Nel 2017, Equifax, una delle maggiori agenzie di credito degli Stati Uniti d’America, subì una violazione di dati che portò alla compromissione delle informazioni personali di oltre 143 milioni di persone.
La causa della violazione è da ricondurre a una vulnerabilità nel software Apache Struts, che Equifax non corresse in maniera tempestiva. Inoltre il piano di recupero in caso di disastro dell’azienda non funzionò come previsto.I backup dei dati non furono eseguiti correttamente a causa di un ritardo nel processo di attivazione dei sistemi di salvataggio. Ne conseguì un’interruzione delle attività che costò all’azienda oltre 4 miliardi di dollari in perdite di ricavi e danni alla reputazione.
La violazione dei dati di Equifax è stata una delle più grandi mai avvenute. I dati rubati includevano nomi, date di nascita, numeri di previdenza sociale e ancora indirizzi e numeri di patente di guida. Già ai tempi, questa violazione ha avuto un impatto significativo sulla privacy dei consumatori e ha sollevato preoccupazioni sulla sicurezza dei dati delle agenzie di credito.
Ci furono numerose indagini e cause legali. Nel 2019, si raggiuse un accordo con la Federal Trade Commission, la Consumer Financial Protection Bureau e 50 stati e territori degli Stati Uniti per risolvere le accuse di violazione della privacy dei consumatori. L’accordo prevedeva il pagamento di una multa di 575 milioni di dollari e l’implementazione di misure di sicurezza aggiuntive per proteggere adeguatamente i dati.
Il caso di Equifax dimostra l’importanza di proteggere i dati e di avere un piano di disaster recovery ben strutturato e testato. Sviluppare un piano di business continuity che definisca le procedure e le politiche necessarie per garantire la continuità delle attività in caso di eventi imprevisti sarebbe stato fondamentale. Ieri come oggi.
La violazione subita da questa società nel 2017 evidenzia gli impatti devastanti che una vulnerabilità non gestita e un piano di disaster recovery inefficace possono avere su un’azienda. La perdita di miliardi di dollari e danni irreparabili alla reputazione dimostrano come la sicurezza dei dati e dei sistemi debba essere una priorità assoluta a qualsiasi livello. Ancora una volta, la conclusione chiave è che investire in misure preventive, come l’aggiornamento tempestivo dei software e la gestione efficace di un piano di continuità operativa aziendale, è essenziale per evitare conseguenze disastrose.
L’incidente di Equifax continua tutt’oggi a essere un monito sulla critica importanza di una sicurezza informatica solida e di piani di continuità aziendale ben strutturati, non solo per proteggere l’azienda stessa ma anche per preservare la fiducia dei consumatori e la sicurezza dei loro dati personali.