mercoledì 4 novembre 2020

Attacco ransomware: non solo danni economici, ma anche conseguenze legali. Il caso Blackbaud

Blackbaud è un'gigante high tech statunitense, provider di servizi in cloud: ha clienti e svolge le proprie operazioni in tutto il mondo, ma il grosso dei clienti si concentra tra Stati Uniti, Regno Unito, Australia e Canada. 

Il 16 Luglio 2020 l'azienda ha subito un attacco ransomware i cui effetti hanno impattato i dati e i servizi di migliaia di clienti, comprese organizzazioni di carità e no profit, fondazioni, università e altre aziende dagli Usa al Canada fino all'Olanda. La società aveva dichiarato di essere riuscita ad impedire agli attaccanti di criptare completamente i sistemi, ma non prima che gli attaccanti fossero riusciti a mettere le mani su un sottoinsieme dei dati aziendali da un ambiente self-hosted. Per riportare in chiaro la porzione di file criptati, l'azienda ha optato per il pagamento del riscatto, una volta saputo però del furto dei dati: probabilmente il riscatto è stato pagato più per non far pubblicare i dati rubati che per riportare in chiaro quelli criptati. 

Le cause legali e le richieste di informazioni da parte delle Autorità Garanti
Se per la maggior parte delle aziende un attacco ransomware si conclude quando i dati sono tornati in chiaro e gli attaccanti sono stati espulsi dalla rete, la realtà è però ben diversa e il caso di Blackbaud lo dimostra. Sulla Blackbaud sono infatti piovute ben 23 class action da parte dei clienti. 

E' stata l'azienda stessa a confermare ieri di essere imputata in 23 diverse cause, tutte collegate allo stesso attacco ransomware. "Ad oggi siamo imputati in 23 casi di class action a parte di clienti (17 nei tribunali federali degli USA, 4 nei tribunali statali USA e 2 in tribunali canadesi) per presunti danni causati dall'incidente di sicurezza" hanno dichiarato nel  "2020 Q3 Quarterly report" che è stato depositato presso la Securities Exchange Commissions statunitense. Sono tutte persone che attribuiscono a Blackbaud responsabilità e omissioni in relazione all'incidente di sicurezza e affermano a vario diritto di essere meritevoli di risarcimenti danni pecuniari e del risarcimento dei costi legali e di tutte le altre azioni conseguenti. 

Non solo: il provider di servizi cloud ha anche ricevuto 160 richieste individuali di risarcimento relative all'attacco ransomware da parte di clienti e dei loro avvocati. Insomma, una vera e propria tempesta legale. 

Tempesta legale alla quale si aggiungono le richieste di varie Authorities come la U.S. Federal Trade Commission, l'U.S. Department of Health and Human Services, l'Information Commissioner’s Office del Regno Unito (ICO),l'Office of the Australian Information Commissioner e l' Office of the Privacy Commissioner canadese: tutte, a vario titolo, hanno inviato comunicazioni, richieste e avviato indagini sull'accaduto. Insomma, oltre alle cause individuali e alle class action, l'azienda rischia ulteriori indagini governative e sanzioni da parte delle varie Authorities. 

Spese, dati esposti e rischi di sicurezza
Blackbaud ha già speso oltre 3 milioni di dollari per fronteggiare e gestire l'attacco tra Luglio e Settembre: ingente spesa che è, nella quasi totalità, rientrata grazie ai recuperi assicurativi maturati nello stesso periodo di tempo. Inoltre, il provider ha già annunciato di prevedere un aumento dei costi derivanti dalla risposta all'attacco, anche in conseguenza agli sforzi necessari a migliorare le difese di cybersicurezza. 

Evidentemente tutto ciò non basta: gestire le conseguenze di un attacco ransomware pare infatti una impresa titanica dai costi crescenti, tra spese tecniche, legali, costi d'immagine ecc... Anche perchè, nel caso della Blackbaud i dati rubati dai cybercriminali sono estremamente sensibili, ovvero dati personali e informazioni bancarie non criptate, oltre ai numeri di previdenza sociale. A questo punto infatti è tutto nelle mani dei cyber attaccanti, che potrebbero decidere di distruggere i dati in seguito al pagamento del riscatto, ma potrebbero anche decidere di rivenderli, determinando nuovi e ulteriori rischi per i clienti vittime del data breach: questi potrebbero infatti vedere riutilizzati i propri dati per truffe e cyber attacchi di ogni tipo. 

Ed è anche in conseguenza di queste tipologie di rischio che i regolamenti di protezione dati (almeno quello statunitense e il nostro GDPR) prevedono salatissime sanzioni per quelle aziende che, pur vittime di attacco, sono ritenute in ogni caso responsabili della sicurezza dei dati. Certo, le assicurazioni che coprono i costi di certi attacchi esistono, ma nessuna assicurazione prevede il rimborso in caso di sanzioni delle autorità competenti.

Nessun commento:

Posta un commento