Nessuna azienda, per quanto folto ed esperto sia il suo team per la cybersicurezza, può dirsi al sicuro dal rischio di violazione dei dati. Prova ne è il fatto che i dati personali di 5,5 milioni di dipendenti delle 1.000 più importanti aziende pubbliche mondiali sono stati scovati online da una società britannica specializzata in cybersecurity.
Secondo il Financial Times, la Digital Shadows avrebbe trovato online le informazioni – incluse email aziendali e password – dei dipendenti del 97% delle 1000 maggiori public companies mondiali, tra le quali Apple, JPMorgan Chase, Bank of China, Daimler e Google. In media sono state compromesse le credenziali di circa 700 persone per ciascuna azienda.
La Digital Shadows ha analizzato i dati compromessi nell’ambito dei recenti furti di dati dai principali siti web, da LinkedIn a Dropbox, da Ashley Madison a Twitter, estrapolando, in particolare, i dati di quegli utenti che si erano iscritti a questi servizi web utilizzando la mail aziendale. Molti di questi utenti hanno utilizzato anche le stesse password aziendali, un errore molto comune e che consente a chi ne entra in possesso di utilizzarla per accedere ai diversi account di un utente (vale la pena ricordare uno dei più ignorati consigli degli esperti: ogni account dovrebbe avere la sua parola chiave).
Dal sito di incontri extraconiugali Ashley Madison e da altri siti di incontri come Adult Friend Finder, ad esempio, sono stati rubati i dati di oltre 300 mila utenti. Solo su Ashley Madison email e password di oltre 200 mila persone erano riconducibili a dipendenti di grandi aziende.
I costi degli attacchi volti al furto dei dati personali possono essere molto alti. Secondo un recente studio IBM, il costo medio delle falle di sicurezza è aumentato del 29% nel 2015 sul 2013, raggiungendo 4 milioni di dollari. Nel 2015 il numero di violazioni di sicurezza è aumentato del 64% rispetto al 2014, con un costo medio per un singolo report rubato di 158 dollari. Il alcuni comparti il furto di informazioni sensibili ha però una gravità maggiore rispetto ad altri settori. In quello sanitario ad esempio il costo medio raggiunge i 355 dollari.
Il costo varia inoltre in base alla tempistica di identificazione di un attacco: se questo viene scoperto entro i primi 100 giorni da quando è avvenuto il costo per l’azienda di 3,23 milioni di dollari (esclusa la spesa per contenere l’attacco),ma se si supera questa soglia temporale il costo può aumentare fino a oltre 4,3 milioni di dollari.