La buona notizia è che nel 2010 il numero di record violati è crollato: da 144 milioni a soli 4 milioni. La cattiva notizia è che i cybercriminali stanno spostando il tiro dalle violazioni su larga scala ad attacchi di minore entità e relativamente poco sofisticati.

Sono alcuni dati che emergono dal Verizon 2011 Data Breach Investigation Report (DBIR), l'ultima edizione dello studio che analizza circa 760 casi di violazione informatica.

Come accennato, le violazioni su larga scala sono radicalmente calate. Sembrerebbe quindi che le Pmi rappresentino il principale bersaglio dei cracker, che preferiscono ora lanciare attacchi estremamente automatizzati e ripetibili contro questi bersagli più vulnerabili.

Il report rivela che gli outsider sono responsabili del 92 per cento delle violazioni, un incremento significativo rispetto ai dati emersi nel 2010.

Nonostante la percentuale degli attacchi interni sia diminuita notevolmente nel corso dello scorso anno (16 per cento contro il 49 per cento), ciò è soprattutto dovuto all'enorme aumento dei piccoli attacchi esterni. 

Vista così, l'attività degli insider è rimasta relativamente costante rispetto alle conclusioni del 2010. Continuano a diminuire invece gli attacchi legati ai partner (1% delle violazioni).

Fra i tipi di attacco perpetrati, l'hacking (50%) e il malware (49%) sono i più diffusi seguiti da password e credenziali trafugate. Il malware è stato responsabile dell'80% dei dati persi.

Da sottolineare che per la prima volta, gli attacchi fisici - come la compromissione dei Bancomat - sembrano essere una dei tre metodi più comuni per ottenere l'accesso non autorizzato nelle organizzazioni costituendo il 29% dei casi analizzati.

Come possono difendersi le imprese? Verizon fa alcune raccomandazioni chiave:

• Focalizzazione sui controllli essenziali. Molte imprese commettono l'errore di implementare controlli di sicurezza complicati e avanzati. Meglio implementare controlli essenziali in tutta l'organizzazione senza alcuna eccezione.


• Cancellazione dei dati inutili. Se il dato non serve è inutile tenerlo. Quelli invece da conservare devono essere identificati, monitorati e salvati in modo sicuro.


• Servizi sicuri di accesso remoto. È importante restringere i servizi di accesso remoto a indirizzi IP e reti specifici, minimizzando l'accesso pubblico.


• Verificare gli account utente e monitorare quelli con privilegi di accesso. Il  miglior approccio consiste nel fidarsi degli utenti ma di monitorarli nella fase di screening pre-assunzione, limitando i privilegi utente.


• Monitorare i log degli eventi. E' importante focalizzarsi sugli elementi ovvi che i log raccolgono, non sui dettagli. In questo modo si puo ridurre il lasso temporale che intercorre tra la manomissione e la relativa rilevazione.


• Essere consapevoli degli asset fisici di sicurezza. E' opportuno prestare attenzione a dispositivi di inserimento delle carte di pagamento (ad esempio i Bancomat) per evitare l'alterazione e la manomissione.