Che cos’è un Data Leak?

Un data leak (data leakage o divulgazione di dati) espone involontariamente informazioni sensibili, protette o riservate al di fuori dell’ambiente a cui sono destinate. Ciò accade per vari motivi, come errori umani interni, vulnerabilità del software o scarse misure di sicurezza dei dati. Un caso di data leakage può compromettere dati personali, registrazioni finanziarie, segreti commerciali o altri dati proprietari. Le informazioni trapelate possono essere utilizzate per causare rapidamente future violazioni dei dati e avere gravi conseguenze sia per gli individui che per le organizzazioni, con danni alla reputazione, perdite finanziarie e implicazioni legali.

Spesso i termini “data leak” e “data breach” vengono usati in maniera intercambiabile, nei data leak non è necessario sfruttare delle vulnerabilità, come avviene invece nei data breach. Un data leak può essere causato ad esempio dall’utilizzo di politiche di sicurezza inadeguate o problemi di configurazione dei dispositivi di memorizzazione. Nella maggior parte degli scenari, una fuga di dati è accidentale, mentre una violazione di dati è dolosa e intenzionale.

Per quanto possano sembrare simili, c’è una netta distinzione tra un data leak e un data breach, a cui è bene fare attenzione. Sebbene in entrambi i casi le conseguenze possano essere disastrose, soprattutto in termini economici, i data leak comportano molta più negligenza da parte dell’azienda colpita, rispetto ai data breach. In quest’ottica, l’errore umano costituisce un rischio significativo per le aziende e una fuga di dati si rivela spesso essere causata da insider threat, il più delle volte non in maniera intenzionale, ma in grado di arrecare tanti danni quanti quelli causati dai data breach.

I data breach sono causati da problemi inaspettati o vulnerabilità sconosciute nei software, nell’hardware o nell’infrastruttura di sicurezza. I cybercriminali devono trovare una vulnerabilità e sfruttarla a proprio favore. Ecco perché è fondamentale che gli amministratori tengano sempre aggiornati i software in uso sui sistemi, installando immediatamente patch o aggiornamenti di sicurezza non appena vengono rilasciati.

Un data leak porta inevitabilmente ad un data breach, ma anziché essere causato dallo sfruttamento di una vulnerabilità nel sistema, è causato dall’errore umano. Un classico esempio di data leak è un servizio di archiviazione come S3 di Amazon Web Services (AWS) configurato in modo errato. I bucket S3 di Amazon sono spazi di archiviazione cloud utilizzati per caricare file e dati. Possono essere configurati per consentire l’accesso pubblico o resi privati in modo che solo gli utenti autorizzati possano accedere ai dati. È purtroppo piuttosto comune che gli amministratori non configurino correttamente le impostazioni di accesso, finendo così per divulgare i dati a soggetti non autorizzati. Il problema dei bucket S3 configurati in modo errato è talmente comune che esistono siti che effettuano la scansione di bucket S3 mal configurati pubblicandone la lista online e consultabile da chiunque.

Affrontando queste vulnerabilità e instillando una cultura di consapevolezza della cybersecurity, le organizzazioni possono ridurre significativamente il rischio di fughe di dati.

• Segreti commerciali o proprietà intellettuale memorizzati in file o database.
• Codice sorgente proprietario privato.
• Credenziali come nomi utente, password e domande di sicurezza.
• Dati aziendali come elenchi di clienti, dati di vendita e altre informazioni commerciali.
• Stato attuale dei prodotti e delle scorte, compresi i prezzi dei fornitori.

• Ricerche proprietarie utilizzate per migliorare i prodotti, brevetti e invenzioni.
• Dati sensibili dei clienti, tra cui informazioni sanitarie e finanziarie.
• Dati dei dipendenti, compresi codici fiscali, informazioni finanziarie e credenziali.
• Informazioni sulla salute, come cartelle cliniche, informazioni sull’assicurazione e sulle prescrizioni mediche.
• Email, registri di chat e altre forme di comunicazione privata.

• Informazioni di identificazione personale (PII): includono nomi, indirizzi, codici di previdenza sociale e altro ancora. I criminali possono utilizzare questi dati per il furto d’identità, impersonando persone per commettere frodi, ottenere credito o altri vantaggi finanziari.
• Informazioni finanziarie: i dati delle carte di credito, i numeri dei conti bancari e altri dati finanziari vengono utilizzati per effettuare transazioni non autorizzate, sottrarre fondi o addirittura essere venduti sul dark web.
• Credenziali di accesso: i nomi utente e le password di vari account possono essere sfruttati per ottenere un accesso non autorizzato. I criminali informatici utilizzano tecniche come il credential stuffing per accedere a più siti, sfruttando il fatto che molti individui riutilizzano le password su più piattaforme.

• Cartelle cliniche: le informazioni mediche sono molto preziose e possono essere utilizzate per frodi assicurative, frodi sulle prescrizioni mediche o vendute a parti interessate.
• Segreti commerciali e proprietà intellettuale: per le aziende, i dati trapelati potrebbero contenere informazioni proprietarie. I criminali informatici possono venderle ai concorrenti o utilizzarle per lo spionaggio aziendale.
• Email e comunicazioni personali: possono essere utilizzate per ricattare o per organizzare ulteriori attacchi mirati, come le campagne di spear-phishing.
• Dati operativi: le informazioni sulle operazioni, le configurazioni di rete o le pratiche di sicurezza di un’organizzazione possono essere utilizzate per facilitare attacchi informatici più sofisticati.

Con l’evoluzione del panorama digitale, le motivazioni e i metodi dei criminali informatici di oggi cambiano continuamente. Poiché sviluppano nuovi modi per sfruttare i dati trapelati, individui e organizzazioni devono rimanere vigili e proattivi nelle loro misure di sicurezza informatica.

La formazione dei dipendenti dovrebbe sempre essere alla base di ogni buona strategia di data leak protection, ma non è l’unica arma a disposizione degli amministratori di sistema per combattere i data leak.

Altre efficaci strategie includono:

• Controllare e classificare i dati: non è insolito per le aziende in rapida crescita perdere traccia dei dati e dei relativi percorsi di archiviazione. Sapere dove si trovano i dati e monitorare quali applicazioni e utenti vi hanno accesso, è fondamentale per avere il controllo sull’infrastruttura. Classificare i dati permette di individuare autorizzazioni di accesso non necessarie ai dipendenti, che potrebbero portare a potenziali fughe di dati.
• Essere proattivi: effettuare una valutazione del rischio e pianificare le eventuali contromisure, aiuta a identificare i possibili rischi e offre agli amministratori delle strategie di mitigazione in caso di problemi. Potrebbero essere così implementate ulteriori misure di sicurezza e politiche interne, oltre ad opportuni corsi di formazione per i dipendenti.
• Valutare il rischio di terzi: valutare le pratiche di sicurezza di fornitori e partner terzi che accedono ai tuoi dati. Assicurati che utilizzino solide misure di sicurezza per evitare casi di data leak.
• Implementare il controllo degli accessi: limitare e rivedere l’accesso come appropriato per la tua organizzazione. Considera l’utilizzo di un controllo degli accessi basato sui ruoli per garantire che solo il personale autorizzato possa accedere ai dati sensibili.
• Utilizza la crittografia: la crittografia dei dati traduce i dati in un altro codice o forma e solo chi ha accesso alla chiave di decodifica o a una password può leggerli. La crittografia dei dati può impedire ai criminali informatici di leggere i dati sensibili anche in caso di perdita di dati.
• Implementare un software di prevenzione della perdita di dati (DLP): un software DLP monitora e analizza continuamente i dati per identificare potenziali violazioni dei criteri di sicurezza. Oltre a identificare le violazioni dei criteri, una soluzione DLP adeguata può bloccarle efficacemente.
• Proteggere i dati in base al loro valore e criticità: subire un data leak relativo a dati di scarsa importanza è pur sempre una seccatura da evitare, ma causa sicuramente meno danni rispetto alla divulgazione di dati sensibili. Dopo un audit e la scoperta di un data leak, bisogna concentrarsi prima sui dati più sensibili. Utilizzare un software di data discovery può risultare di grande aiuto in quanto permette di ottenere un’analisi dei contenuti affidabile e automatizzata e monitorare le informazioni all’interno dell’infrastruttura.
• Offrire formazione in tema di sicurezza informatica: un’adeguata formazione in ambito cybersecurity, ha dimostrato di ridurre significativamente la possibilità di errore umano dovuto al phishing o al social engineering. Inoltre permette ai dipendenti di conoscere come gestire correttamente i dati e come mantenerli al sicuro.
• Monitoraggio: implementare i giusti strumenti di monitoraggio consente agli amministratori di identificare rapidamente le anomalie, rendendoli più proattivi nel contenere ed eliminare le minacce. Alcuni strumenti sono in grado di identificare anche problemi di configurazione e potenziali rischi di data leak.
• Avere un piano di disaster recovery: avere a disposizione delle copie di backup è essenziale per ripristinare i dati in caso di incidente. Un piano di ripristino indica le persone coinvolte nel ripristino dei dati e tutti i passaggi da seguire per comunicare con i clienti interessati e i mezzi di informazione.

• I dipendenti portano i file a casa dal lavoro: c’è una ragione molto valida per cui le aziende più grandi bloccano l’accesso all’unità USB dei propri computer. Per quanto innocuo possa sembrare archiviare i dati sui propri dispositivi per portare il lavoro a casa, in caso il dispositivo venisse smarrito o i dati archiviati in modo non sicuro, ci troveremmo di fronte ad un data leak.
• Archiviazione di dati non crittografati: in caso i dati non fossero crittografati, chiunque sarebbe in grado di accedervi se ci fosse un errore di assegnazione dei permessi o se i dati venissero accidentalmente trasferiti in spazi di archiviazione cloud pubblicamente accessibili. Anche messaggi di chat o e-mail sono vulnerabili se non crittografati.
• Negligenza nell’utilizzo delle password: i dipendenti che annotano le proprie password sui foglietti attaccati al monitor o sotto la tastiera del proprio computer aziendale, o le conservano in modo non sicuro, potrebbero finire per divulgarle accidentalmente a soggetti non autorizzati. Scegliere password robuste è fondamentale per prevenire i data breach e le perdite di dati, perciò risulta di vitale importanza formare il personale sull’importanza delle password e le buone pratiche da seguire.

• Software obsoleto: gli sviluppatori rilasciano costantemente le patch di sicurezza per i loro software, al fine di risanare le vulnerabilità note, ma spetta poi agli amministratori prendere l’iniziativa ed installarle sui propri sistemi aziendali. Una volta rilasciate, le patch di sicurezza vanno installate immediatamente, per non lasciare ai cybercriminali la possibilità di sfruttare i sistemi vulnerabili sui quali sono memorizzati i dati aziendali.
• Errori di configurazione nei software: se un software non è configurato correttamente per memorizzare file e dati, potrebbe finire per divulgare pubblicamente i dati senza che gli amministratori siano a conoscenza del problema.
• Compromissione del server di sviluppo: Spesso gli ambienti di sviluppo sono scarsamente protetti, nonostante i dati di produzione vengano replicati anche sul server di sviluppo per consentire l’accesso da parte degli sviluppatori. Anche in questo caso, una frettolosa configurazione del server potrebbe portare alla divulgazione involontaria dei dati.

• Il Dipartimento delle assicurazioni del Texas ha subito un data leak che non è stato identificato fino al 2022. Le informazioni potenzialmente accessibili includevano: nomi, indirizzi, date di nascita, numeri di telefono, parti o tutti i codici fiscali e informazioni su infortuni e richieste di risarcimento dei lavoratori.
• Un database mal configurato della Pegasus Airlines ha esposto online 23 milioni di file contenenti dati personali. Il database conteneva carte di volo, materiale di navigazione e informazioni sull’equipaggio. L’incidente ha comportato una significativa perdita di fiducia da parte dei clienti e una multa da parte delle autorità di regolamentazione.
• Negli Stati Uniti, la Veterans Administration ha perso 26,5 milioni di record di dati sensibili, inclusi numeri di previdenza sociale e date di nascita, dopo che un dipendente ha portato i dati a casa.

• La Idaho Power Company di Boise, Idaho, ha subìto un data leak dopo aver venduto su eBay dischi rigidi usati che contenevano ancora file sensibili e informazioni riservate.
• I computer della Loyola University contenenti informazioni riservate sugli studenti erano stati dismessi senza però prima formattare i dischi rigidi. Questo ha portato alla divulgazione dei numeri di previdenza sociale ed informazioni riguardo ai prestiti finanziari.
• Un laptop di un fornitore contenente migliaia di nomi, numeri di previdenza sociale e dati delle carte di credito è stato rubato da un’auto appartenente a un contractor dell’Università del North Dakota.
• Un errore nel software di un’Università del Texas ha permesso agli utenti che vi accedevano di vedere anche nomi, corsi e voti di oltre 12.000 studenti.

Per identificare configurazioni errate e punti deboli nella prevenzione della perdita di dati (DLP) ci vuole personale in grado di monitorare e identificare questi problemi. Molte aziende non dispongono di personale adeguato per la pianificazione in caso di incidenti, e che sia in grado allo stesso tempo di progettare un’infrastruttura a prova di data leak. Proofpoint ti accompagnerà fin dai primi passi, aiutandoti a progettare ed implementare un piano perfetto di prevenzione della perdita di dati. I nostri esperti in protezione delle informazioni ti aiuteranno a classificare i dati, automatizzare le procedure di gestione dei dati, rispettare i requisiti normativi e realizzare un’infrastruttura in grado di garantire un’efficace governance dei dati.

Proofpoint offre anche soluzioni DLP complete per evitare che le informazioni sensibili trapelino all’esterno dell’organizzazione. I nostri prodotti DLP consentono di identificare e analizzare i dati sensibili esclusivi dell’organizzazione, di rilevare le trasmissioni di esfiltrazione dei dati e di automatizzare la conformità alle normative.

• Enterprise DLP è una soluzione incentrata sulle persone che riunisce il contesto di contenuti, comportamenti e minacce per una visione completa del rischio.
• L’Email DLP rileva i dati sensibili e le informazioni riservate e impedisce che trapelino all’esterno dell’organizzazione attraverso le email.
• Endpoint DLP fornisce una consapevolezza integrata dei contenuti insieme alla consapevolezza dei comportamenti e delle minacce, offrendo una visibilità granulare sulle interazioni degli utenti con i dati sensibili.

Queste soluzioni aiutano le organizzazioni a semplificare la scoperta e a valutare rapidamente i dati per rispondere a qualsiasi problema. Per ulteriori informazioni, contatta Proofpoint.