Violazioni dei dati senza precedenti sia in termini di costo sia di impatto. È questo l’allarme lanciato dal Cost of a Data Breach Report, il report annuale promosso da IBM Security che fa il punto della situazione sulla sicurezza informatica all’interno delle aziende.
Lo studio, che si basa su un’analisi approfondita delle violazioni dei dati subite da 550 organizzazioni di tutto il mondo (compresa l’Italia) tra marzo 2021 e marzo 2022, ha rilevato che il costo medio globale dei data breach ha raggiunto il massimo storico di 4,35 milioni di dollari, quasi il 13% in più rispetto agli ultimi due anni analizzati dal report. Costi che le aziende potrebbero far ricadere sui loro clienti, con il 60% delle organizzazioni che ha già aumentato i prezzi dei propri beni e servizi a seguito di suddette violazioni. Una situazione davvero insostenibile per il mercato sul quale gravano già inflazione e crisi della logistica resa ancora più grave se si pensa che l’83% delle organizzazioni analizzate ha subito più di una violazione di dati nel corso della propria attività e che le violazioni continuano ad avere effetti sempre più a lungo termine: circa il 50% dei costi dei data breach viene sostenuto più di un anno dopo la violazione. A subire le violazioni più costose, per il dodicesimo anno consecutivo, le imprese del settore sanitario le quali hanno dovuto sostenere un aumento del costo medio di quasi 1 milione di dollari.
L’importanza di un approccio Zero Trust
Non fidarsi e verificare sempre è il principio base di quegli approcci Zero Trust che, se applicati, proteggerebbero i dati dalle minacce sia interne che esterne. Tuttavia, rileva lo studio, circa l’80% delle organizzazioni che operano in settori infrastrutturali critici – finanziario, manifatturiero, sanitario e dei trasporti tra gli altri – non adotta strategie Zero Trust, con i costi medi delle violazioni che aumentano fino a 5,4 milioni di dollari, + 1,17 milioni rispetto alle aziende che adottano tali strategie. Il 28% dei data breach verso queste organizzazioni è costituito da ransomware o attacchi distruttivi. A ciò si aggiunge che il 17% delle violazioni dirette a infrastrutture critiche è stato causato dalla compromissione iniziale di un business partner, evidenziando che i rischi per la security spesso derivano da una fiducia eccessiva negli ambienti di collaborazione.
Data breach, perché pagare non è la soluzione migliore
Se pagare il riscatto richiesto dai pirati informatici potrebbe sul momento sembrare la soluzione migliore, lo studio IBM dimostra il contrario. Secondo il Cost of a Data Breach Report, infatti, le aziende che hanno pagato le richieste di riscatto hanno speso circa 610mila dollari in meno come costo medio di una violazione rispetto a quelle che hanno scelto di non pagare, senza considerare l’importo del riscatto pagato. Inoltre, questi capitali vanno a finanziare inconsapevolmente futuri attacchi di ransomware, mentre potrebbero essere destinati a interventi di remediation e recovery e alla ricerca di potenziali reati federali. Ciò suggerisce che il semplice pagamento del riscatto potrebbe non essere una strategia efficace.
Massima attenzione nel cloud
Il report evidenzia che il 45% delle violazioni esaminate si è verificato nel cloud, tuttavia il 43% delle organizzazioni prese in esame è nella fase iniziale o non ha ancora iniziato ad applicare pratiche di security nei propri ambienti cloud, subendo in media costi di violazione più elevati di circa 660mila dollari rispetto alle organizzazioni con una strategia di security più matura. Inoltre, evidenziano i ricercatori, le aziende che hanno adottato un modello di cloud ibrido (infrastruttura presente nel 45% delle organizzazioni) hanno sostenuto costi di violazione inferiori rispetto alle aziende con un modello di cloud esclusivamente pubblico o privato. Le aziende che hanno adottato il cloud ibrido, infatti, sono state in grado di identificare e contenere le violazioni dei dati in circa 15 giorni in meno rispetto alla media globale di 277 giorni.
Contro il data breach Automazione e AI
Il 62% delle organizzazioni intervistate ha dichiarato di non disporre di personale sufficiente per soddisfare le proprie esigenze di security, sostenendo in media 550mila dollari di costi addizionali per le violazioni rispetto a quelle che affermano di disporre di personale sufficiente. Un aiuto arriva dalla tecnologia. Le organizzazioni che hanno adottato soluzioni di automazione e AI per la security hanno pagato mediamente circa 3,05 milioni di dollari in meno rispetto alle organizzazioni che non hanno adottato queste tecnologie, registrando il più grande risparmio osservato nello studio.
I costi del data breach in Italia
Se il costo di ogni singolo dato rubato è di 164 dollari in media a livello globale, in Italia è di 143 euro (circa 145 dollari). Tra le 17 aree geografiche analizzate, l’Italia si colloca all’ottavo posto, e l’industria farmaceutica è quella ad aver pagato di più: ogni dato rubato è costato 182 euro. Seguono il settore tecnologico (174 euro) e quello dei servizi finanziari (173 euro). Il primo vettore di attacco è il phishing mentre quello che comporta i costi maggiori è la perdita accidentale di dati o device (4,92 milioni di euro).
