Qual è il costo di un data breach e come ridurlo: il report IBM 2023

Un incendio in un capannone industriale, un furto di una autovettura aziendale sono percepiti come danni “tangibili”, che occorrono nel mondo reale ed è inevitabile che questo ci aiuti a comprendere meglio gli effetti che essi potrebbero avere sulla nostra realtà imprenditoriale. Più difficile invece immaginare una violazione di dati (c.d. data breach), nonchè i costi relativi ad esso, trattandosi di una violazione che accade in un ambito, quello digitale, che in molti casi sembra sfuggire alla nostra percezione.

Così anche quest’anno IBM Security, insieme al il Ponemon Institute, ha pubblicato il “Cost Of a Data Breach Report 2023″, come a volerci svegliare da questo incantesimo per fare luce sui costi, sulle cause e sulle conseguenze di un Data Breach, nonché sulle strategie per gestire gli investimenti in sicurezza e mitigare i relativi rischi.

Mai come in questo caso può essere utile fornire numeri e statistiche per comprendere il vero impatto delle violazioni e abbandonare quel retro-pensiero che ci induce a ritenere che tutto ciò che succede nel digitale non ha effetti nel mondo reale e, quindi, nella operatività di un’azienda.

L’obiettivo dichiarato è quello di fornire alle figure manageriali in ambito IT, sicurezza e protezione dei dati (Cfr.: CTO, CISO, DPO) prove tangibili e quantificabili per aiutarli a gestire meglio gli investimenti in sicurezza, i profili di rischio aziendali e i processi decisionali strategici.

Questo, grazie ad informazioni preziose sulle cause e conseguenze delle violazioni dei dati, per consentire alle organizzazioni di prendere decisioni più informate al fine di proteggere i loro asset più sensibili.

Lo studio ha analizzato 553 organizzazioni che sono state, a vario titolo, colpite da data breach occorsi nel periodo tra marzo 2022 e marzo 2023, in 16 paesi e 17 settori industriali diversi. Questi i principali dati che emergono dall’indagine effettuata:

• Costo delle violazioni dei dati: il costo delle violazioni dei dati continua ad aumentare; in particolari i data breach in ambito sanitario sono i più onerosi per le aziende, con una media di 10,93 milioni di dollari. Dal 2020, i costi relativi alla violazione dei dati sanitari sono aumentati del 53,3%.
• Identificazione delle violazioni: solo un terzo delle aziende ha scoperto l’esistenza di un data breach attraverso i propri team di sicurezza, evidenziando la necessità di un migliore rilevamento delle minacce (c.d. threat detection) . Il 67% delle violazioni sono state segnalate da terzi benevoli o dagli stessi aggressori.
• Coinvolgimento delle forze dell’ordine: l’esclusione delle forze dell’ordine nelle indagini e/o contenimento di incidenti ransomware ha comportato costi più elevati. Le organizzazioni che che non hanno infatti coinvolto le forze dell’ordine in un attacco ransomware hanno registrato un costo aggiuntivo del 9,6% e un ciclo di vita della violazione più lungo di 33 giorni.
• Impatto dell’intelligenza artificiale e dell’automazione in ambito security: l’uso estensivo dell’intelligenza artificiale e delle funzionalità di automazione ha ridotto significativamente l’impatto finanziario di una violazione. Le organizzazioni che hanno utilizzato queste funzionalità hanno riscontrato un tempo inferiore di 108 giorni per identificare e contenere la violazione, con una conseguente riduzione dei costi delle violazione di 1,76 milioni di dollari rispetto rispetto alle altre organizzazioni:
• Violazioni dei dati più onerose: lo studio ha identificato le violazioni di dati sanitari come le più costose, con un costo medio di 10,93 milioni di dollari. La natura altamente regolamentata del settore sanitario (si pensi anche all’HIPAA su suolo americano, oltre che al GDPR), unita alla sensibilità dei dati dei pazienti, contribuisce al significativo impatto finanziario che hanno tali violazioni in questo settoro. Altri settori che hanno sostenuto costi importanti a seguito di un data breach sono quelli finanziario, tecnologico e farmaceutico.
• Focus sull’impatto delle violazioni del Cloud (c.d. Cloud Breach): Nel 2023 gli ambienti cloud sono stati spesso presi di mira dalle organizzazioni criminali del cyber spazio, con il 39% delle violazioni che hanno proprio coinvolto dati archiviati in cloud. Un altro dato è che le violazioni che coinvolgono dati archiviati in più ambienti, cloud e on-premise, tendono a comportare costi in media più elevati e tempi più lunghi per identificare e contenere la violazione.
• Impatto sui prezzi finali: la maggioranza delle organizzazioni (57%) ha indicato che le violazioni dei dati hanno portato a un aumento dei prezzi delle loro offerte commerciali, trasferendo i costi sui consumatori. Questo risultato è coerente con il rapporto dell’anno precedente, dove il 60% degli intervistati aveva segnalato un aumento dei prezzi.
• Sanzioni e conformità normativa: il rapporto evidenzia che le sanzioni subite per data breach possono variare molto di importo, con una oscillazione tra i 25.000 $ e gli oltre 250.000 $. Il dato preoccupante è che oltre il 20% delle aziende colpite da un data breach ha pagato multe superiori ai 250.000 $, uscendo da quel range di importi.

The IBM Security Cost of a Data Breach Report 2023 fornisce anche preziosi consigli per aiutare le organizzazioni a mitigare i rischi associati alle violazioni dei dati.

Nello specifico il Report raccomanda alle aziend di:

• Integrare la sicurezza nello sviluppo di applicazioni e software: l’adozione di un approccio DevSecOps, che integra la sicurezza in ogni fase dello sviluppo e dell’implementazione del software, può aiutare le organizzazioni ad affrontare in modo proattivo le vulnerabilità e ridurre la probabilità di violazioni. Aggiungiamo -noi- che questa raccomandazione deve includere anche il concetto di privacy by design, nei casi in cui il software in questione è chiamato a trattare dati personali, tanto più se sensibili;
• Rafforzare la resilienza: comprendere la superficie di attacco dell’organizzazione ed esercitarsi nella pianificazione e nei test di risposta agli incidenti (Incident Response – IR) sono essenziali. Le organizzazioni con elevati livelli di contromisure IR hanno riscontrato una riduzione dei costi di violazione dei dati di ben 1,49 milioni di dollari e hanno risolto gli incidenti 54 giorni più velocemente. Un dato che fa certamente riflettere.
• Investire nelle tecnologie di Threat Detection & Response: rafforzare le capacità di rilevamento delle minacce, grazie ad attività di threat intelligence e gestione delle vulnerabilità e dei rischi, può può contribuire alla riduzione dei costi e a un contenimento più rapido delle violazioni.
• Aumentare gli investimenti nella sicurezza: il Report indica che le organizzazioni sono in realtà divise sull’opportunità di aumentare gli investimenti nella sicurezza a seguito di una violazione dei dati. Tuttavia, le aree identificate per ulteriori investimenti includono: piani e test di Incident Response; formazione ai dipendenti e tecnologie di rilevamento e risposta delle minacce (Threat Detection & Response).

L’IBM Security Cost of a Data Breach Report 2023 fornisce preziose informazioni su costi, cause e conseguenze delle violazioni dei dati, che si basano però su un contesto di tipo globale.

È quindi interessante anche guardare allo specifico contesto italiano e purtroppo i dati non sono confortanti: l’Italia si posiziona all’8° posto tra i 16 Paesi e/o Regioni analizzate, con un costo medio del data breach (in dollari) di 3,86 milioni, in leggera ascesa rispetto all’anno precedente. Siamo dietro a Francia e Regno Unito che però hanno entrambi registrato un piccolo decremento. Mentre restano gli Stati Uniti a registrare il costo medio più alto, addirittura pari a 9.48 milioni $.