Security Breach: conseguenze e profili di responsabilità

Il termine security breach (violazione della sicurezza) rappresenta uno degli scenari più complessi e critici che aziende e organizzazioni possano affrontare nel contesto attuale. Questa espressione si riferisce a qualsiasi episodio in cui un sistema di sicurezza viene compromesso, permettendo l’accesso non autorizzato a risorse, reti o strutture protette. La portata del concetto è vasta e può includere sia intrusioni fisiche che attacchi informatici, con conseguenze devastanti a livello economico, operativo e reputazionale.

La natura del security breach

Un security breach si verifica nello specifico quando un individuo o un’entità non autorizzata riesce a ottenere accesso a risorse riservate, violando i meccanismi di protezione implementati. A differenza del data breach, che implica specificamente l’accesso non autorizzato e la sottrazione di dati sensibili, il security breach è un concetto più ampio, comprendendo ogni compromissione del perimetro di sicurezza. Si tratta di azioni intenzionali mirate a causare incidenti di sicurezza con l’obiettivo di danneggiare i sistemi di elaborazione e compromettere le informazioni, potendo includere eventualmente anche i dati personali. Lo scopo di tali attacchi è consentire ai criminal hacker, cosiddetti “pirati informatici”, di ottenere un guadagno, un profitto illecito.

Un esempio concreto è rappresentato dai casi in cui si riesce a sabotare un sistema informatico aziendale, compromettendone il funzionamento, per perseguire diversi fini come:

• Avvantaggiare la concorrenza danneggiando l’operatività dell’azienda bersaglio;
• Sottrarre dati sensibili con l’intento di ricattare l’organizzazione o ottenere guadagni economici;
• Compiere azioni dimostrative per scopi terroristici o per ottenere visibilità mediatica.

In generale, gli attacchi informatici riusciti portano quasi sempre a incidenti significativi e possono causare data breach, sebbene queste violazioni possano anche verificarsi indipendentemente dalla riuscita di un attacco mirato.

La consapevolezza riguardo ai danni che un incidente informatico può causare è però ancora piuttosto scarsa, anche tra le imprese. Solo da poco si sta iniziando a comprendere l’importanza di una solida sicurezza informatica, con interventi sulle infrastrutture di rete e l’adozione di misure adeguate a salvaguardare i sistemi IT aziendali.

Certo è che, il fattore “smart working” ha con tutta evidenza, indebolito una volta di più le misure tecniche favorendo invece i criminali.

Analisi delle principali tipologie di security breach

Le violazioni della sicurezza possono essere classificate in diverse categorie, ciascuna caratterizzata da modalità di attacco differenti. Le violazioni della sicurezza fisica riguardano l’accesso non autorizzato a edifici, data center o uffici aziendali. Tali intrusioni possono avvenire mediante sottrazione di dispositivi hardware contenenti informazioni sensibili, accesso a strutture riservate attraverso tecniche come il tailgating o persino attacchi diretti volti a danneggiare infrastrutture critiche.

Sul fronte logico, le violazioni possono manifestarsi tramite il superamento dei firewall aziendali o lo sfruttamento di vulnerabilità nei sistemi di rete e nelle applicazioni software. Gli endpoint, come computer e dispositivi mobili, spesso rappresentano punti deboli sfruttabili dai cybercriminali. In molti casi, gli attacchi informatici mirano alla manipolazione del fattore umano, come i dipendenti, attraverso tecniche di social engineering, come phishing e pretexting, inducendo le vittime a rivelare credenziali di accesso o informazioni riservate. In questi casi, le aziende possono adottare misure disciplinari nei confronti dei dipendenti coinvolti, ma devono anche dimostrare di aver fornito una formazione adeguata e di aver implementato politiche di sicurezza efficaci.

L’ingegneria sociale è appunto l’atto di manipolare psicologicamente le persone inducendole a compromettere involontariamente la propria sicurezza informatica.

I metodi di attacco utilizzati nei security breach sono numerosi e complessi. Gli attacchi basati sullo sfruttamento di vulnerabilità tecniche, come exploit zero-day o sistemi non aggiornati, sono tra i più diffusi. Alcuni attacchi sfruttano credenziali compromesse per ottenere accesso illecito, attraverso tecniche come il brute force o il credential stuffing. Le minacce avanzate, come gli Advanced Persistent Threats (APT), sono spesso sponsorizzate da stati nazionali e possono persistere per lunghi periodi all’interno delle reti compromesse, causando danni significativi.

Strategie di prevenzione e difesa

La prevenzione dei security breach richiede quindi un approccio integrato e multilivello. Le aziende possono limitare il rischio di attacchi informatici adottando strategie e soluzioni di cybersecurity efficaci. La cybersecurity consiste nell’insieme di misure destinate a proteggere sistemi critici e dati sensibili da minacce digitali, utilizzando una combinazione di tecnologie avanzate, competenze umane e procedure operative ben definite. Molte organizzazioni implementano una strategia di gestione delle minacce per identificare e proteggere gli asset e le risorse più importanti. Da un punto di vista tecnico, è fondamentale mantenere aggiornati i sistemi, implementare soluzioni di crittografia robuste e segmentare adeguatamente la rete aziendale. Gli approcci organizzativi includono la formazione continua del personale, la definizione di policy di sicurezza stringenti e l’esecuzione di test di penetrazione regolari. Infine, l’adozione di framework di governance riconosciuti, come il NIST Cybersecurity Framework o la norma ISO/IEC 27001, può fornire una guida strutturata per mitigare i rischi.

Casi emblematici di security breach

L’attacco subito da Equifax nel 2017 è uno degli esempi più emblematici di security breach. Gli aggressori sfruttarono una vulnerabilità non patchata per accedere ai dati sensibili di oltre 147 milioni di persone, con conseguenze legali e di immagine devastanti per l’azienda. Un altro caso rilevante è l’operazione Stuxnet del 2010, che vide un sofisticato malware progettato per sabotare le centrifughe dell’impianto nucleare iraniano di Natanz. Questo esempio dimostra come un security breach possa compromettere infrastrutture critiche senza necessariamente sottrarre dati sensibili. Con riferimento invece al nostro paese, si ricorda l’attacco informatico alla Regione Lazio, che ha catturato l’attenzione dei media nazionali, diventando un caso di rilievo a livello nazionale. A mesi di distanza dall’incidente, molti dettagli rimangono poco chiari per l’opinione pubblica, probabilmente anche per ragioni strategiche.

Secondo le ricostruzioni più recenti, l’attacco sarebbe partito da un computer utilizzato in smart working da un dipendente di un fornitore esterno. Attraverso questo dispositivo compromesso, un malware si sarebbe diffuso all’interno della rete informatica della Regione Lazio, compromettendo tutti i sistemi accessibili, compresi quelli sanitari e le copie di backup ospitate su ambienti Cloud.

Si è trattato di un ransomware, un software malevolo progettato per cifrare i dati e richiedere un riscatto in cambio della chiave di decrittazione. L’infezione sarebbe avvenuta tramite una e-mail di phishing, tecnica che induce gli utenti a compiere azioni non sicure, come cliccare su link malevoli o scaricare allegati infetti.

Paradigmi di attribuzione della responsabilità nei security breach

Attribuire la responsabilità in caso di security breach è un processo complesso che coinvolge considerazioni legali, tecniche e organizzative. La determinazione di “chi è responsabile” dipende da vari fattori, tra cui la natura della violazione, il contesto normativo applicabile e la struttura interna dell’organizzazione coinvolta. L’ attribuzione degli attacchi informatici è infatti da sempre ritenuta una delle sfide cyber forensi più complesse da affrontare dopo incident di particolare impatto: le prove digitali per poter identificare i criminali informatici o il loro paese di origine vengono offuscate volontariamente dagli autori dell’attacco e rese di difficile interpretazione.

Tuttavia, va detto che la responsabilità può estendersi anche a singoli individui all’interno dell’organizzazione, come i Chief Information Security Officer (CISO), gli amministratori di sistema e i responsabili IT. Questi ruoli hanno il compito di implementare e supervisionare le politiche di sicurezza e possono essere ritenuti personalmente responsabili in caso di negligenza grave o condotta dolosa.

Responsabilità dei fornitori e terze parti

La crescente complessità delle supply chain digitali implica che spesso le risorse, le reti siano gestite anche da fornitori esterni e partner commerciali. In caso di violazione derivante da una vulnerabilità della supply chain, la responsabilità può essere condivisa tra l’azienda principale e i fornitori coinvolti, in base agli accordi contrattuali e ai livelli di servizio (SLA) stabiliti.

• Responsabilità contrattuale: quando il fornitore non rispetta i requisiti di sicurezza stabiliti nel contratto.
• Responsabilità extracontrattuale: quando la negligenza del fornitore causa danni ai dati o al prestigio dell’azienda principale.

Approccio basato sul rischio

Sempre più spesso, l’attribuzione della responsabilità segue un approccio basato sul rischio. Questo significa che le aziende devono dimostrare di aver effettuato una valutazione del rischio adeguata, identificando le principali minacce alla sicurezza e adottando controlli proporzionati per mitigare tali rischi. In mancanza di queste misure, la responsabilità può essere attribuita in misura maggiore, sia a livello aziendale che individuale.

In sintesi, la responsabilità nei security breach è distribuita su più livelli e coinvolge tutti gli attori della catena del valore digitale. La chiave per ridurre il rischio legale risiede nell’adozione di politiche di sicurezza solide, nella formazione continua e nella collaborazione attiva con partner e fornitori per garantire un elevato livello di protezione.

Metriche sanzionatorie nella non-Compliance

Le sanzioni per la non conformità ai regolamenti sulla sicurezza dei sistemi possono variare notevolmente in base alla giurisdizione e alla gravità della violazione. Il GDPR, ad esempio, prevede multe che possono raggiungere il 4% del fatturato globale annuo dell’azienda o fino a 20 milioni di euro, a seconda di quale importo sia maggiore, nel caso di un security breach che abbia comportato la violazione di dati sensibili (data breach).

Oltre alle sanzioni pecuniarie, le conseguenze di un security breach si riflettono su più livelli. Da un punto di vista economico, le aziende colpite possono essere chiamate ad affrontare costi elevati per la mitigazione dell’incidente, comprese indagini forensi, ripristino dei sistemi e multe legate alla violazione di normative come il GDPR. A livello reputazionale, la perdita di fiducia da parte dei clienti e degli stakeholder può compromettere la credibilità dell’azienda. Inoltre, le conseguenze operative possono includere l’interruzione dei servizi, la perdita di produttività e l’impatto negativo sulle operazioni aziendali.

La non compliance può anche portare a richieste di risarcimento danni da parte degli individui i cui dati personali o asset sono stati compromessi nell’ambito della violazione, aumentando ulteriormente i costi a carico dell’azienda coinvolta.

Protocolli di incident response e rimedi giuridici

Un’adeguata gestione degli attacchi di sicurezza è quindi fondamentale per mitigare le conseguenze di un breach e ridurre i rischi legali. L’Incident Response (IR) è l’attività di intervento rapido e strutturato dopo che si è verificato un attacco informatico che ha compromesso la sicurezza di un sistema informatico. Le organizzazioni possono anche adottare misure per garantire una risposta adeguata agli attacchi informatici in corso e ad altri eventi di sicurezza informatica. I protocolli di incident response generalmente seguono una serie di fasi strutturate:

1. Preparazione: Identificazione dei rischi, formazione del personale e implementazione di piani di risposta. Sviluppo e implementazione di politiche, procedure e strumenti per la gestione degli incidenti.
2. Rilevamento e analisi: Identificazione tempestiva dell’incidente, valutazione del perimetro della violazione e raccolta di prove. Questa fase include il monitoraggio continuo dei sistemi per individuare attività sospette e la definizione dei criteri per la classificazione degli incidenti.
3. Contenimento e mitigazione: Limitazione dell’impatto del breach e protezione di dati e informazioni. Il contenimento può essere di breve termine (per fermare immediatamente l’attacco) o di lungo termine (per stabilizzare i sistemi).
4. Ripristino e recupero: Ripristino delle normali operazioni aziendali e verifica dell’efficacia delle misure adottate. Include il monitoraggio continuo per garantire che il sistema sia stato completamente ripulito e che non ci siano ulteriori compromissioni.
5. Revisione post-incidente: Analisi delle cause, aggiornamento delle policy di sicurezza e miglioramento continuo. Questa fase include la revisione delle procedure di risposta e l’aggiornamento dei piani di sicurezza.

Dal punto di vista giuridico, la tempestività nella notifica del breach alle autorità competenti e agli individui interessati può ridurre le conseguenze sanzionatorie e legali. In particolare, il d.l. 105/2019, convertito con modifiche dalla l. 133/2019, è stato approvato in risposta a una situazione di necessità e urgenza dovuta ad attacchi informatici che hanno colpito le reti di diversi Paesi europei. Questo decreto ha introdotto il cosiddetto “perimetro di sicurezza nazionale cibernetica” e ha stabilito l’obbligo, per enti pubblici e privati di rilevanza strategica per la sicurezza nazionale, di notificare eventuali “incidenti con impatto su reti, sistemi informativi e servizi informatici” (art. 1, commi 1 e 3, d.l. 105/2019).

La procedura di segnalazione prevede che gli enti coinvolti informino il Computer Security Incident Response Team (CSIRT), istituito in Italia presso l’Agenzia per la cybersicurezza nazionale (ACN). Successivamente, il CSIRT trasmette tempestivamente la segnalazione al Dipartimento delle informazioni per la sicurezza, che la inoltra all’organo del Ministero dell’interno responsabile della sicurezza delle telecomunicazioni e alla Presidenza del Consiglio dei ministri, se il soggetto segnalante è pubblico o rientra nell’art. 29 del d.lgs. 82/2005, oppure al Ministero dello sviluppo economico se il segnalante è privato.

Secondo quanto previsto dal decreto, la mancata comunicazione degli incidenti, salvo che non costituisca reato, comporta una sanzione amministrativa pecuniaria che varia da 250.000 a 1.500.000 euro (art. 1, comma 9, d.l. 105/2019).

Infine, nel gennaio 2024, il Consiglio dei ministri ha definito uno schema di disegno di legge intitolato “disposizioni in materia di reati informatici e di rafforzamento della cybersicurezza nazionale“, successivamente presentato ufficialmente alla Camera il 16 febbraio 2024.

Il testo si articola in due parti principali: il Capo I introduce norme per potenziare la cybersicurezza e la resilienza delle pubbliche amministrazioni, oltre a regolamentare i contratti pubblici relativi a beni e servizi informatici collegati a interessi strategici nazionali. Il Capo II, invece, mira a prevenire e contrastare i reati informatici, aumentando le pene e le sanzioni previste dal d.lgs. 231/2001 per i reati legati al settore, oltre a definire il coordinamento delle azioni in caso di attacchi informatici.

In merito agli obblighi di segnalazione, l’art. 1 del DDL stabilisce che le pubbliche amministrazioni, le regioni, le province autonome, i comuni con oltre 100.000 abitanti o capoluogo di regione, le società di trasporto pubblico urbano con un bacino di utenza di almeno 100.000 abitanti, le aziende sanitarie locali e le società in house debbano notificare eventuali incidenti informatici che colpiscano reti, sistemi informativi e servizi digitali. Questa norma estende gli obblighi di segnalazione già previsti dal d.l. 105/2019 per gli enti pubblici e privati operanti in settori considerati “essenziali” per lo Stato.

La procedura di segnalazione prevede due fasi: una comunicazione iniziale entro 24 ore dalla scoperta dell’evento critico e una seconda notifica entro 72 ore. Entrambe le comunicazioni devono essere inviate all’Agenzia per la cybersicurezza nazionale.

In caso di mancata osservanza degli obblighi di notifica, sono previste sanzioni amministrative comprese tra 25.000 e 125.000 euro, ispezioni da parte dell’Agenzia e responsabilità disciplinare e contabile per i dipendenti coinvolti.

Digital Forensics nei procedimenti legali

La digital forensics (DF) è la disciplina che si occupa della raccolta, conservazione, analisi e presentazione delle evidenze digitali in modo forense. Questa gioca un ruolo cruciale nella fase di investigazione di un security breach. La digital forensics consente quindi di identificare i responsabili e valutare l’entità della violazione.

L’analisi forense può includere:

• Raccolta delle prove: acquisizione di dati e informazioni senza alterazioni, garantendo la validità giuridica delle informazioni. Questo processo è condotto seguendo rigorosi standard forensi per garantire l’integrità delle evidenze.
• Analisi tecnica: identificazione delle vulnerabilità sfruttate, dei percorsi di attacco e delle modalità di estrazione dei dati. Questo può includere l’analisi dei log di sistema, dei file e delle comunicazioni di rete.
• Conservazione delle Prove: archiviazione sicura delle prove digitali per preservarne l’integrità e garantire che siano ammissibili in tribunale.
• Documentazione: registrazione accurata delle attività svolte per garantire la trasparenza nei procedimenti legali. Questi rapporti possono essere utilizzati in contesti legali e per la comunicazione interna.

La validità delle prove digitali è spesso messa in discussione nei tribunali, rendendo essenziale l’aderenza a standard riconosciuti come il NIST SP 800-86 negli Stati Uniti o la ISO/IEC 27037 a livello internazionale.

Conclusioni e prospettive future

Nel contesto odierno, caratterizzato da un’elevata dipendenza tecnologica e dalla crescente complessità delle infrastrutture informatiche, il rischio di security breach è sempre in costante aumento. Le aziende devono quindi adottare un approccio proattivo alla sicurezza, combinando soluzioni tecnologiche avanzate con una cultura aziendale attenta alla prevenzione e alla formazione. La gestione efficace di un security breach non si limita alla risposta immediata, ma richiede un’analisi post-incidente e un miglioramento continuo delle strategie di difesa.