Data Breach EasyJet, incidente di sicurezza informatica

Circa 9 milioni di account rubati. E 2.208 carte di credito di cui gli hacker ora conoscono i dati. Questo è il risultato del cyber attacco a EasyJet, ammesso dalla compagnia aerea. La low-cost britannica ha comunicato di essere stata vittima di un attacco che ha definito “altamente sofisticato”. Sono stati esposti indirizzi e-mail, dettagli di viaggio e appunto anche dati molto sensibili.

Non è stato precisato come sia avvenuta la violazione, quando sia avvenuta, quando sia stata scoperta. EasyJet ha anche detto che non c’è prova che le informazioni personali di qualsiasi natura siano state utilizzate in modo improprio dagli aggressori. E in ogni caso, agli utenti colpiti, ha recapitato la lettera che pubblichiamo qui di seguito.

Parlando di attacchi informatici o violazioni di dati si tende a dare importanza alla perdita economica immediata causata dall’evento, mentre sarebbe importante considerare anche gli aspetti di recovery e brand reputation.
I danni indiretti o indotti, infatti, nascono e si presentano in un secondo momento, rimanendo nascosti in periodi di relativa normalità e sono difficilmente quantificabili a priori perché sono direttamente proporzionali all’evento stesso e alle dimensioni aziendali.
Cosa comporterebbe, quindi, non solo dal punto di vista economico, non disporre più dei propri dati? Questa considerazione è ben presente nella mente del criminale informatico. È proprio questa una leva emotiva utilizzata contro le loro vittime, forzandole ad accettare il pagamento della somma richiesta come riscatto. Pagare, oltre a compiere un reato, non assicura la restituzione certa delle informazioni sottratte.
La perdita di reputazione è forse il danno più ingente che possa manifestarsi e non si può quantificare in modo immediato.
Possiamo definire questo danno una vera e propria perdita aggregata perché coinvolge molti fattori e chiama in causa diverse funzioni aziendali. Il GDPR è molto chiaro sotto questo aspetto: in caso di violazione il titolare del trattamento informa le autorità competenti e tutti gli interessati senza ingiustificato ritardo.