Cyber risk management: come difendersi dai rischi informatici

Pubblicato il da

Niccolò Gordini – Professore di Economia e Gestione delle Imprese all’Università degli Studi di Milano-Bicocca e Dottore Commercialista in Firenze

Oggi giorno i rischi informatici (cyber risk) rappresentano una delle minacce più difficili da affrontare e in grado di generare ricadute economiche e di immagine estremamente negative per le imprese. Cosa sono e come è possibile affrontarli?

La globalizzazione, caratterizzata dall’apertura dei mercati e dal venire meno dei confini spazio-temporali, ha incentivato l’utilizzo delle tecnologie informatiche da parte delle imprese, sempre più alla ricerca di strumenti in grado di assicurare una comunicazione e un trasferimento dati in tempo reale con soggetti localizzati in ogni parte del mondo.

La rapida e costante evoluzione delle tecnologie dell’informazione e della comunicazione (ICT) ha, inoltre, reso la capacità di saper raccogliere, interpretare, trattare, conservare e proteggere i dati di fondamentale importanza per le imprese.

In questo contesto, l’adozione di efficienti ed efficaci strumenti di gestione del rischio informatico (cyber risk management) assume rilevanza cruciale, in quanto da essa possono dipendere le sorti stesse dell’impresa.

Si pensi, ad esempio, a cosa potrebbe succedere se un’impresa operante nel settore della telefonia mobile fosse vittima di un attacco informatico che portasse alla distruzione del database dei clienti con la perdita di ogni informazione relativa al tipo di abbonamento, alla sua durata, alle promozioni attive, alla loro scadenza; o cosa potrebbe accadere ad una qualsiasi impresa dell’e-commerce a cui un hacker sottrae i dati personali dei clienti e ne fa un utilizzo illecito ad esempio tramite fishing o idem page; oppure quali potrebbero essere le conseguenze per un’impresa vittima di un attacco informatico che provochi, ad esempio, l’interruzione della produzione o la manomissione dei listini prezzi applicati nella vendita on-line.

Ancora, cosa potrebbe accadere ad un’impresa che opera nel settore hi-tech che scopra, casualmente, che per anni i propri computer o quelli che gli sono stati affidati in totale riservatezza da un partner all’interno di un accordo di collaborazione sono stati spiati per ottenere informazioni e che le stesse sono state rivendute ai principali concorrenti danneggiando al tempo stesso sia l’impresa che il partner.

Si pensi, infine, a cosa potrebbe accadere in termini di immagine e risarcimento danni nel caso in cui un dipendente di un ospedale renda disponibili, anche involontariamente, sul sito web della struttura dati sensibili dei pazienti.

Secondo l’ultimo report di Norton Cybercrime sono oltre 556 milioni le vittime di attacchi informatici ogni anno (in pratica un milione e mezzo al giorno, ossia 18 al secondo).

Non stupisce dunque che secondo l’Allianz Risk Barometer on Business Risks 2014, il cyber risk risulti una forma di rischio che preoccupa sempre di più le imprese.

Negli ultimi anni hanno fatto scalpore gli attacchi informatici al PlayStation Network di Sony (rubati i dati personali di 77 milioni d’iscritti), o ad Adobe Systems (38 milioni di password di utenti trafugate), ma anche nel nostro Paese, secondo la Relazione sulla politica dell’Informazione per la Sicurezza del 2013, il cyber risk è al primo posto tra i rischi che minacciano la sicurezza nazionale e le imprese italiane, con danni al sistema economico stimati in circa 20-40 miliardi di euro annui e con un costo medio per record compromesso (il cosiddetto “data breach”) di 102 euro.

Il cyber risk management, infine, coinvolge tutte le imprese, a prescindere dalla loro dimensione, rappresentando, quindi, una delle minacce più significative ed impegnative da affrontare per le imprese.

Infatti, la natura immateriale e complessa delle minacce informatiche, unita alla rapidità evolutiva che le caratterizza, rende difficile individuare efficaci, efficienti e tempestive soluzioni al problema poiché le competenze, le tecniche e gli strumenti di attacco mutano e si evolvono molto più rapidamente dei sistemi di sicurezza.

Per cyber risk management si intende l’insieme di tutte le tecniche volte ad assicurare la protezione dell’integrità, della disponibilità, della confidenzialità e della riservatezza dei dati e delle informazioni.

In particolare, il cyber risk management si svolge attraverso un articolato processo che mira ad identificare le vulnerabilità del sistema informatico, le possibili minacce e la relativa probabilità di accadimento nonché a stimarne i potenziali danni attraverso 5 fasi:

1 – identificazione delle risorse (ad esempio hardware, software, infrastrutture, dati, risorse umane) e del loro grado di vulnerabilità, cioè di facilità di essere attaccate;

2 – individuazione delle minacce, interne ed esterne all’impresa, a cui le risorse sono esposte. Ad esempio eventi naturali (fulmini, incendi, terremoti, alluvioni o allegamenti), guasti sia dell’hardware che del software, furti di dati avvenuti sia dall’interno che dall’esterno dell’impresa, errori umani, virus, crash rete, denial of service (DoS), mancato rispetto della legislazione e comportamenti illeciti;

3 – individuazione dei danni che possono derivare dal concretizzarsi delle minacce individuate, tenendo conto della loro probabilità di accadimento. I danni possono essere distinti a seconda della loro natura, della causa scatenante, del livello del loro collegamento con l’evento scatenante e delle loro conseguenze per l’impresa.

In riferimento alla loro natura è possibile individuare:

– danni materiali (danneggiamento e/o furto di macchinari, computer, server a causa di eventi naturali e non)

– danni immateriali (cancellazione, danneggiamento, furto, uso illecito di dati). Questi danni rappresentano la forma più difficile da controllare e tutelare nonché quella che ha le più significative ripercussioni sulla vita di impresa.

Con riferimento alla causa scatenante l’evento dannoso può essere:

– naturale (incendi, alluvioni, terremoti, fulmini);

– umano (errore umano, atti dolosi, comportamenti sleale di un dipendente o di un concorrente ecc).

Con riferimento al livello di collegamento con l’evento scatenante i danni possono essere:

danni diretti (ad esempio danneggiamento e/o distruzione macchinari e attrezzature; cancellazione, furto e vendita di dati, trattamento illecito di dati personali)

– danni indiretti (ad esempio costi di ripristino, acquisto nuovi macchinari, risarcimenti danni, pagamento penali, cause legali).

In relazione alle conseguenze per l’impresa è possibile classificare i danni in:

– danni economici che portano ad una riduzione del fatturato (ad esempio sanzioni economiche, riduzione efficienza operativa in seguito al blocco delle attività e degli impianti, costi di ripristino, risarcimento danni a terzi, pagamento mute/penali)

– danni di immagine, spesso naturale conseguenza dei danni economici e riguardanti danni reputazionali, danni di immagine sia verso l’interno che verso l’esterno, perdita di clienti, di quote di mercato, di competitività.

4 – definizione di un piano di azioni sia preventive che correttive per affrontate le minacce previste o certe e da rivedere ed aggiornare periodicamente. Tali contromisure possono essere classificate sia in relazione alla loro natura che all’obiettivo perseguito.

In base alla natura è possibile individuare azioni:

– di natura tecnologica (ad esempio controllo accessi, identificazione e autenticazione utenti, tracciamento, sistemi di protezione nel trattamento e trasferimento dati, controllo delle modifiche non autorizzate dei privilegi, mascheramento dell’identità, intercettazione del traffico di rete, sovraccarico del sistema, acquisizione e manipolazione di dati e software, Advanced Persistent Threat, firewall, ecc);

– di natura organizzativa ovvero l’insieme di norme e regole adottate dall’impresa volte a garantire una sufficiente conoscenza e un corretto utilizzo del sistema informativo nell’impresa. Ad esempio l’impresa può elaborare policy per la sicurezza informatica, fare corsi di formazione, implementare idonei interventi di comunicazione.

– di natura comportamentale ovvero azioni, strettamente collegate a quelle di natura organizzativa, mirate a sensibilizzare il comportamento di tutti gli attori dell’impresa verso l’importanza di adottare comportamenti che non mettano a repentaglio la sicurezza o a intervenire tempestivamente al loro verificarsi. Gartner, società multinazionale leader nella sicurezza informatica, all’ultimo Risk Management Summit del 2014, ha sottolineato la propensione delle imprese verso il cosiddetto bring your own device (BYOD). I dipendenti con smartphone e/o tablet, collegati a sistemi esterni alla rete protetta aziendale (ad esempio agli elettrodomestici di casa), offrono agli hacker porte di accesso ai database aziendali facilmente apribili passando dai loro device privati, sicuramente meno protetti della rete interna aziendale. Per questo, Gartner prevede che entro il 2017 un terzo delle grandi imprese avrà un “digital risk officer”, che valuterà ogni aspetto della connettività digitale, al fine di garantire che le protezioni di sicurezza in essere siano adeguate, con i relativi permessi di accesso alle informazioni sensibili e la blindatura di quelle applicazioni personali che possono costituire un rischio.

In base all’obiettivo perseguito è possibile individuare azioni di:

– prevenzione: impedire ex ante che l’attacco si manifesti;

– rilevazione: rilevare, a fronte di un attacco, l’evento e/o le sue conseguenze dannose;

– ripristino: cercare di ridurre i datti attraverso il ripristino, quanto più immediato possibile, dei sistemi.

5 – effettuare un’analisi costi/benefici degli investimenti necessari per dotarsi delle contromisure individuate.

Ma quali strumenti hanno le imprese, soprattutto le PMI, per difendersi da questi attacchi?

La rapida evoluzione delle tecnologie ICT ha fatto sì che oggi la sicurezza si sposti dalla protezione della rete aziendale alla difesa dei singoli dati, ormai non più custoditi in un unico server centrale (l’impresa), ma presenti nei personal computer, nei device mobili, nei tablet delle persone e, quindi, trasmissibili anche al di fuori della rete aziendale con un più alto livello di rischio.

Con la diffusione del cloud, dei device mobili (che incrementano i rischi legati al citato BYOD) e della cosi detta Internet of Things (dal 2008 il numero degli oggetti collegati fra loro e a Internet ha superato l’attuale popolazione terrestre), infatti, gli utenti si scambiano di continuo informazioni sensibili anche fuori dalla rete aziendale protetta, rischiando così di mettere in crisi la stessa impresa.

Tutto ciò porterà inevitabilmente a un aumento delle minacce di attacco o di spionaggio industriale, specie ai danni delle PMI, sia perché meno protette delle grandi imprese sia perché possibili collegamenti per accedere a queste ultime in qualità di fornitori, consulenti, clienti ecc.

Alla luce di queste osservazione, pertanto, la protezione incentrata sul dato e non sull’impresa è oggi l’unico modo per avere sotto controllo i propri dati e difendere l’impresa.

Bisogna criptare il dato in modo che solo chi dispone della corretta chiave lo possa utilizzare.

Oggi le imprese più attente in campo security usano questo sistema per mandare cedolini paga, informazioni mediche, informazioni riservate solo a un ben preciso dipendente.

Nemmeno l’IT manager può conoscerne il contenuto poiché i dati sono criptati con un sistema di cifratura che può arrivare a 2048 bit, simile quindi a quello delle comunicazioni militari.

La criptatura funziona come una banca: ogni dipendente ha una propria cassetta di sicurezza digitale dove solo lui può accedere.

Nonostante ciò la cultura del rischio informatico si mostra ancora limitata, soprattutto nelle PMI, anche a causa delle minori disponibilità economiche.

Le imprese, infatti, ritengono sufficiente per difendersi dal cyber risk stipulare tradizionali polizze assicurative che, in realtà, coprono solo i danni materiali dovuti ad eventi naturali (incendi, terremoti, allagamenti, ecc) ed i conseguenti danni indiretti.

Tali polizze non coprono tuttavia i danni immateriali che rappresentano, oggi giorno, la più pericolosa forma di cyber risk e, conseguentemente, le perdite derivanti da eventi quali un virus informatico, un errore umano, un’introduzione nel sistema di informatico che comporta la perdita di dati o la trafugazione degli stessi.

Inoltre, le polizze tradizionali si basano su un concetto di territorialità del rischio, mentre la digitalizzazione delle informazioni ha sancito il venir meno di tale concetto.

La gestione dei dati di un’impresa italiana potrebbe, potenzialmente, essere delocalizzata ad un terzo soggetto (outsourcer) localizzato dall’altra parte del mondo e privo di copertura assicurativa.

Per queste ragioni le imprese dovrebbero guardare verso pacchetti assicurativi evoluti che tutelano i moderni cyber risk anche con riferimento ad errori commessi da outsourcer ed indennizzano nuove fattispecie di rischio come il DoS sempre più patito sia dai clienti che dai fornitori.

© Copyright – Riproduzione riservata

(Fonte IPSOA http://www.ipsoa.it/documents/impresa/rischi-dimpresa/quotidiano/2014/09/19/cyber-risk-management-come-difendersi-dai-rischi-informatici)