Applicativi sotto attacco su Security e Business n. 43

Due tra le consuete rubriche di Security e Business caratterizzano questo numero: la ricerca del Ponemon Institute sui costi della security e il rapporto OAD di Aipsi sugli attacchi agli applicativi in Italia.

Particolare la ricerca del Ponemon Institute, che misura un calo, a livello mondiale dei costi dovuti alle violazioni aziendali, grazie soprattutto alle più stringenti normative vigenti in Europa. Molto spazio è poi dedicato al rapporto OAD sugli attacchi agli applicativi in Italia. Questo anche perché le applicazioni sono il principale vettore di attacco e sono sempre più difficili da proteggere. I dati di OAD individuano tra i principali driver degli attacchi lo sviluppo di codice poco sicuro, una carente gestione dell’autenticazione e lo sfruttamento delle vulnerabilità delle infrastrutture ICT, del software di base e del middleware utilizzati dagli applicativi.

L’apertura delle applicazioni verso fornitori, clienti, utenti remoti e mobili ha dissolto il concetto di perimetro aziendale che conoscevamo estendendolo a quello della portata delle applicazioni stesse. Oggi aumentano le applicazioni che operano direttamente su Internet e il rischio che siano presenti vulnerabilità a livello applicativo è crescente per numerosità e per gravità.

Tutti i software di base e i middleware, anche i più diffusi e autorevoli, presentano vulnerabilità, che possono divenire a loro volta vulnerabilità per gli applicativi che usano questi sofware o costituire punti di ingresso per accedere, in maniera non legale, alle applicazioni. Inoltre, si deve tener presente che, mentre il sistema operativo, il software di base e il middleware sono realizzati da società di alta specializzazione (che li sottopongono a test profondi e sistematici) ed hanno una vita relativamente lunga, le applicazioni, in particolare quelle Web, possono essere implementate velocemente da tecnici meno competenti in termini di programmazione sicura.

L’iniziativa OAD, Osservatorio Attacchi Digitali in Italia, evoluzione della precedente Iniziativa OAI, Osservatorio Attacchi Informatici in Italia, costituisce l’unica indagine on line via Web in Italia sugli attacchi informatici per tutti i settori merceologici, incluse le Pubbliche Amministrazioni Centrali e Locali, che fornisce una specifica e concreta indicazione del fenomeno degli attacchi intenzionali.

OAD è una iniziativa in collaborazione e sotto l’egida di AIPSI (Associazione Italiana Professionisti Sicurezza Informatica) e, pur garantendo una totale autonomia ed indipendenza, è sponsorizzata da enti e aziende, e ha il Patrocinio di varie associazioni del settore ICT.Attacchi agli applicativi in Italia

Tornando al rapporto Ponemon, da questo emerge che il costo medio di una violazione alla sicurezza dei dati è, a livello globale di 141 dollari per record. Un dato in controtendenza, perché in calo rispetto ai 158 dollari del 2016.

Il periodico “2017 Cost of Data Breach Study” del Ponemon Institute, commissionato da IBM Security mostra per la prima volta una riduzione dei costi legati alle violazioni informatiche. Secondo gli analisti, le marcate differenze discendono direttamente dalle diverse normative.

Sempre secondo il rapporto, il costo medio di una violazione dei dati è di 3,62 milioni di dollari a livello mondiale, in calo del 10% rispetto ai risultati del 2016.

In Europa si il costo totale di una violazione si è ridotto del 26% e il merito sarebbe dovuto a una maggiore uniformità delle regole. Negli Usa, invece, il contesto normativo vede 48 dei 50 Stati con proprie leggi in materia di violazione dei dati. Rispondere a una moltitudine di requisiti normativi e segnalare il problema potenzialmente a milioni di consumatori può essere un compito estremamente costoso anche in termini di risorse.

In particolare, gli autori del rapporto sostengono che i vizi di conformità alle normative” e “la fretta di informare” le vittime senza aver ben compreso la portata della violazione sono tra i cinque principali motivi per cui il costo della violazione dei dati è aumentato negli Stati Uniti.

Confrontando questi fattori, gli analisti hanno dedotto che le normative negli Stati Uniti potrebbero avere per le imprese un costo per ogni record superiore rispetto a quello sostenuto dalle aziende europee. Per esempio, le mancate conformità costano negli Usa il 48% in più rispetto ai paesi europei e la la “fretta di informare” pesa il 50% in più.

Inoltre, le società statunitensi hanno riferito di aver pagato in media oltre 690mila dollari per le spese di notifica relative a una violazione, che è più del doppio rispetto a qualsiasi altra nazione esaminata nel rapporto. Qui, però, va ricordato che in Europa non ancora vige l’obbligo di notificare gli attacchi, se non per alcuni settori. Un obbligo che verrà introdotto dal maggio 2018, allorquando entrerà in vigore il GDPR (General Data Protection Regulation).

Questo e altri temi sulla sicurezza sono trattati nella monografia pubblicata su Direction in allegato a il Sole 24Ore.

Gaetano Di Blasio ha lavorato presso alcune delle principali riviste specializzate nell’ICT. Giornalista professionista, è iscritto all’ordine dei giornalisti della Lombardia ed è coautore di rapporti, studi e Survey nel settore dell’ICT. Laureato in Ingegneria.