di Daniela La Cava
Un cda informato e una cultura aziendale sono il primo passo. Ma non basta
Si sente sempre più spesso parlare di cyber security. È un fenomeno che è esploso negli ultimi anni, coinvolgendo diversi ambiti da quello politico a quello economico. Insomma, tutti coloro che accedono a internet possono essere vittime di attacchi informatici. Di fatto, la rapida diffusione dei dispositivi mobile come gli smartphone e l’internet of things ha aperto uno spazio illimitato e i rischi cyber sono aumentati in maniera esponenziale. Toccando vari ambiti: dalla violazione delle password del conto online o della mail al furto di brevetti aziendali.
La minaccia di attacchi è in aumento
Secondo l’ultimo “Global fraud & Risk report 2018” di Kroll, società che fornisce su scala globale soluzioni per la gestione del rischio, ben l’86% delle imprese intervistate ha dichiarato di essere stata vittima di un incidente informatico o di avere subito un furto di dati negli ultimi dodici mesi. Proprio di fronte ai crescenti timori di cyber crime, le imprese stanno iniziando ad acquistare consapevolezza dei limiti della loro conoscenza in materia e del pericolo al quale sono esposte.
“Si configurano due tipi di rischio – racconta Marianna Vintiadis (nella foto), managing director e responsabile Kroll per il Sud Europa – gli attacchi volti a distruggere/danneggiare le infrastrutture che si contrappongono quelli che puntano a recuperare delle informazioni che possono essere dati, know how aziendale oppure proprietà intellettuale”.
Non esiste una ricetta definitiva per risolvere il problema
Una società può difendersi ricorrendo a differenti tipologie di misure tecniche, software e strutture informatiche. Ma potrebbe non essere sufficiente.
“In realtà, in tutte le aziende, il punto più debole di una catena sono i suoi dipendenti – spiega Vintiadis -. Purtroppo il fattore umano domina in questo settore, per cui la principale strategia è quella dell’istruzione. È necessario fare formazione e uscire dagli schemi tradizionali. Bisogna entrare nell’ottica di capire quali sono queste minacce, tenendosi aggiornati e generare una cultura aziendale. Parte integrante della strategia di Kroll è quella di fare un’analisi di queste criticità e cercare di trasmettere questo messaggio, perché se il management non è convinto la società non potrà mai adeguarsi”.
Si prende di mira un settore, più che un Paese
Come spesso accade ci sono nazioni che hanno preso coscienza più di altre. Tra questi, gli Stati Uniti che hanno procedure e protocolli ben definiti in ambito di data breach e altri generi di attacchi informatici, mentre in Europa le imprese fanno ancora fatica.
“Al momento esistono statistiche sui Paesi più colpiti – afferma ancora Vintiadis -. Di fatto molti di questi attacchi sono sferrati su scala mondiale e non sono mirati a un determinato Paese, mentre i settori presi di mira sono ben precisi. Ci sono attacchi su larga scala, come quelli che cercano di indurre i consumatori a rivelare le loro credenziali di accesso, e attacchi più mirati come quelli industriali volti a un comparto particolare. I più esposti sono il settore sanitario, quello retail per i dati della clientela, e gli studi legali per la sensibilità delle informazioni che custodiscono e che possono essere vendute. Nella lista anche gli istituti bancari, che rappresentano l’oggetto di attacco più ovvio (anche se sono quelli meglio preparati) e infine gli impianti industriali. Spesso si è più impreparati nelle difese delle infrastrutture che non dei dati: un esempio per tutti, le flotte, che sono estremamente vulnerabili e hanno ancora tanta strada da fare sul fronte cyber”.
Capitolo Italia
Nel settore italiano della cyber security convive una situazione di arretratezza combinata a delle punte di eccellenza.
“Da un lato abbiamo tecnici che vanno in giro per il mondo a mettere in sicurezza sistemi e infrastrutture, dall’altro nel nostro Paese le aziende sono mediamente impreparate – sottolinea Vintiadis -. È evidente che nella nostra cultura mediatica le notizie sulla sicurezza informatica non sono predominanti e, finché non vedremo dei titoli sui giornali, nessuno si renderà conto della portata e dell’impatto devastante che questi attacchi possono avere”.
Nell’ultimo anno Kroll ha seguito attacchi di diversi livelli in Italia. Un esempio è quello del falso amministratore delegato.
“Qualcuno riceve una mail da un superiore ai vertici della gerarchia, tipicamente l’a.d, che gli chiede di fare un pagamento senza parlarne con nessuno – raccontano da Kroll -. La persona agisce sotto il comando del suo superiore. Peccato che la mail in realtà sia falsa”.
In Italia il problema è duplice. Si tratta di un attacco molto noto eppure se ne parla poco, la maggior parte delle imprese non ne è a conoscenza.
“La cosa ancora più tremenda è che proprio perché è così noto, quando viene sferrato alle filiali delle multinazionali le persone vengono licenziate poiché non è credibile che vi siano incappate in buona fede. Sospettati di avere collaborato, oltre ad essere vittime, perdono pure il posto di lavoro”.
Un valore aggiunto
Avere un consiglio di amministrazione informato su tutte quelle che sono le policy del mondo della cyber security rappresenta un elemento positivo.
“Se un cambiamento deve avvenire all’interno dell’azienda deve partire dall’alto. Il cda fino ad oggi non si è mai occupato di queste questioni e molto spesso non ha le competenze tecniche. Soltanto adesso le aziende più grandi cominciano a cercare persone con competenze tecniche da mettere nel cda. Ma solo se quest’ultimo capirà l’importanza del pericolo potrà introdurre questo elemento nella strategia aziendale”.
L’articolo integrale è stato pubblicato sul numero di ottobre del magazine Wall Street Italia.