La Financial Conduct Authority (FCA) del Regno Unito ha recentemente imposto una multa di 11 milioni di sterline (11.164.400 per l’esattezza) all’agenzia di controllo dei crediti Equifax per aver trascurato la gestione e il monitoraggio della sicurezza dei dati dei consumatori britannici che aveva esternalizzato alla sua società madre con sede negli Stati Uniti.
Un caso che solleva importanti questioni sulla sicurezza dei dati e sottolinea l’importanza della cybersecurity nell’era digitale.
Il caso Equifax
Nel 2017 tra maggio e luglio, Equifax Inc, la società madre di Equifax, è stata vittima di una delle più grandi violazioni della sicurezza informatica nella storia, quando alcuni hacker (probabilmente cinesi) sono riusciti ad accedere ai dati personali di 147,9 milioni di americani, 15,2 milioni di cittadini britannici e circa 19.000 cittadini canadesi. Il furto dei dati ai consumatori del Regno Unito è stato possibile perché Equifax aveva esternalizzato i dati ai server di Equifax Inc negli Stati Uniti per l’elaborazione.
L’attacco Hacker è avvenuto poichè Equifax non aveva ancora aggiornato il proprio sito web di disputa creditizia con la nuova versione di Struts, un framework di sicurezza. Gli hacker hanno quindi sfruttato questa vulnerabilità per accedere ai server interni dell’azienda.
Attacco prevedibile
Secondo la FCA, l’attacco informatico e l’accesso non autorizzato ai dati potevano essere evitati perchè erano “del tutto prevenibili“, ma Equifax non ha considerato il rapporto con la società madre come outsourcing. Di conseguenza è mancata, così, una supervisione adeguata sulla gestione e la protezione dei dati trasmessi.
“Le società finanziarie detengono dati sui clienti che sono molto attraenti per i criminali – ha commentato Therese Chambers, Joint Executive Director of Enforcement and Market Oversight presso la FCA – Hanno il dovere di mantenerli al sicuro ed Equifax non è riuscita a farlo. Hanno aggravato questo fallimento con il modo in cui hanno gestito male la loro risposta alla violazione dei dati”.
L’importanza della cybersecurity
Il caso in questione solleva ancora una volta l’importanza di un’accurata sicurezza digitale. Nulla va lasciato al caso se è possibile accedervi via rete.
L’importanza della cybersecurity non può essere sottolineata abbastanza, specialmente in un settore come quello finanziario.
Le società finanziarie detengono tantissimi dati sensibili dei propri clienti come informazioni personali, finanziarie e bancarie, e la loro perdita o compromissione può avere conseguenze disastrose per gli individui e le aziende coinvolte.
Equifax ha commesso l’errore di non considerare il suo rapporto con la società madre come un “outsourcing”, e questo ha portato a una carenza nella supervisione di come i dati venivano gestiti e protetti. Le aziende devono essere consapevoli delle relazioni con terze parti e garantire che queste condividano gli stessi standard di sicurezza.
L’azienda, ha inoltre, ricevuto critiche per il ritardo nella divulgazione dei dettagli della violazione e per come ha gestito il post-attacco. Subito dopo il data breach, Equifax ha offerto un sito web ai consumatori per scoprire se fossero state vittime della violazione. Ma il sito è stato criticato per somigliare a un sito di phishing e per richiedere informazioni sensibili. Una dimostrazione dell’importanza non solo della prevenzione, ma anche della preparazione per affrontare potenziali violazioni. Le aziende devono avere piani di risposta alla violazione e procedure in atto per minimizzare i danni in caso di attacco informatico.
La cybersecurity non riguarda solo la protezione dei dati, ma anche la supervisione delle terze parti, la preparazione per le violazioni e una risposta adeguata. Ignorare questi aspetti può portare a costose conseguenze finanziarie e danneggiare la reputazione aziendale. La sicurezza dei dati deve, perciò, essere una priorità assoluta.
