Verizon Business: attenzione ai PIN e alle policy di sicurezza

Pubblicato il report annuale sulle violazioni agli archivi elettronici. Crescono gli attacchi mirati, guidati da organizzazioni malavitose.

Una crescita sensibile delle violazioni ai danni di archivi elettronici: è questa la sintesi che emerge dallo studio annuale di Verizon Business dal titolo “2009 Verizon Business Data Breach Investigations Report”.

Lo scorso anno, le aziende sono state vittime di crimini elettronici molto più che negli anni precedenti: il 93% dei 285 milioni di dati compromessi analizzati apparteneva al settore finanziario e il 90% delle violazioni di tali dati ha visto il coinvolgimento di gruppi identificati dalle forze dell’ordine come appartenenti al crimine organizzato.
Tuttavia, ed è questo un punto fondamentale della ricerca, analogamente a quanto analizzato l’anno precedente, circa 9 violazioni su 10 potevano essere evitate rispettando misure base di sicurezza: per evitarle non sarebbero stati necessari complicati e costosi controlli preventivi; errori e sviste nella sorveglianza minano gli sforzi in ambito sicurezza più che la mancanza di risorse al momento della violazione stessa.

Interessante anche un altro dato che emerge dalla ricerca: gli attacchi altamente sofisticati rappresentano solo il 17 percento del totale, ma sono tuttavia responsabili del 95 percento delle violazioni; questo dimostra che hacker motivati sanno dove e a cosa mirare. A questo si aggiunge poi un ulteriore dato: nel 64% dei casi le violazioni nascono da un insieme di metodi, con i quali l’aggressore ha sfruttato errori commessi dalla vittima per penetrare nella rete e installare malware nel sistema al fine di recuperare dati.

In ogni caso, prosegue l’analisi, il 74% delle violazioni sono imputabili a fonti esterne e il 32% a business partner, mentre un più modesto 20% risulta causato da personale interno, cosa che confuta un’opinione ampiamente diffusa.
Decisamente carenti, poi, risultano le aziende nel rilevare le violazioni subite. Nel 69% dei casi sono state scoperte da terzi.
E altrettanto carenti risultano quando si tratta di compliance: l’81% percento delle organizzazioni soggette al Payment Card Industry Data Security Standard (PCI-DSS) sono state trovate non-conformi prima della violazione.

Per quanto riguarda la prospettiva di breve e medio termine, Verizon Business sottolinea come sia in aumento il numero delle frodi legate al furto delle informazioni relative ai numeri di identificazione personale (PIN) associati ai conti di credito e di debito. Si tratta di attacchi particolarmente subdoli, poiché per il consumatore è molto difficile provare che si tratta di una transazione fraudolenta.

Alle aziende, la società rilascia una serie di raccomandazioni, che dovrebbero aiutarle a implementare strategie di difesa più efficaci.
In primo luogo Verizon consiglia di modificare le credenziali predefinite per l’accesso agli archivi aziendali, assicurandosi che i fornitori facciano altrettanto: in secondo luogo raccomanda di evitare la condivisione di credenziali, di attuare una revisione degli user account, di effettuare application testing e code review, di applicare le patch in modo completo, di abilitare Application Log e monitoraggio.
Fondamentale, poi, è assicurarsi che in caso di conclusione del rapporto di lavoro l’ufficio Risorse Umane utilizzi procedure efficaci per la chiusura degli account.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome