Quanto ci costa il furto di dati? Uno studio

Solo a maggio scorso, secondo quanto ha fatto sapere il Garante della Privacy, gli attacchi informatici in Italia sono stati 140. Non tutti vanno a segno, e non tutti sono di dimensioni internazionali, ma i data breach, le violazioni dei dati gestiti dalle aziende, sono un fenomeno diffuso.

Come il caso recente di Twitter, che nello scorso maggio ha chiesto a oltre 300 milioni di propri utenti di cambiare la password, o un altro grosso caso avvenuto a Dropbox, che coinvolgeva 68 milioni di utenti. Dati violati significa, in altri termini, esporre informazioni personali che servizi che utilizziamo quotidianamente custodiscono per noi.

Ma che costi ha per un’azienda? Un data breach costa all’azienda che lo subisce mediamente quasi 4 milioni di dollari in costi. Un singolo elemento violato del database, un record in termini tecnici, corrisponde a 148 dollari in costi. Singolo costo che però va moltiplicato per migliaia o milioni di profili che le aziende digitali come gestiscono, facendo lievitare velocemente le perdite. Sono le stime che fornisce l’edizione 2018 del Cost of a Data Breach Study realizzato dal Ponemon Institute, un istituto indipendente di ricerca, per conto di IBM, che stima che la probabilità che un’azienda subisca una violazione dei dati nei prossimi due anni è del 27,9%.

Quando il valore dei dati diventa un costo

Basato su interviste e previsione degli addetti alla gestione dei dati in 477 aziende di 19 diversi paesi del mondo, gli analisi del Ponemon Institute sono arrivati alla cifra di 3,68 milioni di dollari come media del costo di una violazione dei dati, ma c’è una grande variazione a seconda del paese che si prende in considerazione: Stati Uniti e Medio Oriente, che nel rapporto corrisponde solamente ad Arabia Saudita ed Emirati Arabi Uniti, sono le due aree geografiche dove i costi sono più alti.

Il costo medio legato al furto o alla compromissione di un solo record si è mantenuto costante nel tempo, ma anch’esso presenta una grande variabilità geografica.

Come sono calcolati questi costi

A contribuire al costo di un data breach per un’azienda contribuiscono diversi fattori, dalla necessità di attrezzarsi in termini di sicurezza per prevenire gli attacchi e le violazioni, alle spese legate al rispetto delle normative vigenti in termini di gestione dei dati (come per esempio l’osservanza del famoso GDPR nell’Unione Europea). Lo studio ha preso in considerazione quattro diversi fattori: i costi legati all’individuazione della violazione e il costo del personale che è chiamato a gestire l’emergenza, i costi legati alla notifica ai titolari (spesso clienti) dei dati, le spese di comunicazione e public relation necessarie per cercare di recuperare la credibilità pubblica, e infine il costo indiretto della perdita di clienti legati alla crisi (altri clienti che lasciano l’azienda per perdita della fiducia).

Oltre agli hacker, le negligenze

In termini di cause delle violazioni, queste possono essere raggruppate sotto tre principali categorie. Oltre ai veri e propri attacchi informatici volti direttamente al furto dei dati, che costituiscono il 48% dei casi a livello mondiale, si contano anche errori umani (27% dei casi), come dipendente o fornitori negligenti nel seguire le procedure di sicurezza, e i problemi tecnici (25%), soprattutto sul fronte direttamente IT.

I tre diversi casi comportano anche costi diversi. Se prendiamo in considerazione il singolo record di un database violato, nel caso in cui la causa sia l’errore umano i costi generati sono di 128 dollari, contro i 131 nel caso di problemi tecnici e i 157 per gli attacchi informatici propriamente detti.

Anche in questo caso, i dati raccontano di una varietà tra i singoli paesi che mostra come il peso di diversi fattori cambi profondamente lo scenario. Nel nostro paese, secondo quanto emerge dal campione analizzato, sarebbe quelle più esposto all’errore umano.

Non tutti i dati costano uguali

Oltre che dal punto di vista geografico, le variazioni sul costo legato alla violazione dei dati sono legate al settore in cui l’azienda opera. I più costosi, in questi termini, sono i dati legati all’ambito medico, con un costo generato dalla violazione quasi doppio rispetto al settore della finanza. In questo caso, la grande differenza è soprattutto dovuta alla maggiore regolamentazione, con conseguenti obblighi procedurali e burocratici da adempiere, che genera costi maggiori.

In questo particolare calcolo, va anche tenuto in considerazione un altro fattore. Se i record sono legati a oggetti, come nel caso della Internet of Things, i costi legati a ogni singolo record compromesso salgono di circa 5 dollari. Se moltiplichiamo questo numero per la media del numero di record che vengono compromessi o rubati per ogni singolo evento, pari a 24.615, si supera facilmente il centinaio di migliaia di dollari di costi ulteriori.

Anche in termini di numero medio di record per violazione, siamo di fronte a una grande variabilità in termini geografica.

Mettendo in relazione il numero medio di record compromessi per singola violazione con il suo costo medio, l’analisi porta a individuare proprio Medio Oriente e Stati Uniti come le due aree dove il data breach sembra avere più peso. Negli Stati Uniti il singolo data breach costa quasi 8 milioni di dollari all’azienda che lo subisce, e il singolo record compromesso genera uno dei costi più alti (233 dollari). In Arabia Saudita e Emirati Arabi Uniti, il costo medio è più basso (poco più di 5 milioni di dollari), ma è dove i data breach hanno mediamente dimensioni più consistenti. (Nel grafico qui sotto, oltre a queste due dimensioni, i singoli cerchi hanno una superficie proporzionale al costo legato al singolo record violato).