I dipendenti passati e presenti di General Electric (GE) hanno di recente appreso che le loro informazioni sensibili sono state esposte a una violazione subita da un fornitore dell’azienda. Quali sono le implicazioni della violazione? Che destino avrà il rapporto di collaborazione tra GE e il suo partner?

In data 20 marzo, con una comunicazione ufficiale, GE ha affermato di essere stata oggetto di una violazione della sicurezza ai danni di uno dei suoi partner, la società Canon Business Process Services.

Secondo l’azienda, tra il 3 e il 14 febbraio 2020, una parte terza non autorizzata è riuscita ad accedere a un account e-mail Canon che conteneva informazioni riservate sui dipendenti attuali e passati, nonché su persone coinvolte in rapporti lavorativi con esse.

Gli hacker hanno avuto accesso ad un patrimonio informativo potenzialmente vendibile nei forum del dark web o in alternativa utilizzabile per colpire le persone con e-mail truffaldine e attacchi di phishing.

Le indagini dell’azienda hanno rilevato che le informazioni ottenute dagli hacker contenevano:

  • moduli di deposito diretto
  • patenti di guida
  • passaporti
  • certificati di nascita
  • certificati di matrimonio
  • certificati di morte
  • ordini di assistenza medica per bambini
  • moduli di ritenuta alla fonte
  • moduli di designazione del beneficiario
  • domande per prestazioni di vecchiaia, di fine rapporto e di morte con relativi moduli e documenti.

Secondo la lettera di notifica della violazione dei dati di GE, i moduli esposti potrebbero includere nomi, indirizzi, numeri di previdenza sociale, numeri di conto bancario, date di nascita e altre informazioni.

Implicazioni dell’attacco

Se la password di un account viene compromessa da una violazione dei dati, il rimedio più semplice è quello di cambiarla. L’attività non costituisce di certo un problema, a meno che, come spesso accade, non sia stata utilizzata in più punti d’accesso. In questo caso, le implicazioni tecniche e pratiche sono di maggiore impatto e hanno dei risvolti operativi molto più importanti.

Se per la password esiste una via d’uscita, nel caso delle informazioni contenute nei documenti personali dei dipendenti dell’azienda invece, spesso, non c’è soluzione: questi dati rimarranno di dominio pubblico e soprattutto alla potenziale mercé di altri hacker, rappresentando quindi un pericolo sia per il singolo dipendente, sia per un eventuale reiterazione dell’attacco.

Inoltre viene da chiedersi, che futuro avranno i rapporti commerciali con il partner che ha subito l’attacco?

Da un lato, GE potrebbe decidere di terminare la relazione. Se il fornitore non stava proteggendo correttamente i dati e i sistemi dell’azienda, non vi è alcuna garanzia che le misure saranno migliori in futuro.

Dall’altro, per GE l’avvio della relazione con un nuovo fornitore comporterebbe un investimento in denaro e tempo, anche in questo caso senza alcuna garanzia di un sistema migliore.

Al momento non è ancora chiaro il futuro della collaborazione, ma abbiamo una certezza: che la fiducia nel rapporto ha subito un duro colpo.

 

Cosa insegna il caso General Electric

GE afferma che, in seguito alla scoperta della violazione, il suo partner Canon “ha preso provvedimenti per proteggere i suoi sistemi e determinare la natura del problema” e sottolinea che la propria infrastruttura non è stata compromessa dagli aggressori.

Una violazione dei dati personali come questa sottolinea però un aspetto fondamentale: piccole o grandi che siano, le aziende non possono permettersi di preoccuparsi solo della propria sicurezza. In un contesto interdipendente e interconnesso come quello odierno, i dati viaggiano in modo trasversale all’interno di un perimetro sempre meno definito e più liquido. Secondo il Ponemon Institute, il 59% dei data breach ha origine presso fornitori.

Perciò, da un lato, è fondamentale capire quali garanzie mettono in campo i partner commerciali presenti in tutta la supply chain. Dall’altro, invece, dobbiamo essere trasparenti e fornire proattivamente ai nostri partner una panoramica dettagliata delle misure di sicurezza messe in atto nella nostra azienda.

In questo contesto, quindi, diventa importante, non solo implementare misure di cyber sicurezza in azienda, ma anche informare e coinvolgere i propri partner commerciali per renderle più efficaci.

Come instaurare un rapporto commerciale di fiducia, minimizzando i rischi di una violazione di dati? 

  • Valuta attentamente le credenziali di sicurezza dei partner di supply chain oppure forniscile attivamente prima di entrare in relazione
  • Incorpora la gestione dei rischi di cyber sicurezza nei contratti
  • Continua a monitorare le misure di cyber sicurezza anche a rapporto iniziato
  • Collabora attivamente con i tuoi partner per ridurre i rischi e risolvere subito eventuali problemi di sicurezza
Vuoi individuare i possibili rischi di sicurezza della tua azienda?
Share This