Alle Origini del Rischio Cyber

Gli attacchi cyber evolvono nella pericolosità e colpiscono un numero sempre più elevato di aziende. Sono molte le forme di un fenomeno dilagante che richiede azioni di prevenzione e un’adeguata tutela assicurativa.

Tutti noi negli ultimi anni abbiamo goduto di un’evoluzione tecnologica straordinaria, che ha cambiato le nostre abitudini di vita: pensiamo all’acquisto di viaggi online, alla spesa fatta dal proprio divano attraverso un tablet, o al controllo del termostato di casa dal proprio smartphone e, più in generale, a tutto il mondo dell’IoT (Internet of Things).

Se sono così immediati i benefici per gli individui, è altrettanto chiaro quanto a livello aziendale, facendo la debita proporzione, la tecnologia possa favorire l’efficacia e l’efficienza di alcuni processi. In questo contesto è facile concentrarsi sui vantaggi e lasciarsi trasportare dall’entusiasmo per un mondo interconnesso, che permette di fare video conferenze con le parti più remote del pianeta, di lavorare in “smart working”, ecc.

Nel valutare i benefici della digital transformation non bisogna però dimenticare che a ogni opportunità è sotteso un rischio, in questo caso il rischio cyber, che oggi è sempre più pervasivo. Secondo un recente studio dei Lloyd’s of London, le stime di danno per un attacco cyber potrebbero raggiungere i 120 miliardi di dollari, pari alle conseguenze di una catastrofe naturale come i recenti uragani Harvey e Irma.

Parlando di cyber risk, l’attenzione va subito a quelli che vengono comunemente definiti cyber attack: in questi casi ancora troppo spesso si pensa di essere di fronte a un sedicenne con felpa e cappuccio che dalla sua camera lancia attacchi cibernetici con il solo obiettivo di creare scompiglio e di divertirsi. Non è purtroppo così, si tratta di organizzazioni criminali molto strutturate, che vedono in questo tipo di attività illegale un business estremamente profittevole.

PIÙ ESPOSTA LA GERMANIA

Se guardiamo all’Europa, i paesi più colpiti da attacchi cyber nel 2016 sono stati Germania (19%), Belgio (16%), Gran Bretagna, a pari merito con la Spagna (12%), e in quarta posizione l’Italia (7%) – dato Marsh & McLennan Companies e Fire-Eye.

Questa tipologia di attacchi può essere definita come “causa esterna” di rischio cyber. Si pensi a Wannacry e Petya/Goldeneye: gli hacker, in questi casi, hanno utilizzato dei ransomware, malware che bloccano l’accesso ai dati di un dispositivo rendendolo inutilizzabile se non a fronte del pagamento di un riscatto. In realtà, il rischio cyber non si limita ai soli cyber attack, ma è ben più ampio.

Fra le “cause esterne” del rischio cyber rientrano anche i cambiamenti legislativi/normativi. Guardando all’Europa il GDPR (General Data Protection Regulation), il regolamento europeo in tema di tutela dei dati personali, prevede – tra l’altro – per le aziende che hanno subito un data breach l’obbligo di notificarlo ai soggetti interessati oltre che alle autorità competenti. La mancata osservanza di questa, come di altre prescrizioni che saranno effettive in tutti gli Stati membri a partire da maggio 2018, sarà punita con multe che possono arrivare al 4% del fatturato globale dell’azienda.

LE CAUSE INTERNE DEL RISCHIO CYBER

Al di là delle “cause esterne”, non vanno sottovalutate le “cause interne”. Basti pensare allo sviluppo di nuovi software o all’aggiornamento delle piattaforme in essere: in entrambi i casi si possono presentare problemi nell’integrazione con i sistemi pre-esistenti, risultanti in una system failure con conseguente interruzione dell’attività.

Fra le “cause interne” di rischio cyber, c’è innanzitutto l’elemento umano, spesso sottovalutato: l’anello debole della catena è proprio l’uomo che, per semplice disattenzione o animato dalla volontà di danneggiare l’azienda, può provocare danni ingenti, trasformandosi in complice, involontario, dei criminali.

Nel corso dell’ultimo anno, un attacco mirato su tre è stato lanciato attraverso phishing o più recentemente anche tramite il social engineering. Gli esempi sono i più vari: il contabile distratto che apre un file contaminato mascherato da fattura, il collega che clicca su un file apparentemente urgente inviato da un’azienda cliente, etc.

PREVENZIONE E COPERTURE PER MITIGARE IL RISCHIO

Per far fronte a questi eventi, oggi esistono coperture assicurative a tutela delle esposizioni ai rischi cyber. La soluzione assicurativa è parte integrante e conclusiva del processo di cyber risk management, che consente di far fronte a un danno finanziario causato da un rischio cyber. L’elenco di ciò che può coprire una polizza è sempre più ampio e consolidato: mancato guadagno derivante dall’interruzione dell’attività, spese di consulenza per la gestione della crisi, danni da estorsione, spese legali – incluse quelle di notifica – e danni a terzi. In realtà, gran parte del lavoro va fatta a monte, attraverso un’attività di gestione dei rischi che può prevedere vulnerability assessment, penetration test, azioni di cyber intelligence, piani di gestione delle emergenze e disaster recovery plan.

Guardando agli standard di gestione del rischio o a quelli che dovrebbero essere modelli di eccellenza, oggi ne esistono diversi. Fra questi, la ISO27001 è dedicata all’implementazione in azienda di un adeguato sistema di gestione della sicurezza delle informazioni (SGSI), che prescinde dal settore di business e identifica 14 aree su cui esercitare oltre 100 controlli. È evidente che se da un lato la “spinta” tecnologica sempre più accelerata a cui siamo sottoposti continuerà a semplificare le nostre vite, dall’altro ci richiederà di essere pronti ad affrontare nuove sfide: sarà fondamentale esplorare strade alternative per continuare a cogliere i benefici della trasformazione digitale, senza perderne di vista i rischi. Solo in questo modo saremo pronti a vivere il futuro.