La notizia del breach a Experian è stata oramai digerita, ma non tutti sanno che era già stata attaccata molto tempo prima.
Nel 2013 Experian fu colpita da un hacker vietnamita che era riuscito a utilizzare i sistemi dell’azienda attraverso una società fittizia. Il suo nome è Hieu Minh Ngo e aveva creato un business molto redditizio. Grazie infatti alla sua finta società di investigazioni rivendeva informazioni prese dai sistemi di Experian a criminali informatici. Secondo le indagini della polizia, sembrerebbe che grazie a questi dati i criminali avevano commesso molti reati sia online che nella vita reale.
Il 15 settembre c’è stato un accesso non autorizzato ai server di T-mobile ospitati da Experian. Dopo alcune indagini, è stato scoperto che i dati di 15 milioni di utenti T-mobile sono stati compromessi dai server di Experian.
Come reagire e gestire un data breach?
Experian ha subito dichiarato sul proprio sito che è stata vittima di un furto di dati (in altri paesi non vi è questa apertura alla “public disclosure”). Successivamente per aiutare i clienti di T-mobile vittime dell’hack, ha pubblicato una pagina in cui descriveva cosa fare attraverso delle semplici “FAQ”. Per garantire maggiore copertura investigativai, ha coinvolto gli organi di polizia con cui ha avviato indagini estese.
Ed infine ha offerto alle vittime dell’hack un sistema di monitoraggio della propria identità per 2 anni chiamato ProtectMyID, un sistema di alert contro le frodi e un sistema di credit freeze per prevenire addebiti illeciti.
Se avessero gestito la sicurezza della propria infrastruttura allo stesso modo di come hanno reagito al data breach, forse, il danno poteva essere evitato.
Servizi affidati a terze parti
Ma il nocciolo della questione è altrove: la maggior parte delle aziende molto spesso si affida a terze parti per la gestione di alcuni servizi, come la creazione del sito internet aziendale, comunicazioni verso i clienti, servizi di call center e molto altro.
Non è però buona abitudine dell’azienda valutare la scelta del fornitore anche in base alla robustezza e al livello di sicurezza che questa azienda potrebbe fornire.
Purtroppo le valutazione molto spesso, e soprattutto in Italia, si basa sul mero aspetto economico. Il risultato è che ci si ritrova ad affidare il proprio sito ad un’agenzia web che utilizza server FTP buggati e in poco tempo ci ritroviamo con l’homepage del sito aziendale cambiata dal criminale informatico di turno.
La sicurezza è quindi un aspetto che viene molto spesso trascurato ma che ad oggi è un elemento critico per la valutazione del partner tecnologico. Affidare anche solo servizi che per l’azienda sono considerati marginali, potrebbe in alcuni casi essere fonte primaria per un attacco informatico o un furto di dati.
E’ pur vero che anche la corretta valutazione del livello di sicurezza del partner tecnologico, non esclude del tutto i rischi da attacchi informatici, ma sicuramente li limita molto. Nel caso Experian, infatti, è evidente che chi ha colpito un colosso simile deve avere skills di alto livello.
In conclusione, bisogna modificare alcune brutte abitudini di chi acquista servizi tanto al chilo, spingendoli invece a valutare l’aspetto qualitativo, ma si prevede una battaglia molto dura con molte vittime tra manager e dirigenti. Purtroppo fin quando manager poco visionari e dirigenti attenti a fare economia avranno la meglio non potremo aspettarci altro che servizi di bassa qualità e poco orientati alla sicurezza.
Facebook Comments