costo-databreach-PMI

C’è un reale pericolo di Data Breach per una PMI?

La domanda che si stanno facendo molti imprenditori in questi ultimi mesi in cui si trovati di fronte al bivio se procedere o meno con l’adeguamento al GDPR è: quanto può costare adeguare la mia azienda al GDPR?

Prima però di chiedersi quanto potrebbe costare adeguarsi al GDPR sarebbe meglio domandarsi quanto potrebbe costare non adeguarsi al GDPR!

A tal proposito riporto integralmente l’articolo che ho scritto sulla testata on-line Cybersecurity360 pubblicato il 2 Aprile.

Partiamo con l’analizzare i costi di un possibile DATA BREACH, ovvero un evento volontario o involontario che può comportare una violazione dei dati.

Innanzitutto, quanto è probabile che accada un Data Breach in una PMI?

Negli ultimi anni, abbiamo assistito ad un’impennata impressionante dei casi di Hackeraggio e Phishing, anche ai danni di piccole e medie aziende per cui la probabilità che ciò avvenga è molto più alta di quanto si pensi.

Molti imprenditori sono convinti che le vittime preferite dagli hackers siano solo le grandi multinazionali o le banche piuttosto che enti governativi e Università

Per questo le piccole e medie aziende non si sono mai preoccupate di proteggere adeguatamente i propri sistemi informativi e, in particolare, di introdurre una “cultura della sicurezza” in azienda.

Recenti studi, come il checkpoint security report, dimostrano che sono sempre di più le aziende, medie e piccole che sono vittime di cyberattacchi di cui, la causa principale, è la scarsa preparazione e carenza di consapevolezza del personale interno sui rischi informatici.

email-phishing

L’82%  DELLE AZIENDE HA SUBITO UN ATTACCO DI PHISHING NEL 2018

Fonte: CheckPoint Security Report 2018

Quando la minaccia proviene dall'interno non c'è firewall che tenga Condividi il Tweet

A questo punto che sappiamo quanto può essere probabile un Data Breach cerchiamo di capire quanto potrebbe valere una perdita di dati facendo il caso di una PMI di piccola/media dimensione.

Quanto può costare un Data Breach ad una PMI?

Per procedere ad un ipotetico calcolo dobbiamo prima farci un’idea delle possibili voci di spesa che possono concorrere e, per fare ciò, partiremo ovviamente dalle sanzioni previste nel nuovo Regolamento Europeo 2016/679 o GDPR.

Le SANZIONI GDPR in caso di inadempienze per le aziende private sono:

  • Fino a 20 Milioni di €uro o 4% del fatturato complessivo mondiale (si applica la risultante più alta delle due)
  • +eventuali sanzioni penali previste dalla normativa del paese membro, in Italia il Dlgs 196/2003+Dlgs 101 del 19.9.2018, che prevedono pene fino a 5 anni di reclusione.
  • +eventuali risarcimenti che potrebbero essere richiesti dagli interessati vittime delle violazioni in caso di danni materiali e/o immateriali (danni d’immagine, di salute, economici etc).

I costi di un Data Breach non sono solo le Sanzioni

Una violazione della sicurezza che comportasse una perdita o una indisponibilità grave di dati non espone solamente a Sanzioni ma, può essere devastante, anche in una piccola azienda, per i motivi riassunti in questa infografica:

Effetti-costi-data-breach

Alcuni di questi fattori sono difficilmente quantificabili come, ad esempio, la perdita d’immagine, i cui effetti possono manifestarsi anche dopo diverso tempo.

In ogni caso proveremo di seguito, tramite un semplice esercizio, a dare un VALORE a quanto detto.

Come si può quantificare un Data Breach in una PMI

Esempio di calcolo analitico

Facciamo l’esempio di un’azienda manifatturiera che fattura 10 Milioni di €uro, che NON si è adeguata minimamente al GDPR e NON dispone di un piano di Disaster Recovery.

Ipotizziamo lo scenario peggiore e mettiamo il caso che l’azienda in questione subisca un attacco hacker tipo Ransomware Cryptolocker o Petya (i più frequenti in Italia), in seguito al quale tutti i dati residenti nei server aziendali siano irrecuperabili compresi i backup di rete (casi già successi):

  • Ricordando che, in questo caso sarebbe teoricamente applicabile una Sanzione fino a 20 Milioni di €uro, ipotizziamo che questa venga calcolata sul 4% sul fatturato:

Sanzione Gdpr: 400.000 €uro

  • Ipotizziamo il caso che si perdano gli ultimi 4 anni di dati gestionali e siano necessari 6 mesi di due impiegati per ricostruire i dati, con un costo medio mensile c.ca 6.000 €uro.

Reinserimento Dati: 36.000 €uro

  • Pensiamo anche ad una perdita in produttività, immagine aziendale e fatturato nei mesi successivi al Data Breach ipotizzando, ottimisticamente, un calo del fatturato del 1%.

Danni d’immagine, fatturato, calo di produttività: 100.000 €uro

Possiamo a questo punto concludere che il danno monetario causato da una violazione dati per un’azienda che fattura 10 Milioni di €uro potrebbe valere oltre 500.000 €uro.

Teniamo conto che la perdita d’immagine sul mercato e fattori più nascosti come lo stress generato, possono causare danni difficilmente calcolabili se non a lungo termine.

Non dimentichiamoci inoltre le possibili implicazioni penali, nonché le eventuali richieste di risarcimenti da parte degli interessati per i danni morali e materiali causati.

Esempio di calcolo empirico

Un altro modo per calcolare il costo di un Data Breach potrebbe essere quello di basarsi su rilevamenti statistici e studi in materia.

Da uno studio condotto dal Ponemon Institute nel ‘2017(Cost of Data Breach Study – Italy), su 11 aziende Italiane che hanno subito un Data Breach è emerso che il costo medio per ogni record violato contenente informazioni sensibili e/o vitali per l’azienda è passato da 112 €uro nel 2016 a 119 €uro nel 2017.

Il costo totale medio delle violazioni dei dati è aumentato nel corso dell’anno da 2,35 milioni € a 2,60 milioni/€.

Questo studio, essendo stato condotto nel 2017, non tiene conto delle sanzioni Gdpr ma, può comunque essere utile come parametro per un calcolo approssimativo in base alla quantità dei record persi.

costo-record-data-breach

Un altro studio condotto da CISCO nel 2018 dice che il 62% degli attacchi in Italia ha prodotto un danno superiore agli 80.000 €uro.

Sarà sicuramente interessante vedere come evolveranno questi dati in base agli studi che verranno condotti sul 2019, che terranno anche conto dei costi sanzionatori.

CONCLUSIONE: Conviene rischiare o conviene adeguarsi e proteggersi?

Se qualcuno si aspettava da questo articolo la formula per calcolare una Compliance Gdpr sarà sicuramente deluso ma, sarebbe troppo difficile, se non impossibile da calcolare a priori senza conoscere diversi elementi quantitativi e qualitativi tra cui le tipologie di trattamento e l’analisi dei rischi.

Ipotizzare dei costi per un Data Breach è relativamente più semplice in quanto si parte da voci di spesa più definite, come ad esempio le sanzioni.

In definitiva, se state ancora valutando che cosa fare in merito alla possibilità di rendere “Compliance” la vostra azienda al GDPR, pensate che, per quanto vi possa sembrare alto il costo di un progetto di adeguamento e, al netto di possibili sanzioni, niente può restituirvi i vostri dati.

In un modello di business “Data Driven” come quello attuale, perdere i dati è come infilarsi in vicolo cieco: non sai mai quello che trovi alla fine! Condividi il Tweet
1 commento

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.