insomma è involontaria e accidentale. Sono data leak anche quegli incidenti dovuti a vulnerabilità o ad errati processi aziendali di conservazione dei dati.
Una delle distinzioni chiave è quindi l'intenzionalità, l'attacco volontario vs l'errore umano ad esempio. L'altra è che il data leak avviene dall'interno all'esterno, mentre un data breach ha "direzione opposta", dall'esterno all'interno.
Perchè questa distinzione è così importante?
La differenza aiuta a comprendere alcune cose, prima di tutto il fatto che talvolta i dati finiscono esposti come risultato della maniera con cui sono progettati determinati servizi. La situazione classica è il database mal configurato, rintracciabile coi comuni motori di ricerca o specifici strumenti di ricerca. In altri casi invece politiche di sviluppo incorenti permettono debolezze nel sistema: Cambridge Analytica era una entità di dubbia legittimità che è riuscita a insinuarsi nelle incoerenze delle politiche di Facebook.
Se un'azienda, contro un data breach, può approntare le misure difensive necessarie e adatte, con soluzioni di sicurezza per endpoint, reti, server e dispositivi mobile, quel che può fare invece per impedire data leak è molto più vasto: si va dalla formazione dei dipendenti alla concezione di politiche coerenti tra loro di gestione dei dati, fino alla valutazione approfondita delle parti terze con le quali condividere i dati (e come e per quanto e per quale finalità).
Come clienti/utenti di un servizio invece non abbiamo alcuna possibilità di prevenire violazioni o fughe di informazioni, a parte tenere presenti le ovvie e necessarie necessità di riservatezza e privacy riguardo le nostre stesse informazioni sensibili, che troppo spesso siamo disposti a rendere pubbliche o a condividere prestando poca attenzione. Un esempio? E' preferibile non condividere la data di nascita sui social se poi utilizziamo quella combinazione di numeri in alcune delle nostre password. Anche informarsi su come un preciso servizio raccoglie e gestisce i dati è importante: possiamo scegliere, leggendo le informative privacy e sicurezza che il GDPR ha reso obbligatorie, tra servizi diversi a seconda della sicurezza e riservatezza che ci garantiscono.
Nessun commento:
Posta un commento