La violazione dei dati di Target è stata una delle più grandi violazioni della sicurezza della storia. Target è stata costretta a pagare un risarcimento di 18,5 milioni di dollari dopo che gli hacker hanno rubato 40 milioni di registrazioni di carte di credito e di debito. Ma come per molti attacchi alla sicurezza senza precedenti, la violazione dei dati di Target è arrivata con avvertimenti e lezioni, che sono ancora valide oggi.
Cosa è successo durante la violazione dei dati Target del 2013?
Durante la violazione di Target, i criminali informatici sono riusciti a rubare 40 milioni di registri di credito e debito e 70 milioni di registri di clienti. Ciò è avvenuto durante le festività del 2013. Sebbene non sia stata la più grande violazione della sicurezza della storia, è stata una delle più grandi. E poiché si erano verificate molte altre violazioni di dati di alto profilo poco prima, i clienti erano particolarmente diffidenti.
La violazione dei dati di Target evidenzia uno dei principali problemi che si verificano dopo una violazione. Non è solo un'interruzione della sicurezza e non è solo il costo dell'accordo: è che i clienti non avevano più fiducia nella loro sicurezza. Dopo la violazione dei dati, i clienti erano preoccupati che i loro dati sarebbero stati divulgati e quindi erano titubanti nell'acquistare da Target. Cose simili sono accadute ad altre vittime di violazioni dei dati di alto profilo, come Sony PlayStation.
Come molte violazioni, l'attacco era incentrato su Target, ma non è passato direttamente attraverso i sistemi di Target. Piuttosto, la compromissione è iniziata con un fornitore terzo. Le terze parti sono più comunemente compromesse perché in genere non sono altrettanto sicure. Le aziende devono tenere a mente che tutti i loro fornitori terzi devono essere sicuri tanto quanto lo è il loro sistema. La sicurezza informatica è sempre una proposta di anello debole.
Come ha gestito Target la violazione dei dati?
Target ha gestito molto bene la violazione dei dati, tutto sommato. È stata in grado di avvisare i clienti circa venti giorni dopo che la violazione si è verificata, ma solo quattro giorni dopo che se ne sono accorti. Nell'ampio spettro delle violazioni dei dati, questo è molto veloce. Il problema è che la violazione dei dati si è verificata. Target avrebbe potuto, e dovuto, essere più cauto riguardo alle sue soluzioni di terze parti, e c'erano problemi interni che dovevano essere risolti.
Dopo la violazione dei dati, Target ha emesso carte chip-and-pin più sicure. Hanno scoperto che i chip da soli non erano sufficienti a proteggere molte delle carte che erano state compromesse, anche se i consumatori hanno imparato una lezione: le carte di credito sono molto più sicure delle carte di debito. Con le carte di credito, è più facile annullare una transazione e una transazione falsa non ti lascia senza soldi.
Una carta "Chip and pin" è intrinsecamente più sicura perché significa che qualcuno con solo un nome, un numero di carta e un indirizzo di solito non può effettuare transazioni. Ma non era una soluzione completa. Erano stati rubati abbastanza dati da compromettere potenzialmente l'identità dei consumatori, indipendentemente dal fatto che le carte di debito e di credito fossero protette. E il furto di identità può essere un problema molto più grande di una singola carta compromessa.
Cosa avrebbe potuto fare meglio Target?
Target aveva fornito un portale attraverso il quale i fornitori terzi potevano accedere ai dati. Sfortunatamente, un compromesso a questa soluzione di terze parti ha reso possibile l'accesso alla rete di Target. Se Target avesse segregato correttamente la propria rete, sarebbe stato molto più difficile che si verificasse un attacco informatico di questa portata.
Ma realisticamente, le reti sono grandi. Target avrebbe potuto prevenire questa violazione dei dati, ma i criminali informatici sono ovunque e sono persistenti. Molte aziende non stanno solo migliorando la loro sicurezza e colmando le loro lacune, ma stanno anche investendo in un'assicurazione contro i reati informatici. Questo le protegge nel caso in cui si verifichi una violazione dei dati.
Il costo finale della violazione dei dati target
Il costo stimato della violazione dei dati di Target va ben oltre i 18 milioni di dollari di risarcimento. Infatti, si stima che la società abbia perso oltre 200 milioni di dollari . Le violazioni dei dati al dettaglio sono straordinariamente costose, ma nessun settore è al sicuro.
Dopo la stagione delle feste, i clienti erano diffidenti e la notizia della violazione dei dati si diffuse rapidamente. Secondo quanto riferito, gli utili di Target sono scesi del 46% dopo l'attacco, con molte meno famiglie che facevano acquisti da Target dopo la violazione. Target ha dovuto lavorare per ripristinare la sua reputazione pubblica.
E questo ci porta a un'altra lezione appresa. Le aziende dovrebbero avere un piano di preparazione ai disastri per quanto riguarda le violazioni della sicurezza. Dovrebbe esserci una strategia in atto per le aziende per ripristinare la fiducia e la lealtà dei clienti nel caso in cui si verifichi il peggio. E dovrebbero esserci soluzioni proattive se si verifica una violazione dei dati. Un MSP può aiutare un'organizzazione a creare questo tipo di piano.
Nessun commento:
Posta un commento