Se il mio sito Web viene violato e i dati dei clienti vengono esposti, posso essere ritenuto responsabile?
Questa è una domanda a cui la maggior parte dei proprietari di piccole imprese e professionisti sta perdendo il sonno! Ma in un’era in cui si verificano regolarmente violazioni dei dati, merita una seria considerazione.
Potresti pensare che solo perché gestisci una piccola impresa, la possibilità che il tuo sito web venga violato sia minima. Questo non è vero!
Un sondaggio condotto dal Poneman Institute, una società di ricerca sulla sicurezza delle informazioni, per conto dell’assicuratore Hartford Steam Boiler, ha rilevato che il 55% delle piccole imprese ha subito una violazione dei dati e il 53% ha segnalato più invasioni.
Come viene hackerato un sito Web?
Prima di approfondire la questione della responsabilità, è importante innanzitutto affrontare la questione di come i siti Web vengono hackerati in primo luogo.
Tony Perez, co-fondatore e CEO di Sucuri, un fornitore di tecnologia per la sicurezza dei siti Web, ha affermato in uno scambio di e-mail con Small Business Trends che i siti in genere vengono violati in quattro modi:
Controllo di accesso
Il controllo degli accessi ha a che fare con il modo in cui accediamo ai nostri ambienti, che si tratti del pannello di amministrazione della nostra piattaforma o dei server e degli host stessi.
Secondo Perez, gli hacker possono capire come accedere al pannello di hosting o al server del tuo sito tramite un attacco di forza bruta, un metodo per tentativi ed errori utilizzato per ottenere informazioni come nome utente e password. Gli attacchi di forza bruta utilizzano software automatizzati per generare un gran numero di ipotesi consecutive, per scoprire le informazioni desiderate.
Vulnerabilità del software
Gli hacker sfruttano le vulnerabilità del software utilizzando in modo intelligente “Uniform Resource Locator (URL)” o “POST Headers” malformati, afferma Perez.
Spiega che il modo di pensare alle vulnerabilità è come bug del software o nodi nell’armatura del sito web.
“Sin dall’inizio, i bug sono stati uno stile di vita con qualsiasi codice”, afferma. “Il codice è costruito dagli esseri umani e, sebbene non intenzionale, commettiamo errori”.
Ambienti mal gestiti
“Puoi acquistare un account di hosting di siti Web con un’azienda che ha centinaia di siti installati o configurati su quelli che chiamo server “mensa dei poveri””, afferma Perez. “Ciò è complicato dal fatto che i proprietari dei siti non utilizzano alcun principio di gestione del sito Web (ad esempio, isolamento funzionale, aggiornamenti, backup).
Integrazioni di terze parti
Le integrazioni e i servizi di software di terze parti sono comuni nell’ecosistema di siti Web di oggi, afferma Perez, e sono particolarmente popolari nei sistemi di gestione dei contenuti come WordPress, Joomla e Drupal. Il problema con lo sfruttamento di integrazioni e servizi di terze parti è che va oltre la capacità di controllo del proprietario del sito web, secondo Perez.
Le reti pubblicitarie presentano ancora un altro problema.
“C’è un grosso problema con il “malvertising”, in cui gli aggressori possono abusare delle reti pubblicitarie che le aziende utilizzano sui loro siti per ruotare e fornire malware agli utenti su base condizionale”, afferma Perez.
Come posso impedire che il mio sito venga violato?
- Sfortunatamente, non c’è modo di garantire che il tuo sito non venga mai violato. Tuttavia, ci sono passaggi che puoi intraprendere per ridurre il rischio che includono:
Incorpora l’autenticazione a due fattori. Secondo il sito Web TechTarget, l’autenticazione a due fattori è un processo di sicurezza in cui l’utente fornisce due mezzi di identificazione da categorie separate di credenziali. Gli esempi includono un token fisico, come una carta, e qualcosa memorizzato, come un codice di sicurezza. - Utilizzare un firewall e un antivirus per siti Web. Questo aiuta a proteggersi dalla vulnerabilità del software. Sucuri offre entrambe le opzioni come parte della sua gamma di prodotti.
- Effettua il backup dei contenuti del tuo sito. Molti sistemi di gestione dei contenuti, come WordPress e Joomla, hanno funzionalità di backup integrate. Se il tuo CMS non offre protocolli di backup, il provider host del tuo sito web può probabilmente aiutarti. Aziende come Mozy, Barracuda e Sucuri offrono anche servizi di backup del sito web.
- Registrati con i motori di ricerca. Google e Bing hanno strumenti per i webmaster che possono dirti lo stato di salute del tuo sito.
Qual è la mia “responsabilità informatica” se i dati dei clienti vengono esposti?
Sfortunatamente, non esiste una risposta secca a questa domanda. Alcuni attestano che l’entità che detiene le informazioni è responsabile, mentre altri suggeriscono che il cliente si assume la responsabilità.
Judith Delaney, fondatrice e capo stratega della conformità ai nuovi media per CMMR Group-TurnsonPoint, una società di conformità ai media digitali, ha affermato in un articolo che affronta le preoccupazioni dei consumatori in merito alla responsabilità, che se gli hacker accedessero alle informazioni attraverso i sistemi online della tua azienda, molto probabilmente saresti trattenuto responsabile.
Ha anche affermato che tutti, aziende e consumatori allo stesso modo, hanno la responsabilità di proteggere le informazioni sensibili.
Perez, soffermandosi sulla questione della responsabilità, avverte che le piccole imprese che gestiscono un sito di e-commerce devono rispettare lo standard di sicurezza dei dati del settore delle carte di pagamento (PCI DSS).
“Non è una legge, ma è un regolamento che ti creerà grossi problemi se vieni compromesso e si scopre che è stato il motivo per cui i dati della carta di credito sono stati rubati”, dice.
Aggiunge che i consumatori si aspettano e richiedono un’esperienza online sicura quando visitano il tuo sito.
They trust that when they visit your website, as a company that cares, you are doing your part,” he says. “When you’re not, and you break that trust, you not only break the trust with your brand but with users general experience with the Internet. Our impacts are larger than our little corner of the web.”
Le leggi statali proteggono i consumatori
“Il panorama della sicurezza informatica sta cambiando rapidamente mentre le violazioni dei dati stanno aumentando”, ha affermato Delaney. “Il Congresso, le autorità di regolamentazione e i procuratori generali dello stato stanno esaminando attentamente il modo in cui le aziende … stanno proteggendo le informazioni dei consumatori dall’accesso non autorizzato. Si sono tenute udienze e sono state introdotte nuove leggi”.
La California è stato il primo stato ad approvare una legge sulla violazione dei dati, nel 2003, che richiede che i consumatori siano informati se le loro informazioni di identificazione personale sono compromesse.
Seguendo l’esempio della California, altri stati hanno emanato leggi che richiedono alle organizzazioni di informare le persone quando una violazione della sicurezza mette a rischio le informazioni personali. La Conferenza nazionale delle legislature statali fornisce un elenco completo così come BakerHostetler, uno studio legale.
Oltre agli stati, la legge federale può richiedere un avviso per particolari tipi di violazione dei dati.
L’assicurazione sulla responsabilità informatica protegge le aziende
Tuttavia, la notifica può diventare rapidamente molto costosa, soprattutto se hai migliaia di clienti con cui comunicare.
Sfortunatamente, l’assicurazione di responsabilità e proprietà commerciale standard non copre la perdita di informazioni di identificazione personale. Per affrontare il problema, diverse società offrono ora polizze di responsabilità informatica volte a coprire una violazione dei dati in cui le informazioni sui clienti, come i numeri di previdenza sociale o di carte di credito, vengono esposte o rubate.
Le politiche includono una serie di spese associate a violazioni dei dati, inclusi costi di notifica, monitoraggio del credito, gestione delle crisi, costi per la difesa dei reclami da parte delle autorità di regolamentazione statali, multe, sanzioni e perdite derivanti da furto di identità e interruzione dell’attività.
Conclusione
Il problema degli attacchi informatici non scomparirà, ma diventerà più sofisticato nel tempo.
Sebbene la questione della responsabilità non sia ancora chiara, le aziende possono proteggere se stesse e i propri clienti seguendo le linee guida incluse in questo articolo.
Adotta le misure necessarie per impedire che il tuo sito venga violato e prendi in considerazione l’acquisto di un’assicurazione di responsabilità informatica per proteggerti nel caso in cui lo sia e i dati dei clienti siano esposti.