Data breach di British Airways: quale lezione per le aziende italiane

L’attacco informatico che ha portato al data breach di British Airways, il primo di una certa importanza dopo il GDPR, dimostra quanto sia gravoso per una società affrontare una violazione di dati personali. Ecco perché le aziende italiane dovrebbero trarre una lezione da quanto accaduto

19 Set 2018
C
Cristiano Campion

Cyber Insurance Specialist Allianz-Moscova & Partners

Sono quasi quattrocentomila le transazioni finanziarie rubate in seguito al data breach di British Airways, il primo di una certa importanza dopo l’entrata in vigore del GDPR. Un fatto importante, che deve farci riflettere. Ecco infatti come le aziende italiane possono prepararsi ad affrontare un attacco del genere.

La vicenda

Lo scorso 7 settembre il data breach di British Airways, la terza compagnia aerea europea ed una delle maggiori al mondo, ha portato al furto di 380.000 transazioni finanziarie contenenti numeri di carte di credito, nomi e indirizzi dei clienti, compreso il codice di sicurezza usato per potere eseguire ulteriori operazioni future.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Non è chiaro quando l’attacco sia stato scoperto, né si sa esattamente se e quando British Airways abbia avvisato il Garante della Privacy inglese, ma sappiamo che “il furto” è durato dal 21 agosto al 5 settembre ovvero oltre due settimane: un periodo lungo per un attacco senza che British Airways abbia reagito disabilitando i sistemi, quasi che non se ne fosse accorta.

A termini di GDPR le aziende hanno 72 ore, da quando se ne accorgono, per analizzare e comunicare al Garante un data breach, ovvero qualora i dati esposti possano ledere i diritti dei clienti, siano leggibili e non si sia di fronte ad attacchi multipli: da quanto dichiarato da British Airways, l’attacco pare essere stato uno, andando a modificare il software o la pagina del sistema di pagamento e duplicando sistematicamente le transazioni finanziarie verso l’esterno.

La compagnia aerea rischia una multa fino al 4% del fatturato

Accorgersi di un attacco fa parte dei doveri delle aziende e il non accorgersene non è una scusante valida per evitare una sanzione. Pertanto, British Airways in questo momento rischia una sanzione fino a 500 milioni di sterline (560 milioni di euro), ovvero il 4% del suo fatturato: non male per le casse del Regno Unito; certamente un problema per British Airways perché oltre a rischiare di dovere pagare la multa per il data breach, che equivale ad oltre un terzo degli utili del 2017, potrebbe essere chiamata a rifondere direttamente le spese illegittime occorse ai 380.000 clienti i cui dati delle carte di credito sono stati rubati. Anche perché ci sono dei precedenti in Gran Bretagna (Ticketmaster e CarPhone Warehouse, rispettivamente 40.000 e 1.500.000 di carte rubate); l’unico modo da parte di British Airways per provare alle autorità che l’attacco è stato invisibile sarebbe quello di fornire i log del traffico di rete, che è un requisito ai fini del GDPR.

I costi per British Airways non finiscono qui, ma vediamo innanzitutto cosa non ha funzionato e quali insegnamenti possiamo trarre da questo evento per evitare che accada ad una delle nostre aziende.

Data breach di British Airways: analisi di un attacco

Sicuramente è mancato un attento monitoraggio di quanto stava avvenendo sui propri sistemi di pagamento e sul sito Web. L’attacco ha sfruttato delle falle nel software che potevano essere chiuse andando ad aggiornare i sistemi per tempo (non siamo di fronte ad uno zero day attack), mentre a livello di rete il traffico, se attentamente analizzato, poteva rivelare qualcosa di sospetto. La prima lezione da cogliere è sicuramente quella di assicurarsi che la propria rete sia dotata di un sistema di monitoraggio ed allerta sofisticato, sempre aggiornato, che analizzi sia i processi in esecuzione sia il traffico in entrata ed in uscita.

L’aggiornamento software, che deve essere sistematico e ricorrente e le operazioni per rimediare alle vulnerabilities sono un altro punto importante e spesso sottovalutato, ma comunque non sempre sufficiente a prevenire gli attacchi: possiamo incamerarlo come lezione numero due ma questa non è la soluzione e da sola non darà comunque mai una copertura completa al problema.

Si stanno facendo strada altre soluzioni che combinano il monitoraggio della rete (traffico e porte), le soluzioni endpoint, il comportamento degli utenti e i picchi di utilizzo di risorse che fanno scattare degli allarmi automatici volti a stroncare sul nascere i malware, a contenere il nodo infetto o chiudere le connessioni, se necessario, per contenere gli attacchi: esistono varie soluzioni che rispondono a questa esigenza e le tecnologie presenti nelle reti possono fare propendere la scelta per l’una o per l’altra.

Assicurazioni cyber: utili a prevenire un data breach

Anche le assicurazioni cyber più evolute ed attente al GDPR forniscono ai clienti un monitoraggio costante dei sistemi e della rete, comprensivo del sistema di log richiesto dal GDPR, al fine di stroncare sul nascere o contenere gli attacchi. E il motivo è presto detto: meno attacchi o attacchi contenuti per le compagnie di assicurazioni vogliono dire meno sinistri e meno risarcimenti da erogare, oltre al fatto che evitare o minimizzare un sinistro significa salvaguardare il business o la sopravvivenza di un’azienda.

Questo incidente apre un altro tema importante, fino ad oggi poco attenzionato. Il GDPR richiede alla aziende di essere compliant e al contempo le aziende stesse devono richiedere ai propri fornitori di essere GDPR compliant, facendo intendere che nessuna azienda è un’isola a sé e che non basta preoccuparsi di avere i propri sistemi e processi in regola: bisogna preoccuparsi anche, in questo caso, di quale software viene sviluppato e adottato per i sistemi delle aziende o quali servizi (che agli occhi degli utenti vengono erogati dall’azienda) vengono affidati all’esterno.

In questo caso specifico, il sistema di prenotazione di British Airways non è stato attaccato forse perché non ritenuto di interesse o di minor interesse rispetto al sottosistema di pagamento: forse sviluppato e gestito dall’esterno o diversamente fornito da un servizio esterno ma incapsulato all’interno dei sistemi di British Airways. La domanda a cui rispondere a questo punto è: chi doveva accorgersi del malfunzionamento/attacco e chi deve controllare la qualità/bontà/autenticità del codice?

Si può rispondere analizzando le conseguenze di questo attacco, che non permettono un calcolo dei danni immediato e completo, mentre l’estensione del problema va ben oltre il sito Web di British Airways.

Come ha reagito la compagnia aerea

Quanto è avvenuto nell’incidente di British Airways è così grave che la compagnia ha inviato una e-mail di scuse a tutti i 380.000 clienti interessati dal furto con tre azioni per rimediare al danno:

  • tutte le transazioni misconosciute dai clienti, successive e riconducibili all’evento saranno rimborsate;
  • si consiglia ai clienti di rivolgersi alla propria banca per avere consigli su cosa fare (presumibilmente richiedere una nuova emissione della carta di credito);
  • si offre un anno di abbonamento al servizio di “credit rating” di Experian più un monitoraggio sul furto d’identità.

I criminali responsabili di questo attacco hanno raccolto informazioni sufficienti per effettuare acquisti anche in futuro e questi dati potrebbero già essere nel Dark Web. Pertanto, British Airways s’impegna a rifondere tutte le future transazioni illegittime: normalmente sono le carte di credito a rifondere i clienti vittime delle truffe online, ma questo è un data breach e le responsabilità sono direttamente riconducibili a British Airways ed eventualmente al sotto sistema di pagamento del sito Web.

Costo previsto: incerto, impossibile da stimare a priori, ma fintantoché i clienti non avranno chiesto alla propria banca di bloccare queste carte di credito, rimarranno attive.

Cancellare la vecchia carta di credito e chiedere l’emissione di una nuova carta è l’unica cosa da fare per bloccare future transazioni. Il costo sarà a carico di British Airways, per una somma complessiva davvero da capogiro: 25€ x 380,000 = 9,5 milioni di €.

Un abbonamento ad Experian per monitoraggio del credit rating e furto d’identità servirà a tenere informati i clienti se qualcuno proverà a chiedere finanziamenti o ottenere altre carte di credito a loro nome, ma non può evitare che questo succeda. Costo stimato del servizio 100€ per cliente a carico di British Airways ovvero 38 milioni di € esclusi i danni eventuali nel caso in cui avvengano effettivamente furti d’identità.

A questo punto appare chiaro che il costo di non richiedere ad un proprio fornitore di controllare la conformità ed autenticità del codice sorgente o monitorarne il corretto funzionamento può risultare molto alto, sia come danni a terzi sia a livello di sanzioni. Proprio per questo motivo, sempre più aziende e clienti richiedono ai propri fornitori se hanno una copertura assicurativa cyber risk in particolare per danni a terzi.

La richiesta dei clienti è legittima per due motivi: il primo perché una copertura danni a terzi effettivamente offre una garanzia ai clienti che se ci fosse un attacco cyber, come quello avvenuto a British Airways, l’azienda sarebbe in grado di rifondere il danno subito dal cliente.

Il secondo motivo è che una azienda che è coperta da una polizza cyber ha già dovuto affrontare un assessment sul grado di sicurezza della propria rete, le azioni correttive per minimizzare i rischi di attacco, una seppur limitata revisione dei processi GDPR ed una valutazione del rischio residuo per il quale pagherà un premio, oltre ad essersi dotata probabilmente anche di un sistema di monitoraggio costante della rete: alcune polizze lo forniscono e garantiscono un forte sconto ai clienti che lo attivano.

Data breach di British Airways: una lezione per le aziende italiane

In conclusione, i consigli che possiamo trarre da questo attacco cyber occorso a British Airways sono quattro:

  1. installare un sistema di monitoraggio dei processi e della rete con alert e azioni automatiche di difesa in caso di attacchi o sospetti attacchi con registrazione dei log;
  2. tenere aggiornati i sistemi con aggiornamenti in tempi massimi di 6 mesi per chiudere tutte le vulnerabilità note;
  3. dotarsi di una buona polizza cyber risk per coprire danni provocati a terzi, questo insieme ai due punti precedenti potrebbe anche aiutare ad evitare sanzioni legate al GDPR e comunque una buona polizza cyber risk integra già il primo punto è fornisce supporto per il secondo;
  4. richiedere ai propri fornitori una “certificazione cyber risk” da mettere per iscritto o chiedere di produrre la documentazione comprovante la loro copertura cyber per danni a terzi.

Questo è o sarebbe l’approccio da tenere per le aziende che oggi hanno messo al centro del loro business model un sito di eCommerce: affrontare diversamente il problema e senza prepararsi ad implementare questo modello di comportamento può portare alle conseguenze sopra descritte.

WHITEPAPER
Quale ruolo avrà la tecnologia all’interno dei negozi fisici?
Retail
E-Commerce
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr