Che cos’è un Data Leak?

Si parla di “data leak” o “divulgazione di dati” quando dei dati considerati sensibili vengono divulgati a soggetti non autorizzati. Anche se spesso i termini “data leak” e “data breach” vengono usati in maniera intercambiabile, nei data leak non è necessario sfruttare delle vulnerabilità, come avviene invece nei data breach. Un data leak può essere causato ad esempio dall’utilizzo di politiche di sicurezza inadeguate o problemi di configurazione dei dispositivi di memorizzazione.

Per quanto possano sembrare simili, c’è una netta distinzione tra un data leak e un data breach, a cui è bene fare attenzione. Sebbene in entrambi i casi le conseguenze possano essere disastrose, soprattutto in termini economici, i data leak comportano molta più negligenza da parte dell’azienda colpita, rispetto ai data breach. In quest’ottica, l’errore umano costituisce un rischio significativo per le aziende e una fuga di dati si rivela spesso essere causata da insider threat, il più delle volte non in maniera intenzionale, ma in grado di arrecare tanti danni quanti quelli causati dai data breach.

I data breach sono causati da problemi inaspettati o vulnerabilità sconosciute nei software, nell’hardware o nell’infrastruttura di sicurezza. I cybercriminali devono trovare una vulnerabilità e sfruttarla a proprio favore. Ecco perché è fondamentale che gli amministratori tengano sempre aggiornati i software in uso sui sistemi, installando immediatamente patch o aggiornamenti di sicurezza non appena vengono rilasciati.

Un data leak porta inevitabilmente ad un data breach, ma anziché essere causato dallo sfruttamento di una vulnerabilità nel sistema, è causato dall’errore umano. Un classico esempio di data leak è un servizio di archiviazione come S3 di Amazon Web Services (AWS) configurato in modo errato. I bucket S3 di Amazon sono spazi di archiviazione cloud utilizzati per caricare file e dati. Possono essere configurati per consentire l’accesso pubblico o resi privati in modo che solo gli utenti autorizzati possano accedere ai dati. È purtroppo piuttosto comune che gli amministratori non configurino correttamente le impostazioni di accesso, finendo così per divulgare i dati a soggetti non autorizzati. Il problema dei bucket S3 configurati in modo errato è talmente comune che esistono siti che effettuano la scansione di bucket S3 mal configurati pubblicandone la lista online e consultabile da chiunque.

I bucket S3 di Amazon non correttamente configurati sono solo un esempio di ciò che può portare a un data leak, ma i dati possono finire per essere divulgati accidentalmente per una miriade di altri motivi, tra cattive configurazioni ed errore umano. Il confine tra data breach e data leak è sottile, ma solitamente i data leak sono causati da:

• Mancata installazione delle patch sull’infrastruttura: ogni volta che gli sviluppatori individuano delle vulnerabilità nei propri software, distribuiscono patch di sicurezza per risanarle. La mancata applicazione delle patch può portare alla divulgazione non autorizzata di dati nei confronti di utenti malintenzionati.
• Politiche di sicurezza non adeguate: se le politiche di sicurezza aziendali sono troppo permissive, lasciando accesso ad utenti non autorizzati a determinati file e cartelle, è facile che si verifichi la divulgazione di dati, anche se involontariamente.
• Firewall non configurati correttamente: il compito dei firewall è di impedire al traffico in entrata di raggiungere le risorse interne. Tuttavia, una configurazione poco attenta può portare inconsapevolmente ad aprire porte e applicazioni finendo per divulgare dati.
• File open-source: alcuni sviluppatori includono credenziali hard-coded in repository pubblici che possono essere utilizzate da terze parti per accedere ai dati.
• Rischi Legati ai Fornitori: i fornitori con accesso a dati sensibili potrebbero rappresentare un vettore di accesso da parte di utenti malintenzionati.

I Data Leak possono essere il risultato dell’errore umano da parte di dipendenti o fornitori, oltre che degli errori commessi dagli stessi amministratori di sistema. Ma esistono anche altri fattori che possono portare all’involontaria divulgazione di dati, tra cui:

• Errori di configurazione dell’infrastruttura: la maggior parte dei data leak avviene a causa di una cattiva configurazione dell’infrastruttura interna o del cloud. Perfino le applicazioni per la sicurezza, se configurate in modo errato, possono portare alla divulgazione dei dati. Questo problema riguarda indistintamente le piccole, così come le grandi aziende, e addirittura enti, organizzazioni e governi.
• Errori dei dipendenti: la formazione in tema di sicurezza informatica è fondamentale per i dipendenti, soprattutto per coloro che hanno accesso a dati sensibili come i PII. La divulgazione accidentale o intenzionale da parte di dipendenti che commettono errori nella gestione dei dati è piuttosto comune nelle fughe di dati.
• Errori di sistema: quando si verificano errori di sistema inaspettati, utenti non autorizzati potrebbero avere accesso ai dati. In certi casi, questi errori possono persino figurare sui motori di ricerca consentendo a coloro che sono alla ricerca di informazioni sensibili divulgate pubblicamente, di trovare facilmente tali dati.

La formazione dei dipendenti dovrebbe sempre essere alla base di ogni buona strategia di protezione dei dati, ma non è l’unica arma a disposizione degli amministratori di sistema per combattere i data leak.

Altre efficaci strategie includono:

• Controllare e classificare i dati: non è insolito per le aziende in rapida crescita perdere traccia dei dati e dei relativi percorsi di archiviazione. Sapere dove si trovano i dati e monitorare quali applicazioni e utenti vi hanno accesso, è fondamentale per avere il controllo sull’infrastruttura. Classificare i dati permette di individuare autorizzazioni di accesso non necessarie ai dipendenti, che potrebbero portare a potenziali fughe di dati.
• Essere proattivi: effettuare una valutazione del rischio e pianificare le eventuali contromisure, aiuta a identificare i possibili rischi e offre agli amministratori delle strategie di mitigazione in caso di problemi. Potrebbero essere così implementate ulteriori misure di sicurezza e politiche interne, oltre ad opportuni corsi di formazione per i dipendenti.
• Proteggere i dati in base al loro valore e criticità: subire un data leak relativo a dati di scarsa importanza è pur sempre una seccatura da evitare, ma causa sicuramente meno danni rispetto alla divulgazione di dati sensibili. Dopo un audit e la scoperta di un data leak, bisogna concentrarsi prima sui dati più sensibili. Utilizzare un software di data discovery può risultare di grande aiuto in quanto permette di ottenere un’analisi dei contenuti affidabile e automatizzata e monitorare le informazioni all’interno dell’infrastruttura.
• Offrire formazione in tema di sicurezza informatica: un’adeguata formazione in ambito cybersecurity, ha dimostrato di ridurre significativamente la possibilità di errore umano dovuto al phishing o al social engineering. Inoltre permette ai dipendenti di conoscere come gestire correttamente i dati e come mantenerli al sicuro.
• Monitoraggio: implementare i giusti strumenti di monitoraggio consente agli amministratori di identificare rapidamente le anomalie, rendendoli più proattivi nel contenere ed eliminare le minacce. Alcuni strumenti sono in grado di identificare anche problemi di configurazione e potenziali rischi di data leak.
• Avere un piano di disaster recovery: avere a disposizione delle copie di backup è essenziale per ripristinare i dati in caso di incidente. Un piano di ripristino indica le persone coinvolte nel ripristino dei dati e tutti i passaggi da seguire per comunicare con i clienti interessati e i mezzi di informazione.

Per progettare al meglio l’infrastruttura di sicurezza attorno ai dati sensibili, è utile analizzare alcuni degli scenari più comuni in cui si verificano i data leak. Ecco quali cause potrebbero portare a un data leak nella tua azienda:

• I dipendenti portano i file a casa dal lavoro: c’è una ragione molto valida per cui le aziende più grandi bloccano l’accesso all’unità USB dei propri computer. Per quanto innocuo possa sembrare archiviare i dati sui propri dispositivi per portare il lavoro a casa, in caso il dispositivo venisse smarrito o i dati archiviati in modo non sicuro, ci troveremmo di fronte ad un data leak.
• Archiviazione di dati non crittografati: in caso i dati non fossero crittografati, chiunque sarebbe in grado di accedervi se ci fosse un errore di assegnazione dei permessi o se i dati venissero accidentalmente trasferiti in spazi di archiviazione cloud pubblicamente accessibili. Anche messaggi di chat o e-mail sono vulnerabili se non crittografati.
• Negligenza nell’utilizzo delle password: i dipendenti che annotano le proprie password sui foglietti attaccati al monitor o sotto la tastiera del proprio computer aziendale, o le conservano in modo non sicuro, potrebbero finire per divulgarle accidentalmente a soggetti non autorizzati. Scegliere password robuste è fondamentale per prevenire i data breach e le perdite di dati, perciò risulta di vitale importanza formare il personale sull’importanza delle password e le buone pratiche da seguire.
• Software obsoleto: gli sviluppatori rilasciano costantemente le patch di sicurezza per i loro software, al fine di risanare le vulnerabilità note, ma spetta poi agli amministratori prendere l’iniziativa ed installarle sui propri sistemi aziendali. Una volta rilasciate, le patch di sicurezza vanno installate immediatamente, per non lasciare ai cybercriminali la possibilità di sfruttare i sistemi vulnerabili sui quali sono memorizzati i dati aziendali.
• Errori di configurazione nei software: se un software non è configurato correttamente per memorizzare file e dati, potrebbe finire per divulgare pubblicamente i dati senza che gli amministratori siano a conoscenza del problema.
• Compromissione del server di sviluppo: Spesso gli ambienti di sviluppo sono scarsamente protetti, nonostante i dati di produzione vengano replicati anche sul server di sviluppo per consentire l’accesso da parte degli sviluppatori. Anche in questo caso, una frettolosa configurazione del server potrebbe portare alla divulgazione involontaria dei dati.

Analizzare alcuni possibili scenari generali aiuta a definire delle politiche di sicurezza e gestione del rischio, ma nonostante ciò sono tante le aziende, anche quelle di dimensioni più grandi, che diventano vittime di data leak. Ecco alcuni esempi di grandi organizzazioni o enti pubblici che hanno subìto data leak:

• Negli Stati Uniti, la Veterans Administration ha perso 26,5 milioni di record di dati sensibili, inclusi numeri di previdenza sociale e date di nascita, dopo che un dipendente ha portato i dati a casa.
• La Idaho Power Company di Boise, Idaho, ha subìto un data leak dopo aver venduto su eBay dischi rigidi usati che contenevano ancora file sensibili e informazioni riservate.
• I computer della Loyola University contenenti informazioni riservate sugli studenti erano stati dismessi senza però prima formattare i dischi rigidi. Questo ha portato alla divulgazione dei numeri di previdenza sociale ed informazioni riguardo ai prestiti finanziari.
• Un laptop di un fornitore contenente migliaia di nomi, numeri di previdenza sociale e dati delle carte di credito è stato rubato da un’auto appartenente a un contractor dell’Università del North Dakota.
• Un errore nel software di un’Università del Texas ha permesso agli utenti che vi accedevano di vedere anche nomi, corsi e voti di oltre 12.000 studenti.

Per identificare configurazioni errate e punti deboli nella prevenzione della perdita di dati (DLP) ci vuole personale in grado di monitorare e identificare questi problemi. Molte aziende non dispongono di personale adeguato per la pianificazione in caso di incidenti, e che sia in grado allo stesso tempo di progettare un’infrastruttura a prova di data leak. Proofpoint ti accompagnerà fin dai primi passi, aiutandoti a progettare ed implementare un piano perfetto di prevenzione della perdita di dati. I nostri esperti in protezione delle informazioni ti aiuteranno a classificare i dati, automatizzare le procedure di gestione dei dati, rispettare i requisiti normativi e realizzare un’infrastruttura in grado di garantire un’efficace governance dei dati.