Nuovamente sui giornali si è parlato di un riuscito attacco cyber nei confronti di un fornitore di servizi di pagamento online e delle relative conseguenze patite dai suoi tanti clienti.
È questo l’ennesimo caso che va ad aggiungersi alle tante grandi e medie aziende colpite a seguito di un attacco nei confronti di un loro fornitore di servizi (a memoria i più recenti: AT&T, Walmart, Home Depot, Bank of America, Target, Kmart, Lowe, Trip Advisor ecc).
La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.Nella gran maggioranza dei casi la conseguenza è stata la perdita di riservatezza dei dati relativi alle carte di credito e debito: il sistema dei pagamenti è infatti l’obiettivo più ricercato; si sono anche avuti furti di dati anagrafici, delle credenziali di accesso, e di email.
Fra questi case studies – citati anche da varie testate giornalistiche on line – posso annotare quello di Nortel Network (fornitore di “optical networking”) che per una decina di anni non si è accorto che era compromessa la corrispondenza del suo personale, senior management incluso: ciò è emerso, secondo una testata giornalistica, in modo imbarazzante in sede di una possibile operazione di Merger&Acquisition che lo riguardava.
Un altro caso è quello che ha visto colpito Yahoo: sono state catturate le credenziali dei suoi clienti interessati a conoscere l’oroscopo del giorno; infatti, quando accedevano al sito, le loro credenziali venivano automaticamente trasferite da Yahoo, ma, essendo stato violato con la tecnica della “SQL injection” (sembra che funzioni sempre…), ciò consentiva agli hacker di catturare le credenziali di accesso ai servizi di Yahoo acquisendo in tal modo diverse informazioni riservate (Chissà se era stato scritto nell’oroscopo del giorno…).
Lungo è l’elenco dei casi nei quali i danni ad una azienda sono derivati da un attacco hacker ad un fornitore nella filiera; pertanto lascio al Lettore – se interessato – la ricerca sui siti specializzati. Non è questo lo scopo del mio breve articolo.
Aggiungo solo, per completezza informativa, che secondo la testata Computer Weekly questa tipologia di attacco rappresenta il 63% degli attacchi ai dati personali avvenuti a livello mondiale.
Chi invece si chiede quale può essere l’ammontare del danno, quando gli hacker rubano le credenziali dei clienti, il Ponemon Institute afferma che è stimabile in circa 15 dollari per record compromesso. Quindi, se vengono rubate le credenziali di 20 milioni di clienti, la perdita attesa può essere stimata in circa 30 milioni di dollari USA.
Ma non credo sia il solo danno economico nel breve termine a spaventare una impresa: dovrebbe essere quello reputazionale. Dico “dovrebbe” in quanto mi è accaduto anche recentemente di cogliere in alcune aziende che il danno reputazionale spaventi di meno, forse in quanto generalmente ritenuto difficilmente calcolabile oppure facilmente risolvibile con una adeguata campagna pubblicitaria.
Invece, l’esperienza insegna che vi sono organizzazioni, quali quelle nei servizi, ove il danno può essere stimato con una certa buona approssimazione. Infatti, se vi è un prolungato disservizio ed una grave violazione di sicurezza, la clientela migliore è quella che più facilmente può prendere la decisione di cambiare interlocutore. Il calcolo si può agevolmente fare. Ad esempio, se è vero che in tanti settori economici il 10-15% dei clienti rappresentano l’80-90% del margine di contribuzione, la loro perdita potrebbe comportare il rischio di uscire dal business, o comunque provocare un drammatico ridimensionamento. Successivamente l’organizzazione può decidere di affrontare uno sforzo titanico dai risultati incerti, per cercare di recuperare la reputazione.
Dalla letteratura in materia emerge che la maggioranza dei problemi deriva dal fatto che la scelta dell’outsourcer, e la relativa stesura del contratto, non hanno tenuto conto a sufficienza di questi rischi. La causa primaria, quindi, è individuata in un “cattivo outsourcing”, come ha sinteticamente concluso un giornalista.
Il contratto viene generalmente stipulato dall’ufficio acquisti sulla base delle indicazioni ricevute anche dall’ICT e dalla Sicurezza, in aggiunta a funzioni aziendali quali il Marketing, Commerciale, ecc.; successivamente, per varie ragioni (soprattutto per motivi di costo, ma anche di tempo), tanti vincoli non diventano obbligatori se non addirittura scompaiono a fronte del vantaggio del minor costo o minor tempo di messa in esercizio del prodotto. Non dobbiamo infatti dimenticare che in molte realtà la scelta di un fornitore viene fatta principalmente sulla base del minor prezzo e, molto più raramente, per altre motivazioni.
Non ultimo, non si può trascurare il tema del subappalto e, quindi, le difficoltà di controllo sulla relativa “allungata” supply chain.
E’ triste vedere che in molte aziende la Sicurezza viene per ultima, mentre sui libri si legge che deve essere “embedded” nel prodotto, ed anzi “nascere e crescere” con esso.
