Nella sicurezza informatica, si definisce data breach, o violazione dei dati oppure fuga di dati, la diffusione intenzionale o non intenzionale, in un ambiente non affidabile, di informazioni protette o private/confidenziali. Un concetto simile è la "fuga di informazioni" (in inglese information leakage). Incidenti di questo tipo spaziano da attacchi dei cosiddetti black hat, individui che compiono attacchi informatici per qualche forma di lucro personale, associati con criminalità organizzata, attivisti politici o governi nazionali, a imprudente abbandono di apparecchi informatici o supporti di memoria e fonti non attaccabili da hacker.
Definizione: "Una violazione dei dati è una violazione della sicurezza in cui dati sensibili, protetti o riservati vengono copiati, trasmessi, visti, rubati o utilizzati da un individuo non autorizzato a farlo".[1] I data breach possono riguardare informazioni finanziarie come particolari di carte di credito e debito, dati bancari, informazioni sulla salute personale (PHI), dati personali (PII), segreti industriali o aziendali o proprietà intellettuale. La maggior parte di queste fughe di dati riguardano dati non strutturati sovraesposti e vulnerabili — archivi, documenti, e informazioni sensibili.[2]
I data breach possono comportare spese rilevanti per le organizzazioni per costi diretti (ripristini, indagini, eccetera) e indiretti (danni di reputazione, prestazioni di sicurezza informatica a beneficio delle vittime della compromissione di dati, eccetera).
Secondo l'organizzazione dei consumatori no-profit Privacy Rights Clearinghouse, negli Stati Uniti tra gennaio 2005 e maggio 2008, escludendo incidenti che apparentemente non riguardavano dati sensibili, furono coinvolti in falle di sicurezza un totale di 227 052 199 record (campi) singoli contenenti informazioni personali sensibili.[3]
Molte giurisdizioni hanno adottato leggi sulla notifica delle falle di sicurezza, che impongono ad un'impresa coinvolta in un data breach di informare i clienti ed assumere altri provvedimenti per rimediare ad eventuali danneggiamenti.
Un data breach può comprendere incidenti come furto o smarrimento di mezzi digitali quali nastri magnetici, dischi rigidi, o computer portatili contenenti mezzi simili, su cui le informazioni sono immagazzinate senza cifratura, la divulgazione di dette informazioni sul web o su un computer altrimenti accessibile via internet senza idonee precauzioni di sicurezza informatica, il trasferimento di dette informazioni ad un sistema che non è completamente aperto ma non è appropriatamente o formalmente accreditato per la sicurezza al livello approvato, come una e-mail non criptata, o il trasferimento di tali informazioni ai sistemi informativi di un organismo potenzialmente ostile, come un'impresa concorrente o un Paese straniero, dove può essere assoggettato a tecniche di decrittazione più approfondite.
Lo standard ISO/IEC 27040 definisce un data breach come: compromissione della sicurezza che porta alla distruzione accidentale o illegale, perdita, alterazione, divulgazione non autorizzata o accesso a dati protetti trasmessi, memorizzati o altrimenti elaborati.[4]
Il concetto di ambiente affidabile è in qualche modo fluido. L'allontanamento di un membro fidato dello staff con accesso ad informazioni sensibili può diventare un data breach se il membro dello staff conserva l'accesso ai dati dopo il termine della relazione fiduciaria. Nei sistemi distribuiti, questo può anche avvenire con un cedimento del web of trust. La qualità dei dati è un modo per ridurre il rischio di un data breach,[5] in parte poiché permette al titolare dei dati di classificarli secondo l'importanza e dare miglior protezione ai dati più importanti.
La maggior parte di questi incidenti pubblicizzati dagli organi di informazione riguardano informazioni private su individui, ad esempio social security number. La perdita di informazioni societarie come segreti industriali, informazioni aziendali sensibili, e particolari di contratti, o di informazioni del governo è spesso non denunciata, poiché non sussiste alcuna ragione stringente per farlo in assenza di potenziale danno per i privati cittadini, e la pubblicità attorno ad un tale evento può essere più dannosa della perdita di dati in sé.[6]
Le persone che lavorano in un'organizzazione sono una causa rilevante di data breach. Le stime di fughe causate da errori accidentali a "fattore umano" variano dal 37% del Ponemon Institute[7] al 14% del Verizon 2013 Data Breach Investigations Report.[8] La categoria delle minacce esterne contempla hacker, organizzazioni di cyber-criminali e soggetti appoggiati da qualche Stato. Le associazioni di professionisti per gestori di risorse IT[9] collaborano intensamente con i professionisti IT per educarli alle migliori pratiche di riduzione del rischio[10] sia per minacce interne sia esterne a risorse IT, software e informazioni. Anche se la prevenzione di sicurezza può sventare un'alta percentuale di tentativi, alla fine un attaccante motivato può probabilmente trovare un varco in ogni rete data. Una delle 10 citazioni preferite dell'A.D. di Cisco John Chambers è, "Ci sono due tipi di società: quelle che hanno subito attacchi hacker, e quelle che non sanno di averli subiti."[11] L'agente speciale FBI per le operazioni speciali informatiche Leo Taddeo avvisò sulla TV Bloomberg, "La nozione che si può proteggere il proprio perimetro sta cadendo nel dimenticatoio e ora è fondamentale il rilevamento."[12]
Alcuni personaggi famosi hanno scoperto di essere stati vittime di fughe di dati sanitari, benché a titolo individuale, e non nel quadro di un più ampio data breach.[13] Data la serie di data breach medici e la lesione della fiducia pubblica, alcuni Paesi hanno adottato leggi che impongono di porre in essere salvaguardie per proteggere la sicurezza e la confidenzialità delle informazioni sanitarie siccome condivise elettronicamente, e per conferire ai pazienti alcuni importanti diritti per monitorare le proprie registrazioni sanitarie e per ottenere avviso in caso di perdita e acquisizione non autorizzata di informazioni sulla salute. Gli Stati Uniti e la UE hanno imposto l'obbligo di notifica per data breach sanitari.[14] Sono sempre più comuni le fughe di dati sanitari denunciabili negli Stati Uniti.[15]
A fronte di una rilevazione di una presunta violazione (da parte di tutto il personale che ne viene a conoscenza), viene data comunicazione interna al DPO (Data Protection Officer, responsabile della protezione dei dati) tramite il responsabile di settore/reparto. La segnalazione al responsabile di settore deve essere effettuata appena se ne viene a conoscenza, utilizzando le modalità più comuni (di persona, via mail, via telefono). La raccolta delle informazioni è a carico del responsabile del settore e va effettuata appena viene ricevuta la segnalazione di data breach. Tali informazioni vanno comunicate al DPO attraverso appositi canali istituzionali. Acquisite tutte le informazioni necessarie, il DPO analizzerà la segnalazione e valuterà la necessità o meno di eseguire la notifica all'autorità di controllo e ai soggetti interessati.
Sebbene questi incidenti creino il rischio del furto d'identità o altre conseguenze serie, nella maggior parte dei casi non c'è alcun danno duraturo; o la falla di sicurezza è riparata prima che le informazioni raggiungano persone senza scrupoli, o il ladro è interessato solo all'hardware rubato, non ai dati che esso contiene. Ciò nonostante, quando incidenti simili diventano di pubblico dominio, è d'uso che la parte responsabile cerchi di mitigare i danni fornendo alla vittima l'abbonamento ad una centrale rischi, per esempio, nuove carte di credito, o altri strumenti. Nel caso di Target, il data breach del 2013 costò a Target un significativo calo dei profitti, che precipitarono del 40 per cento nel quarto trimestre dell'anno.[17] Alla fine del 2015, Target pubblicò una relazione che dichiarava una perdita totale di 290 milioni di dollari per costi collegati a data breach.[18]
La fuga di Yahoo svelata nel 2016 potrebbe essere oggi una delle più onerose. Il prezzo di acquisto da parte di Verizon è stato ridotto di 350 milioni di dollari (su un prezzo originale di 4,8 miliardi di dollari).[19] I reati informatici costano alle società di energia e servizi una media di 12,8 milioni di dollari l'anno tra lucro cessante e apparecchiature danneggiate secondo DNV GL, una società internazionale di certificazione e classificazione con base a Norvegia.[20] I data breach costano alle organizzazioni della salute 6,2 miliardi di dollari tra il 2014 e il 2015, secondo uno studio Ponemon.[21]
Nell'attività di cura della salute più di 25 milioni di persone hanno subito il furto dei loro dati, che ha provocato il furto di identità di più di 6 milioni di persone, e il costo diretto a carico delle vittime è prossimo a 56 miliardi di dollari.[22] Privacy Rights Clearinghouse (PRC) ha dimostrato dati dal gennaio 2005 al dicembre 2018 secondo cui ci sono stati più di 9000 eventi "breach". Inoltre, quali cause portino a ciascun breach come attacco interno, truffa su carta di pagamento,, dispositivo portatile smarrito o rubato, malware ed invio di email a destinatario errato (DISC). Questo mostra che l'errore più comune che porta ad un data breach è causato da esseri umani che maldestramente permettono ad hacker di approfittarne ed eseguire un attacco.[23]
Notoriamente è difficile ottenere informazioni sulla perdita diretta e indiretta derivante da un data breach. Un approccio diffuso per valutare l'impatto dei data breach è studiare le reazioni del mercato ad un tale incidente come rivelatore delle conseguenze economiche. Ciò è tipicamente condotto attraverso l'uso di event study, in cui si può ricostruire una misura dell'impatto economico dell'evento usando i prezzi della sicurezza osservati in un periodo relativamente breve. Sono stati pubblicati parecchi studi di questo genere con varie risultanze, tra cui i lavori di Kannan, Rees, e Sridhar (2007),[24] Cavusoglu, Mishra, and Raghunathan (2004),[25] Campbell, Gordon, Loeb, e Lei (2003)[26] oltre a Schatz e Bashroush (2017).[27]
Poiché il volume dei dati sta crescendo esponenzialmente nell'era digitale e le fughe di dati avvengono più spesso oggi di qualunque altro momento precedente, impedire che informazioni sensibili siano divulgate a soggetti non autorizzati diventa uno dei più assillanti problemi di sicurezza per le imprese.[28] Per salvaguardare dati e finanze, le imprese spesso devo sostenere costi aggiuntivi per adottare misure preventive verso i potenziali data breach.[29] Dal 2017 al 2021 era stata prevista una spesa globale per la sicurezza informatica superiore ad 1 miliardo di dollari.[29]