Sembra che ogni volta che leggiamo le notizie in questi giorni, ci sia un altro rapporto le informazioni di milioni di persone violate. Quindi, quanto è grave il problema delle violazioni dei dati e quale impatto ha su individui e aziende? Riveliamo le statistiche e i fatti di violazione dei dati più interessanti e recenti, molti dei quali sono altamente sconcertanti.

Daremo anche un’occhiata alle leggi che circondano le violazioni dei dati e ciò che gli individui possono fare per resistere agli effetti di una violazione dei dati. Veniamo ai fatti.

Data breach statistics and facts

Abbiamo raccolto le statistiche e i fatti di data breach più interessanti da studi recenti:

Il 49% delle aziende statunitensi ha subito una violazione dei dati

Il 2020 Thales Data Threat Report condotto da International Data Corporation (IDC) ha intervistato 1.200 dirigenti provenienti da nove paesi, in rappresentanza di una serie di settori. Ha scoperto che quasi la metà delle aziende statunitensi ha subito una violazione dei dati in passato, anche se questo numero potrebbe essere più alto dato che molte violazioni passano inosservate per lunghi periodi di tempo. Si tratta di una riduzione rispetto allo scorso anno, quando il 65 per cento delle aziende aveva sperimentato una violazione.

La California ha subito più violazioni dei dati rispetto a qualsiasi altro stato negli ultimi 10 anni

Uno studio Comparitech ha esaminato il numero di violazioni dei dati riscontrate dalle aziende in ogni stato, nonché il numero corrispondente di record esposti. La California era di gran lunga il front runner con 1.493 violazioni e 5,6 miliardi di record esposti dal 2008. Al secondo posto c’era New York con 729 violazioni e 293 milioni di record esposti e il terzo posto è andato al Texas con 661 violazioni e 288 milioni di record esposti.

3. Un attacco di hacking si verifica ogni 39 secondi

I computer analizzati in uno studio dell’Università del Maryland sono stati attaccati in media 2.244 volte al giorno. Ciò significa che un singolo computer potrebbe essere sotto attacco più regolarmente di una volta al minuto.

Una delle prime perdite di dati del 2020 ha coinvolto 250 milioni di record

Microsoft ha iniziato un po ‘ male nel 2020. Abbiamo riferito a gennaio di aver subito una massiccia perdita di dati che coinvolgono più di 250 milioni di registri di assistenza clienti risalenti a più di un decennio.

Comparitech ha scoperto la perdita di dati insieme al ricercatore di sicurezza Bob Diachenko alla fine del 2019, anche se Microsoft non ha rivelato la violazione fino a gennaio 2020. Le informazioni contenute nei log non erano di natura particolarmente sensibile, sebbene i log dei clienti potessero rivelarsi molto preziosi per i truffatori del supporto tecnico.

Almeno quattro violazioni del 2020 hanno coinvolto oltre un miliardo di record trapelati

Mentre la violazione di Microsoft era grande, non era affatto la più grande. Altre violazioni notevoli in 2020 hanno coinvolto CAM4 (10.88 miliardi di record), Advanced Info Service (AIS) (8.3 miliardi di record), e Keepnet Labs (5 miliardi di record). Naturalmente, c’è anche la violazione di SolarWinds che è stata scoperta a dicembre, la cui piena ricaduta deve ancora essere determinata.

Le aziende che hanno subito una violazione sottoperformano il mercato di oltre il 15% tre anni dopo

Un altro studio Comparitech ha esaminato i prezzi delle azioni di 24 società quotate alla Borsa di New York che avevano subito importanti violazioni dei dati. Abbiamo scoperto che dopo due settimane (dalla data in cui la violazione è stata resa pubblica), i prezzi delle azioni erano scesi in media del 2,89%. Anche se i prezzi delle azioni tendono a recuperare dopo che, quando abbiamo esaminato i risultati a lungo termine, abbiamo scoperto che i prezzi delle azioni delle società colpite non tenere il passo con la media NASDAQ. Un anno dopo la violazione, le aziende hanno sottoperformato il NASDAQ del 3,7% e, dopo tre anni, le aziende hanno sottoperformato il NASDAQ del 15,58% in media.

Il 26% delle aziende statunitensi ha subito una violazione dei dati nell’ultimo anno

Nell’ultimo anno, lo studio Thales di cui sopra ha rilevato che quasi un terzo delle aziende statunitensi ha riferito di aver subito una violazione dei dati. Ancora una volta, questo potrebbe essere più alto a causa del potenziale di violazioni ancora non rilevate.

Metà delle organizzazioni spende solo il 6-15% del proprio budget di sicurezza per la sicurezza dei dati

Uno dei risultati chiave dello studio Thales è stato che, nonostante la massiccia minaccia rappresentata dalle violazioni dei dati, molte organizzazioni non stanno allocando gran parte del proprio budget per

Il 28% delle violazioni dei dati ha colpito le vittime delle piccole imprese

Il rapporto Verizon 2020 Data Breach Investigations si basa sull’analisi di oltre 40.000 incidenti di sicurezza, tra cui oltre 2.000 violazioni dei dati confermate. Ci fornisce un tesoro di fatti interessanti, tra cui chi è coinvolto in violazioni dei dati. Quasi un terzo degli attacchi colpisce le piccole imprese, mentre la stragrande maggioranza ha preso di mira le aziende più grandi.

Vedi anche: Migliorare la sicurezza informatica per le piccole imprese

7 infrastrutture cloud su 10 vengono violate in un anno

Il rapporto State of Cloud Security 2020 di Sophos ha rilevato che le grandi violazioni che coinvolgono il cloud stanno diventando comuni. il 70% dei professionisti IT ha segnalato che le proprie infrastrutture cloud hanno subito una violazione nell’anno precedente. Il rapporto rivela che la maggior parte degli incidenti di sicurezza del cloud computing hanno una delle due cause principali. Sono o il risultato di credenziali rubate o phished, o errori di configurazione hanno portato alla violazione.

I gruppi criminali organizzati sono responsabili del 55% delle violazioni

Il rapporto Verizon offre anche informazioni su chi è responsabile degli attacchi. È interessante notare che più di un terzo delle violazioni comporta gruppi di criminalità organizzata. Inoltre, quasi un terzo ha coinvolto personale interno e più di due terzi coinvolge estranei. Non sorprende che il 70 per cento delle violazioni dei dati sono finanziariamente motivati.

Il 22% delle violazioni dei dati comporta attacchi di phishing

Nel suo studio, Verizon ha cercato di scoprire come si verificano le violazioni e ha scoperto che quasi un terzo comporta attacchi di phishing, il 37% comporta l’hacking e il 17% si concentra sul malware.

Il tempo di rilevamento per il 60% delle violazioni dei dati è di mesi o più

Ti chiedi quanto tempo ci vuole per le aziende per scoprire e reagire alle violazioni? Il rapporto Verizon rivela che non è così veloce come vorresti, soprattutto considerando che le credenziali rubate sono coinvolte nel 37% delle violazioni. Con più della metà delle aziende che impiegano mesi per scoprire una violazione, nel momento in cui un’azienda emette un’e-mail che dice ai clienti di cambiare le loro password, potrebbe già essere troppo tardi.

Quasi 8.000 siti Web per trimestre sono compromessi con il codice formjacking

Il formjacking coinvolge criminali che utilizzano codice JavaScript per dirottare i moduli di pagamento del sito Web come quelli trovati sui siti di e-commerce. Indicato anche come skimming carta digitale, è usato come un mezzo per rubare le informazioni della carta di credito così come altri dati preziosi. Secondo Symantec Threat Landscape Trends-Q1 2020, ci sono stati 7.836 siti compromessi tramite formjacking in Q1 2020. Questo è aumentato rispetto a 7,663 nel trimestre precedente.

Gli attacchi ransomware aziendali sono in aumento

Gli attacchi ransomware (che tengono in ostaggio file o sistemi) rappresentano un’enorme minaccia per la sicurezza dei dati. Secondo il Symantec Security Summary-luglio 2020, gli aggressori stanno prendendo di mira le grandi organizzazioni, tra cui diverse aziende Fortune 500, con il ransomware WastedLocker. Al momento del rapporto, erano già stati rilevati attacchi a 31 organizzazioni.

Secondo il Symantec Security Summary – gennaio 2021, è emerso un nuovo tipo di ransomware che mira alle imprese. Scoperto dal ricercatore Chuong Dong, il ransomware Babuk Locker si diffonde attraverso attacchi umani. Gli eseguibili sono personalizzati per ogni vittima aziendale con richieste di riscatto di solito nelle decine di migliaia di dollari.

I dettagli della carta American Express recuperano $35 nell’economia sommersa

Secondo i rapporti, una carta clonata con un PIN può vendere per $15-$35 con i dettagli American Express che sono i più preziosi. Nel frattempo le credenziali di online banking per i conti in possesso di $2.000 o più possono vendere per $65.

Le credenziali dell’account Gmail valgono in media $156

Mentre questa cifra sembra alta, ha senso se si considera che molte persone collegano altri account al proprio account Gmail. In quanto tale, l’accesso a Gmail potrebbe consentire a un utente malintenzionato di reimpostare le password su più piattaforme.

Il numero di violazioni dei dati è sceso nei primi tre trimestri del 2020

Secondo l’Identity Theft Resource Center (ITRC), il numero di violazioni dei dati nei primi nove mesi del 2020 è sceso del 30 per cento rispetto allo stesso periodo del 2019. Il numero di individui colpiti è stato di oltre 292 milioni, in calo del 60% rispetto al 2019. Una possibile ragione per il calo è che le organizzazioni si sono spostate verso un modello di lavoro remoto a seguito della pandemia, sono diventate più consapevoli dei problemi di sicurezza informatica e delle pratiche inasprite.

$8.64 milioni è quanto costa la violazione media dei dati negli Stati Uniti

Il costo di IBM 2020 di un rapporto sulla violazione dei dati incentrato su interviste con oltre 3.200 professionisti di oltre 500 aziende in tutto il mondo. Tutte le società rappresentate avevano subito una violazione dei dati entro i 12 mesi precedenti.

Anche se il numero complessivo di violazioni dei dati segnalati sembra essere trend verso il basso nel corso del tempo, singole violazioni stanno diventando più costosi e comportano la perdita o il furto di un numero sempre più elevato di record dei consumatori.

Di tutte le violazioni esaminate nello studio, il costo medio di una violazione negli Stati Uniti è stato di $3.86 milioni, con gli Stati Uniti che hanno il costo medio più alto. Questo costo include cose come affari persi, costi di notifica e altri danni. Il settore con il costo medio più alto è stato l’assistenza sanitaria a million 7.13 milioni.

Ogni record rubato in una violazione dei dati rappresenta un costo di $150

Lo stesso studio IBM ha rilevato che il costo medio di un record rubato è di $150, in leggero aumento rispetto ai $148 dell’anno precedente.

L’impiego di un team di risposta agli incidenti può ridurre il costo medio di una violazione dei dati di $2 milioni

Nel rapporto dell’anno precedente, l’impatto di avere un team di risposta all’impatto non era troppo grande, risparmiando solo $360.000. I numeri recenti suggeriscono molto maggiore risparmio di million 2 milioni sul costo medio di una violazione. L’automazione della sicurezza offre un risparmio ancora maggiore di million 3,58 milioni.

La perdita di attività a causa di una violazione dei dati costa in media $1,52 milioni

IBM ha suddiviso il costo delle violazioni dei dati in quattro componenti principali: rilevamento e escalation, notifica, risposta post violazione e perdita di attività. Quest’ultimo è stato responsabile in media di costs 1,52 milioni di costi, che è il 39,4 per cento del costo medio totale.

Il rilevamento e l’escalation, la notifica e la risposta post-violazione costano in media $1,11 milioni (28.8 per cento), million 0,24 milioni (6,2 per cento), e million 0,99 milioni (25,6 per cento), rispettivamente.

Una violazione che coinvolge 1 milione a 10 milioni di record costa una media di million 50 milioni

Per mettere le cose in prospettiva, IBM rivela il costo medio di una violazione di una determinata dimensione (in termini di record). Una mega violazione che colpisce 1 milione a 10 milioni di record costa million 50 milioni, con un aumento del 19 per cento rispetto al 2019. Una violazione che coinvolge più di 50 milioni di record costa average 392 milioni in media, rispetto a million 388 milioni dell’anno precedente.

L’errore umano è la causa del 23% delle violazioni dei dati

Non sono sempre i criminali informatici a essere responsabili delle violazioni dei dati e, secondo IBM, quasi un quarto delle violazioni avrebbe potuto essere evitato. Questa cifra è leggermente in calo rispetto al 24 per cento in 2019.

Ci vogliono in media 280 giorni per identificare e contenere una violazione

Le violazioni hanno richiesto un po ‘ più tempo per rilevare e contenere nel 2020 (280 giorni) rispetto al 2019 (279 giorni). Tra i paesi intervistati da IBM, il Brasile ha avuto uno dei tempi di risposta più lenti con le aziende che impiegavano in media 380 giorni per identificare e contenere le violazioni.

Quasi due terzi delle aziende lasciano più di 1.000 file sensibili aperti a chiunque

Il rapporto sui rischi dei dati Varonis Financial Services 2021 esamina le valutazioni dei rischi dei dati condotte dagli ingegneri Varonis, per determinare l’entità dell’esposizione di informazioni critiche e sensibili all’interno di organizzazioni di servizi finanziari come banche, compagnie assicurative e società di

Un’area di interesse è il numero di cartelle che possono essere visualizzate da chiunque nell’azienda. Varonis ha scoperto che nel 64 per cento delle società di servizi finanziari, ogni dipendente ha accesso a più di 1.000 file sensibili.

Ma forse più preoccupante è quando i file sensibili vengono lasciati aperti. I file sensibili includono quelli contenenti informazioni come informazioni sulla carta di credito, cartelle cliniche o informazioni regolamentate come quelle soggette a GDPR, PCI o HIPAA. Infatti, lo studio ha rilevato che il 15 per cento di tutti i file sensibili sono accessibili da qualsiasi dipendente.

I dipendenti di grandi organizzazioni possono accedere a 20 milioni di file

Varonis ha scoperto che nel 2020, ogni dipendente ha accesso a una media di 11 milioni di file. Per le grandi organizzazioni, questo numero è quasi il doppio a 20 milioni.

Nel 2019, il numero di individui colpiti da violazioni dei dati è diminuito del 66% rispetto al 2019

Il Centro risorse per il furto di identità (ITRC) esamina le divulgazioni di violazioni dei dati pubblicamente disponibili e ha pubblicato i suoi risultati chiave per il 2020. Ha scoperto che poco più di 300 milioni di persone sono state colpite da violazioni dei dati riportate pubblicamente in 2020. Questo numero è diminuito di due terzi rispetto all’anno precedente.

Tuttavia, nel rapporto, il presidente ITRC& CEO Eva Velasquez mette in guardia contro la compiacenza:

Ora non è il momento per i consumatori di pensare che il loro rischio sia evaporato. Ci sono ancora centinaia di milioni di record esposti ogni anno e i consumatori devono capire che questo è un rischio continuo che può avere un impatto reale sulle loro vite.

Il phishing è il tipo più comune di attacco informatico coinvolto in una violazione

ITRC esamina la causa di ogni violazione dei dati. Nel 2020, gli attacchi informatici sono stati la causa principale di 878 violazioni pubblicamente segnalate, che hanno interessato un totale di quasi 170 milioni di individui. Di questi, il 44% (382) è stato causato da attacchi di phishing, smishing o compromissione delle e-mail aziendali. Un ulteriore 18 per cento sono stati causati da ransomware.

Attacchi informatici e frodi di dati sono nominati come alcuni dei maggiori rischi globali

Il World Economic Forum Insight Report 2020 delinea i maggiori rischi globali, tra cui disastri naturali e armi di distruzione di massa. Gli attacchi informatici e le frodi di dati si collocano al terzo posto in termini di più preoccupanti per le aziende (prima delle preoccupazioni sulle malattie infettive) e all’ottavo posto nella più probabile ricaduta per il mondo.

Segnalazione di violazioni dei dati

Fino a poco tempo fa, era comune apprendere di una violazione dei dati ben dopo che si era verificata. Potremmo venire a conoscenza di una massiccia violazione mesi o addirittura anni dopo il fatto. In alcuni casi, questo potrebbe essere dovuto al fatto che la società stessa non ha scoperto la violazione per molto tempo. Tuttavia, in altri casi, è venuto alla luce che le aziende hanno nascosto le violazioni o i fatti che le circondano, al fine di prevenire danni alla reputazione dell’azienda.

Ad esempio, nel 2017, è stato rivelato che Uber aveva coperto una violazione dei dati del 2016 che interessava 57 milioni di clienti. E di recente, a ottobre 2018, Google ha ammesso una violazione dei dati che colpisce mezzo milione di utenti iniziata tre anni prima ed è stata scoperta a marzo 2018.

Ovviamente, non notificare ai clienti una violazione rappresenta un’enorme minaccia alla privacy in quanto non sapranno adottare misure per mitigare eventuali danni potenziali. Ad esempio, se sai che la tua password è stata violata, cambierai la tua password.

Al fine di proteggere il diritto dei cittadini di sapere quando la loro privacy è stata violata, molti paesi hanno ora leggi ferme in atto che impongono ciò che le aziende devono fare in caso di una violazione dei dati scoperta. Queste leggi si concentrano sulla segnalazione della violazione e sulla notifica ai clienti, ma possono anche coprire cose come il modo in cui le informazioni sulla violazione devono essere registrate e archiviate.

Ad esempio, alla fine del 2018, il Canada ha apportato modifiche al Personal Information Protection and Electronic Documents Act (PIPEDA), delineando esattamente come le organizzazioni soggette alla legge devono reagire a una violazione dei dati. Anche in 2018, Alabama è diventato lo stato finale negli Stati Uniti per emanare una legge di notifica di violazione dei dati.

Cosa possono fare le persone riguardo alle violazioni dei dati?

Gli individui dipendono fortemente dalle aziende per salvaguardare le loro informazioni. Si fidano anche di essere avvisati il prima possibile dopo la scoperta di una violazione. Detto questo, ci sono alcuni passi che puoi prendere per salvaguardare i tuoi dati:

• Usa password forti e univoche: in questo modo, anche se qualcuno ha il tuo nome utente o e-mail, sarà difficile per loro entrare in un account. Lunghe stringhe di lettere, numeri e simboli sono una buona idea. Le password dovrebbero anche essere univoche per ciascun account al fine di impedire agli hacker di utilizzare le informazioni di accesso di un account violato su altri account, un attacco noto come credential stuffing. È possibile utilizzare un gestore di password per aiutare a generare e ricordare le password.
• Aderire alle avvertenze: Se si sente parlare di una violazione nelle notizie o ricevere una notifica da una società che avete a che fare con, agire subito. Cambia immediatamente la tua password e scopri quali informazioni potrebbero essere state violate in modo da poter agire. Ad esempio, se il tuo numero di carta di credito potrebbe essere trapelato, potresti volerlo sostituire.
• Attenzione per le email di phishing: Anche se si dovrebbe prendere sul serio le notifiche di violazione, si noti che questa potrebbe anche essere una tattica utilizzata dai criminali informatici. I truffatori possono inviare e-mail di phishing (sotto l’apparenza di e-mail di reimpostazione della password) che portano a siti falsi (phishing), progettati per rubare informazioni come le credenziali di accesso. Se ricevi un’e-mail di reimpostazione della password, assicurati che sia legittima controllando i segni comuni di un’e-mail di phishing come un nome della società errato o una grammatica scadente. È inoltre possibile saltare i link del tutto e andare direttamente al sito web della società per cambiare la password.
• Cerca siti sicuri: quando svolgi attività online, in particolare quelle che riguardano informazioni finanziarie o personali, assicurati di utilizzare un sito Web affidabile (uno che inizia con https://). Anche se si individua un buon affare, non vale la pena consegnare le informazioni di pagamento a una società che non sta andando a salvaguardare i vostri dati.
• Usa una VPN: evita cose come l’online banking e lo shopping quando sei connesso a reti wifi pubbliche. Utilizzando una VPN puoi crittografare la connessione e mantenere i dati al sicuro da hacker e altri ficcanaso, anche su wifi non protetto.
• Usa l’autenticazione a due fattori (2FA): se le tue credenziali sono esposte in una violazione dei dati, 2FA o la verifica in due passaggi (2SV) possono impedire a un criminale di accedere al tuo account.
• Uso sono stato pwned?: Iscriviti a questo sito web per ottenere una notifica rapida nel caso in cui il tuo indirizzo email sia stato coinvolto in una violazione dei dati. Nota è necessario registrarsi separatamente per ogni indirizzo e-mail che si utilizza.
• Monitorare i tuoi account: Non puoi sempre fidarti che un istituto finanziario o una piattaforma di pagamento prendano qualcosa di sbagliato con il tuo account. Controllare le dichiarazioni regolarmente per assicurarsi che nessuno ha accesso e controllare il vostro rapporto di credito per garantire che non nuovi conti sono stati aperti nel tuo nome. Non dimenticare di controllare anche i conti fedeltà e ricompensa; questi sono spesso dimenticati, ma possono essere di grande valore per i criminali. Servizi di protezione furto di identità possono automatizzare alcuni di questi controlli.