Rischio informatico e nuovo regolamento G.D.P.R.: come proteggere l’azienda?
“Un salto quantico”. Cosi l’ultimo rapporto sul rischio informatico del Clusit (QUI per scaricarlo) definisce il salto di qualità della minaccia cyber nel mondo nel corso del 2017, con i suoi oltre 500 miliardi di dollari di danni. Una netta accelerazione dei fenomeni è stata riscontrata tra il 2016 e il 2017, tanto da essere riportata al 3° posto tra i maggiori rischi globali nell’ultima edizione “Global risk report” del “World economic forum”. Il campione sotto esame nello studio del Clusit è rappresentato dall’analisi puntuale degli attacchi conosciuti; trattasi quindi di numeri in difetto rispetto alla realtà delle cose.
Dovendo riassumere quanto emerso nell’ultimo anno potremmo fissarlo in 3 punti:
- Il trionfo del malware
- Attacchi industrializzati su scala globale
- Discesa in campo degli Stati come attori di minaccia
Quest’ultimo punto è particolarmente preoccupante date le dinamiche di instabilità politica e sociale che è in grado di innescare. Tutti, del resto, abbiamo sotto gli occhi in questi giorni le polemiche sulle presunte interferenze di natura “cyber” sulle elezioni americane e francesi.
Ma che cos’è un malware?
Il termine “malware” indica qualsiasi tipo di software dannoso sviluppato con l’obiettivo di infettare computer o dispositivi mobile. Gli hacker lo utilizzano ad esempio per sottrarre informazioni personali, password o denaro oppure per impedire agli utenti di accedere ai propri dispositivi.
Sulla frequenza di utilizzo di questo strumento di attacco, è eloquente la tabella che segue che descrive il numero di attacchi gravi sul campione totale:
|
|
2016 |
2017 |
var |
| Malware | 229 | 446 | +94,76 % |
| Phishing / Social Engineering | 46 | 52 | +13,04 % |
| Account hacking | 76 | 102 | +34,21 % |
| Multiple techniques | 59 | 63 | 6,78 % |
L’importante considerazione che riporta testualmente lo studio del Clusit in merito è la seguente: “Il fatto che la somma delle tecniche di attacco più banali (come Phishing o malware “semplice”) rappresenti ben il 68% del totale (era il 56% nel 2016), implica che gli attaccanti riescono ancora a realizzare attacchi di successo contro le loro vittime con relativa semplicità e a costi molto bassi, oltretutto decrescenti.”
E’ palese, quindi, come la convenienza e la facilità (nel dark web sono disponibili software di attacco scaricabili gratuitamente con tanto di guida online e di help desk) di utilizzo di tali strumenti stia spostando l’attenzione di criminali e malintenzionati comuni dagli asset fisici (denaro, gioielli, auto ecc.) verso il cyber crime.
La nuova frontiera dell’O.T.
Siamo abituati ad utilizzare l’espressione I.T. (Information Technology) per indicare l’utilizzo delle infrastrutture di telecomunicazione necessarie per memorizzare, recuperare, trasmettere e manipolare dati, spesso nel contesto di un’attività commerciale o di un’altra attività economica. Oggi l’industria 4.0 è alle porte e le innovazioni che porterà in ambito O.T. (Operation Technology) saranno dirompenti. L’o.t., comprendente le applicazioni software a supporto della gestione e della continuità del servizio operativo di un’azienda, diverrà la nuova superficie d’attacco per i crimini del prossimo futuro.
Gli approcci di protezione dei sistemi I.T. ed O.T. sono esattamente agli antipodi (vedi tabella che segue). E’ necessario quindi affrontare il tema della sicurezza in azienda approcciando queste due infrastrutture con il giusto ordine di priorità quanto a valutazione dei rischi.
| Priorità di cyber sicurezza (dato sicuro se) | I° | II° | III° |
| Information Technology | Riservatezza | Integrità | Disponibilità |
| Operation Technology | Disponibilità | Integrità | Riservatezza |
In un’azienda industriale, infatti, un sistema deve essere considerato “sempre acceso” e, a seconda dell’utilizzo più o meno critico, deve prevedere tempi di ripartenza ridottissimi. Proteggere questi assets in modo corretto sarà la chiave per garantire la continuità del business.
E’ possibile trasferire i rischi al mercato assicurativo?
Più volte nel recente passato abbiamo affrontato il tema della cyber insurance (Puoi approfondire in QUESTO recente post) evidenziando un mercato ancora piuttosto “acerbo”, ma in fermento. Le Compagnie tendono a restare alla finestra rispetto ad un rischio ancora difficile da ponderare a livello attuariale, anche se alcune (AIG e CHUBB su tutte) offrono già ora soluzioni sia per il danno diretto subito (perdita del dato e ripristino) che per quello indiretto (perdita di fatturato conseguente). L’aspetto che rappresenta il vero cambiamento nel mondo assicurativo è rappresentato però dai servizi a complemento dell’offerta, come i costi di “reazione” e di “crisis management”.
Se immaginiamo infatti un incendio, le imprese si sono dotate negli anni (un po’ per obbligo, un po’ per propria iniziativa) di strumenti di allarme, controllo ed estinzione. Nel cyber risk siamo agli inizi. Un attacco che paralizzi l’attività, magari con perdita di dati sensibili, va gestito nel modo migliore ENTRO IL MINOR TEMPO POSSIBILE. Ecco che quindi, in ottica di riduzione del danno sofferto (vedi spese di salvataggio ex Art. 1914 c.c.) l’assicurato può usufruire di servizi di gestione della crisi, sia a livello di comunicazione che tecnico, fruiti da strutture specializzate che possono guidare l’azienda nel gestire la situazione e recuperare l’operatività nel minor tempo possibile. POI, si quantificano i danni.
Il G.D.P.R. e il nuovo concetto di sicurezza dei dati.
In QUESTO recente articolo abbiamo affrontato il tema del Regolamento Europeo n.679 del 27 aprile 2016, applicabile a pieno effetto dal 25.05.2018. Ad oggi (mentre scrivo mancano esattamente 2 mesi) non è ancora chiaro se il legislatore italiano abbia intenzione di abrogare il vecchio Codice Privacy 196/03 o meno, ad ogni modo i Regolamenti entrano in vigore e sono validi a tutti gli effetti per gli stati membri, senza necessità di decreti di armonizzazione.
E’ innanzitutto interessante notare come nel testo (in inglese), la parola “privacy” non compaia. Nemmeno una volta. Ciò a dimostrare come il legislatore abbia inteso la sicurezza del dato come diritto fondamentale ancor prima, in ordine di rilevanza, rispetto al concetto conseguente di “privacy” (intraducibile letteralmente in italiano).
La sicurezza del dato si lega a doppio filo a quanto visto sino ad ora. Per il futuro dobbiamo immaginare le nostre aziende come dei “nodi” di una struttura interconnessa a livello globale. Mentre in ambito I.T. ed O.T. proteggiamo la continuità operativa, il nuovo regolamento vuole tutelare i dati “proteggendo i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali” Art.2 G.D.P.R.
L’azienda deve quindi approntare una valutazione dei rischi in modo soggettivo, non offrendo il regolamento delle “regole” in senso stretto sulle quali basarsi ma lasciando la responsabilità dell’adeguatezza in capo ad ogni singolo titolare del dato. Successivamente sarà possibile ottenere dal mercato assicurativo il trasferimento del rischio di ricevere richieste di risarcimento da terzi inerenti a “data breach” o a difetti nel trattamento dei dati.
Tengo a precisare che anche operando in ambito B2B vengono trattati dati personali, in quanto ogni azienda è titolare dei dati dei propri dipendenti o, più banalmente, riceve e invia mail a “pincopallo@azienda.it” – sufficiente ad identificare in modo univoco la persona.
Anche in questo caso, la copertura assicurativa può prevedere il supporto di esperti per esempio nella notifica al Garante o in tutte le modalità di comunicazione al mercato del problema. (Facebook vi dice niente?) Dal maggio del 2018, infatti, tutte le imprese italiane dovranno notificare senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza al Garante della Privacy (“Garante”), ogni violazione di dati personali subita all’interno del proprio sistema informatico.
Una bella confusione!
La nuova era è fatta di dati. Le aziende operano su, e manipolano valore sui dati. Le persone generano, scambiano e pretendono la fruizione di dati. La globalizzazione offre superficie mondiale a chi è intenzionato a danneggiare per profitto questa rete irreversibile e ormai vitale per tutti noi.
Il concetto di trasferimento del rischio all’assicuratore DEVE cambiare per poter rimanere aderente alle necessità di oggi senza snaturare la propria funzione; l’imprenditore dal canto suo potrà avvalersi di servizi dinamici e strutturati che vadano oltre gli assets fisici (fabbricati, capannoni ecc..) intesi solo materialmente, creando cosi una “membrana” protettiva a tutela del proprio valore.
