Perché le aziende fanno così poco per proteggere i dati dei loro utenti? E’ la prima domanda che sorge leggendo il Global Internet Report 2016 della Internet Society e a sottolinearlo è lo stesso ricercatore che ha firmato lo studio, Michael Kende, economista e Fellow della Internet Society. Oggi tutto è connesso a Internet, sia le persone che le cose, e lo saranno sempre di più, in modo pervasivo e capillare. E quando cose e persone sono su Internet vuol dire che in Rete finiscono i loro dati. Chi li deve proteggere? Kende non ha dubbi: “La responsabilità di proteggere i dati non può pesare solo sul consumatore; le aziende devono riconoscere il loro ruolo: non possono mettere in Rete cose e persone senza considerare le implicazioni per la sicurezza dei dati e la privacy“.
Secondo l’Internet Society, l’organizzazione indipendente che supporta la crescita di Internet a vantaggio di tutti e promuove il dialogo aperto su policy e tecnologie, è fondamentale “rimettere l’utente al centro dell’attenzione e non perdere di vista l’impatto della violazione dei dati sull’utente”, afferma Kende. “I dati non sono solo una fonte di guadagno ma un valore connesso con l’esercizio di un diritto della persona”. D’altro canto, proteggere l’utente online è anche una questione di business perché, come ha svelato il Global Internet Report di quest’anno, il 40% degli utenti dice che non intende più avere rapporti commerciali con un’azienda che è stata vittima di un data breach. A peggiorare il quadro c’è il fatto che la “fiducia” (trust) in Internet è al livello più basso da quando l’associazione conduce i suoi studi. Tanti i casi che di recente hanno minato questa “fiducia”: Target, con il furto di numeri di carte di credito di 40 milioni di clienti messi poi in vendita online; Ashley Madison, con i dati di 37 milioni di utenti pubblicati su Internet; lo US Office of Personnel Management, con i dati di 21,5 milioni di dipendenti ex o attuali rubati dagli hacker. Gli impatti di queste violazioni su consumatori, utenti, dipendenti e terze parti che non sapevano nemmeno che l’organizzazione cui tali dati erano affidati aveva subito un data breach è “profondo, duraturo”, si legge nel report della Internet Society. La sicurezza, allora, deve essere un impegno di tutti: provider tecnologici, aziende, regolatori.
“Solo una partecipazione di tutti i portatori di interesse può rendere Internet più sicuro: tutti sanno che la sicurezza dei dati è importante sia per i consumatori che per le imprese, ma le persone fanno il minimo necessario per proteggere i propri dati online e le imprese fanno poco per proteggere i loro clienti”, afferma Kende. Troppo severo? “Secondo l’Online Trust Organisation, il 93% delle violazioni avvenute era evitabile perché hanno sfruttato vulnerabilità note e mancati aggiornamenti software da parte delle organizzazioni”, ribatte l’economista. “Siccome sempre più device saranno in Rete con la Internet of Things, i rischi di finire vittima di un attacco hacker aumentano esponenzialmente e questo fa scendere sempre più la fiducia in Internet e nel digitale nei consumatori e genera danni economici alle organizzazioni”.
Il costo medio di un data breach per un’impresa è di 4 milioni di dollari nel 2016, +29% rispetto al report del 2013; nel 2015 sono stati riportati 1.673 data breach per un totale di 707 milioni di dati esposti: di fronte a queste cifre la Internet Society chiede di fare di più. “Le tecnologie per la cyber-sicurezza devono essere user-friendly, intuitive, automatizzate, inserite nei device di default”, ammonisce Kende. “Ovviamente non tutti i data breach sono prevenibili”, continua l’economista, “e le aziende dovrebbero rafforzare le loro barriere ricorrendo alla cifratura dei dati e a strategie a tutto tondo per la data protection“. Infine, “ci sono i comportamenti virtuosi e qui il nostro report fornisce cinque raccomandazioni di base per ridurre il numero e l’impatto dei data breach“.
Secondo la Internet Society occorre innanzitutto mettere l’utente al centro della soluzione: il costo dei data breach deve essere la somma dei costi per le aziende e di quelli per gli utenti finali. Seconda raccomandazione: le organizzazioni devono impegnarsi a essere più trasparenti sui rischi, l’incidenza e l’impatto delle violazioni: le informazioni vanno condivise, non nascoste. Tre: la sicurezza dei dati deve diventare prioritaria per le aziende e basarsi su standard e best practice ma anche (quarta raccomandazione) le imprese devono essere ritenute responsabili delle violazioni con precise norme su liability e compensazione del danno; infine, occorrono più incentivi a investire in sicurezza, creando un mercato di sistemi di misurazione autorevoli e indipendenti del livello di data security che un’organizzazione sa garantire.
“E’ importante che siano le imprese a sostenere i costi delle violazioni anche perché per loro investire in sicurezza vuol dire evitare di pagare un conto ancora più salato per le avvenute violazioni”, sottolinea Kende. “D’altra parte le aziende virtuose vanno messe in evidenza, inserite in una classifica di best practice: la sicurezza diventa un fattore competitivo che premia chi fa bene e scredita chi non dà garanzie”.
