Data Misuse. Che cos’è?
Con Data Misuse si intende l’uso inappropriato dei dati. L’utilizzo errato di informazioni può essere regolato da leggi e da una politica di sicurezza informatica aziendale. Tuttavia, anche con leggi e politiche in atto, il potenziale di abuso di dati sta aumentando. I perpetratori più comuni? I dipendenti e il personale esterno, cioè le minacce interne.
Gli insider threat che coinvolgono l’uso improprio dei dati hanno gravi implicazioni, non ultimo, l’elevato costo monetario associato. Senza le persone giuste, processi e tecnologia per la visibilità delle minacce interne, individuazione, investigazione e prevenzione possono essere quasi impossibili da gestire.
Data Misuse. Alcuni esempi.
Abbiamo delineato alcuni scenari reali in cui si è perpetrato un uso improprio dei dati. Spesso si tende a pensare ad azioni criminose esterne mentre il problema nasce e si sviluppa all’interno dell’azienda.
Uber God View
Un caso di abuso di dati di alto profilo si è verificato nel 2014. Un dipendente ha violato la politica aziendale utilizzando God View per rintracciare un giornalista che era in ritardo per un’intervista. God View ha permesso allo staff dell’azienda di rintracciare sia i veicoli che i clienti Uber. Lo strumento non era disponibile per i conducenti, ma era (all’epoca) apparentemente ampiamente disponibile a livello aziendale. Il monitoraggio del giornalista sfugge alla politica di tutela della privacy di Uber. Ai dipendenti è vietato guardare lo storico dei clienti tranne che per scopi commerciali legittimi.
Dipartimento di polizia del Minnesota
Nel 2016 i revisori dello stato del Minnesota hanno scoperto una truffa 2013 e 2015. 88 agenti di polizia nei dipartimenti di tutto lo stato hanno abusato dell’accesso ai dati personali nel database delle patenti di guida. Obiettivo era cercare informazioni su fidanzate, familiari, amici senza autorizzazione o rilevanza per qualsiasi indagine ufficiale. Gli auditor hanno affermato che ciò non era raro e oltre la metà degli agenti facevano ricerche discutibili nel database.
Dipartimento di polizia di Chicago
Nel 2016 un report dell’Associated Press ha stabilito che gli agenti di polizia utilizzavano in modo illecito informazioni riservate sul database delle forze dell’ordine. Esaminavano le informazioni personali delle persone a cui erano vicine. In molti casi, l’uso improprio dei dati ha comportato casi di stalking personale, molestie e persino furto di identità.
AT & T Telecomunicazioni
La società di telecomunicazioni AT & T ha pagato oltre 25 milioni di dollari alla Federal Communications Commission nel 2015. A seguito di un’indagine si è scoperto che i dipendenti dei call center divulgavano illegalmente le informazioni personali di oltre 280.000 clienti. I dipendenti hanno venduto i nomi dei clienti e i numeri di previdenza sociale a terze parti che li hanno utilizzati per sbloccare i telefoni cellulari. I dispositivi funzionano su reti diverse da AT & T. Lo sblocco del telefono cellulare è diventato legale negli Stati Uniti nel 2014.
Morgan Stanley
Nel 2015 che un consulente finanziario ha scaricato i dati dell’account sul 10% dei propri clienti di gestione patrimoniale – circa 350.000 persone. 900 di questi account sono poi stati visualizzati sul sito di condivisione di testo anonimo, Pastebin. Questo è un esempio da manuale di un insider threat.
Data Misuse. Considerazioni finali.
Come mostrano questi esempi, l’uso improprio dei dati da parte di dipendenti e terzi all’interno di un’azienda è ampiamente diffuso e può verificarsi ovunque. Sebbene si disponga di strumenti per prevenire la perdita di dati, spesso questi aiutano solo a vedere il movimento dei dati, non l’attività dell’utente o il contesto dietro le interazioni tra le minacce interne.
La distinzione tra una minaccia interna e dannosa e quella accidentale è fondamentale. Come cercherai di gestire le minacce interne e impedire l’uso improprio di dati e informazioni nella tua organizzazione?
E’ importante dare al dipendente (o esterno) le giuste regole comportamentali con gli strumenti aziendali. Anche l’adozione di una soluzione software contribuisce a garantire maggiore sicurezza. Bludis per contrastare l’insider threat propone ObserveIT: http://www.bludis.it/p/observeit/
Se invece vuoi maggiori informazioni di carattere tecnico o commerciale contatta gli specialisti Bludis allo 0643230077 o invia una e-mail a sales@bludis.it
Canale Sicurezza è il blog di approfondimento sulle tematiche di sicurezza informatica di Bludis S.r.l.
Pensato e strutturato come servizio e strumento per mantenere sempre aggiornati gli utenti sia professionali che domestici sulle ultime novità.