Data breach: l’impatto economico degli incidenti

27 Aprile 2021 in CISO as a Service

Quando si parla di data breach, ovvero di violazioni dei dati personali, il requisito normativo dato dal GDPR ci porta a pensare innanzi tutto alla valutazione degli impatti per gli individui. Tuttavia, i data breach sono anche incidenti per l’azienda stessa, e come tali devono essere stimanti anche in termini di danni per quest’ultima. 

A questo proposito, è bene premettere che la cyber security è fondamentalmente un tema di pianificazione economico-finanziaria. Prima ancora che avvenga uno specifico incidente, alla base dovrebbe esserci il fatto che l’organizzazione conosca il valore del bene che vuole proteggere e quale componente economica di rischio sia disposta a sopportare. 

Quali categorie di danni in caso di data breach 

Il percorso inizia dalla stima del valore economico da proteggere e dalla definizione risk appetite, che indica quanto l’organizzazione intende esporsi finanziariamente su questi temi. Per il calcolo può essere utile fare riferimento ad altri contesti, ad esempio le stime fatte per assicurazioni contro furti, incendi, danni a terzi, e così via. Valutare l’impatto economico è però più complesso della stima del valore dei dati o delle infrastrutture a rischio in caso data breach. 

 
I danni possono essere classificati in tre categorie: 

• Danni Diretti, come ad esempio il costo del personale coinvolto nell’interruzione, dei professionisti necessari per il ripristino, del reintegro del materiale compromesso (hardware, software, e così via); tutti questi costi si possono calcolare in modo preciso. 
• Danni Indiretti, come il caso del danno derivato dalla mancata produzione o erogazione di servizio, i danni di reputazione e le perdite di quote di mercato. Il danno di reputazione non si può, ad esempio, stimare in modo preciso, ma si può valutare un ordine di grandezza per la probabile perdita del titolo in borsa o di clienti. 
• Danni da responsabilità, derivanti dal costo di responsabilità verso terzi e da eventuali sanzioni. Alcuni costi si possono calcolare in modo preciso, ad esempio in caso di penali definite contrattualmente, mentre per eventuali sanzioni si può solo ipotizzare una certa fascia. 

Non sottovalutare il costo del data breach 

È frequente sottostimare i costi. Nel caso di un incidente banale, come la rottura per cause meccaniche di un tablet in dotazione di un agente per raccogliere gli ordini, la stima più frequente si limiterà al costo per acquistare un dispositivo nuovo, circa un migliaio di euro, trascurando, ad esempio, il tempo in cui l’agente non ha potuto lavorare, quello del tecnico IT per ripristinare la situazione precedente, l’eventuale costo di spedizione, e così via. Il valore finale potrebbe raddoppiare o triplicare rispetto al semplice costo di acquisito. Un altro caso di sottostima può riguardare il mancato calcolo esplicito del ripristino di un PC infettato da un virus. Il risultato che appare modesto sarà tutt’altro che trascurabile se moltiplicato per il numero dei PC presenti in azienda infettati nel corso dell’anno in assenza di adeguato antivirus. 

Ancora più probabile sarà sottostimare l’impatto di un data breach complesso come, ad esempio, una violazione dei dati e la loro eventuale diffusione o un’infezione da ransomware che blocchi l’operatività aziendale.  

Calcolare in modo esatto l’impatto per prendere le contromisure  

Non esiste un metodo di stima valida per ogni organizzazione. Un’indicazione può venire dal report sviluppato da IBM, che indica il costo medio, a livello internazionale, per record perso o sottratto fra 150 dollari in caso di PII (Personally Identifiable Information) cliente, e 141 dollari per PII dei dipendenti. Questo dato può risultare forse troppo elevato per il nostro Paese, tenendo conto che va moltiplicato per il numero di record violati. Si arriva così ad un costo medio totale per data breach, stimato per l’Italia, di 3,19 milioni di dollari.  

 
Ciascuna organizzazione dovrebbe essere in grado, internamente o affidandosi a servizi esterni, di calcolare il costo di un data breach a cui concorrono diversi elementi: il lavoro dei tecnici per ripristinare il danno, il valore dei dati distrutti, eventuali costi di hardware e software, costi per ricaricare i dati, l’agenzia di comunicazione che deve agire per non perdere la fiducia del mercato, i legali per la denuncia, e tanto altro ancora. 

 
Riuscire a fare una valutazione quantitativa realistica è indispensabile per adottare misure di protezione proporzionate al rischio, mentre non è adeguata una valutazione che si limiti a indicare fasce di costo e di rischio come invece generalmente accade.