L’edizione 2019 del Cyber Security Risk Report “What’s Now and What’s Next” realizzato dagli specialisti per le Cyber Solutions di Aon ha individuato otto principali aree di rischio per la sicurezza informatica che le organizzazioni si troveranno ad affrontare nel corso di quest’anno.
Lo studio ha messo in evidenza come la tecnologia e il passaggio al digitale delle aziende di tutti i settori abbiano portato con sé grandi opportunità per le imprese, velocizzando il trasferimento di informazioni e creando nuove opportunità di business, ma anche un sensibile aumento dei rischi da presidiare. I rapidi e continui cambiamenti tecnologici hanno portato ad un forte aumento nel numero di touch point ai quali i criminali informatici possono avere accesso all’interno di un’azienda.
“Nel 2018 abbiamo osservato come l’adozione di una pianificazione e preparazione proattiva in ambito informatico abbia dato i suoi frutti alle aziende che hanno investito in tal senso e nel 2019 ci aspettiamo che la necessità di una pianificazione ancora più serrata non potrà che accelerare ulteriormente”, ha dichiarato J. Hogg, CEO di Cyber Solutions di Aon. “I top manager devono lavorare per difendere sempre meglio le loro aziende e i loro processi, identificando al contempo come poter meglio beneficiare delle opportunità offerte dalla tecnologia e dalla trasformazione digitale. L’edizione 2019 del report di Aon ha messo inoltre in evidenza come le organizzazioni debbano riconoscere la necessità di condividere le informazioni provenienti dalle fonti di Threat Intelligence non solo sulla propria rete, ma anche all’esterno. La collaborazione all’interno dell’azienda e tra le imprese e i settori può infatti contribuire a migliorare la sicurezza dei dati delle aziende e degli individui. Lavorare insieme può portare a un’ottimizzazione degli sforzi per fronteggiare gli hacker, innalzando al contempo la soglia di attenzione e rendendo tutte le parti più preparate a gestire un possibile attacco cyber”.
Principali aree di rischio individuate dal Cyber Security Risk Report 2019:
1. Tecnologia – Mentre la tecnologia ha rivoluzionato il modo in cui le organizzazioni oggi fanno business, il suo uso più ampio e diffuso porta inevitabilmente con sé anche delle vulnerabilità. Dall’editoria all’automotive, tutti i settori si trovano di fronte a servizi e modelli di business in continua evoluzione. Queste nuove opportunità comportano anche una serie di rischi diversi rispetto a quelli già incontrati in passato, che le aziende dovranno saper anticipare e gestire mano a mano che proseguirà il processo di trasformazione digitale.
2. Supply Chain – Due sono i principali trend nella supply chain che aumenteranno drasticamente i rischi informatici: uno è dovuto alla rapida espansione dei dati operativi esposti agli hacker, dai dispositivi mobili agli hedge device come l’Internet of Things (IoT); l’altra tendenza è la crescente dipendenza delle aziende da fornitori di servizi terzi o addirittura quarti. Entrambi i trend offrono agli hacker nuove falle nelle catene di approvvigionamento e richiedono una gestione del rischio che coinvolga il top management e i Consigli di Amministrazione, applicando una gestione del rischio lungimirante per promuovere business operation affidabili e redditizie. Secondo i dati di IDG Research, per questioni di sicurezza il 25% delle aziende non ha ancora messo in campo un approccio di tipo Cloud First e per il Ponemon Institute il 59% delle aziende nel Regno Unito e negli Stati Uniti ha subito un data breach attraverso terze parti, ma solo il 35% di loro valuta i programmi di gestione del rischio delle terze parti come realmente efficaci. La regolamentazione giuridica nell’ambito della sicurezza informatica ritiene inoltre responsabili le aziende anche nel caso in cui la violazione di dati sia dipesa da un fornitore.
3. IoT (Internet of Things) – I dispositivi dell’Internet of Things, come i sistemi di conferenza, le telecamere di sicurezza, le stampanti e i sistemi di automazione degli edifici, sono presenti ovunque e ogni device sul posto di lavoro rappresenta un potenziale rischio per la sicurezza informatica dell’azienda. Molte imprese non presidiano abbastanza questo aspetto, non tenendo nemmeno un inventario di tutti i dispositivi dell’IoT che interessano il loro business, il che si traduce in possibili violazioni. Secondo uno studio del Ponemon Institute condotto nel 2018 il 52% delle aziende che ha tenuto un inventario degli IoT ha dichiarato di avere 1.000 dispositivi IoT, mentre la media individuata dal report sarebbe di oltre 15.000 IoT. Col passare del tempo, il numero di dispositivi di IoT crescerà drasticamente, anche grazie all’attuale diffusione di cellulari IoT e dalla prossima transizione al 5G. Il 21% delle aziende ha subito nel 2018 una violazione di dati a causa di dispositivi IoT non garantiti e il 18% ha dichiarato che gli attacchi sono stati causati da dispositivi di terze parti. Un inventario efficace a livello organizzativo e l’implementazione di un processo di monitoraggio saranno quindi di fondamentale importanza per le aziende nei prossimi anni.
4. Business operations – La connettività a Internet migliora notevolmente le mansioni operative, ma porta anche a nuove vulnerabilità nella sicurezza delle aziende. La superficie di attacco si espande notevolmente con l’aumento del grado di connettività, rendendo più facile per i criminali informatici spostarsi all’interno di un’intera rete. Le infezioni da malaware possono portare al blocco dei sistemi manifatturieri e potenzialmente anche di una rete elettrica. Il malware Notpeya ha causato miliardi di dollari di danni ad aziende multinazionali appartenenti a diversi settori (dallo shipping al farmaceutico, dalla costruzione al manifatturiero). I ramsomware possono portare al fermo delle operazioni di business criptando i dati dell’azienda, come è successo con WannaCry, che ha attaccato più di 230.000 computer, e chiesto alle aziende violate il riscatto in bitcoin per riavere accesso ai propri dati. Inoltre, scorciatoie operative o processi di backup inefficaci possono rendere ancora più rilevante l’impatto di un attacco cyber sulle business operation. Le organizzazioni devono essere più consapevoli e preparate al cyber-impatto derivante dall’accresciuta connettività.
5. Dipendenti – I dipendenti rimangono una delle cause più comuni di violazione, anche se spesso essi non si rendono conto dell’entità della minaccia che rappresentano per la sicurezza informatica dell’intera organizzazione. Le aziende sempre più spesso concedono ai loro dipendenti un maggiore accesso ai dati, il che comporta un aumento dei rischi. Inoltre il cloud computing sta intensificando il problema dello Shadow IT3. Poiché la tecnologia continua ad avere un impatto su ogni funzione di lavoro, dal CEO allo stagista entry-level, diventa obbligatorio per le aziende stabilire un approccio globale per ridurre i rischi interni alle organizzazioni, tra i quali una governance dei dati solida, una condivisione delle politiche di sicurezza informatica a tutta l’organizzazione e l’implementazione di controlli di accesso e di protezione dei dati efficaci. In una survey4 del 2018 condotta su un campione di professionisti che operano nella sicurezza informatica, il 53% ha dichiarato di aver subito un attacco nell’ultimo anno proveniente da un interno all’azienda. Il 51% dei rispondenti era più preoccupato che la causa dell’attacco derivasse da un errore accidentale del dipendente (come cliccare su dei link di phishing) rispetto ad un’azione fatta con dolo (47% dei rispondenti).
6. Fusioni e acquisizioni (M&A) – Secondo le proiezioni fatte dall’IMAA Institute, il valore delle operazioni di M&A supererà i 4 trilioni di dollari nel 2018, il dato più alto registrato negli ultimi quattro anni. Il dilemma in cui si vengono a trovare le aziende che acquisiscono altri business è che, sebbene esse abbiano un chiaro processo di gestione del cyber risk, non hanno alcuna garanzia che l’azienda target avrà lo stesso orientamento. I criminali informatici sempre più spesso prendono di mira le aziende che vengono acquisite da aziende più grandi nel periodo tra l’annuncio del deal e il closing dell’operazione. Nel 2017 un’azienda target del settore media è stata costretta ad abbassare il suo prezzo d’acquisto di 350 milioni di dollari quando si è verificato un attacco tra l’annuncio del deal e il suo closing. E nel settore sanitario quasi 80 milioni di cartelle cliniche di pazienti è finita nelle mani di un governo straniero a causa di un attacco che ebbe inizio con un’e-mail di phishing aperta da un dipendente di un’azienda target di acquisizione di una grande gruppo assicurativo. I professionisti che operano in prima linea nelle operazioni di M&A devono quindi essere pronti a prevedere specifiche policy di sicurezza informatica nei loro piani di M&A per assicurarsi la buona riuscita dei deal.
3 Shadow IT: sistemi e soluzioni IT implementati e usati all’interno delle organizzazioni senza l’approvazione esplicita dell’organizzazione stessa. 4 Insider Threat Report 2018 di Crowd Research Partners.
7. Regolamentazione – La maggiore regolamentazione del cyberspazio è volta a proteggere e “isolare” le imprese e i suoi clienti da attacchi informatici. La velocità di applicazione di leggi, regolamenti e standard in ambito cyber è aumentata nel 2018, ponendo le basi per un aumentato rischio di conformità nel 2019. Tuttavia la regolamentazione e la conformità alle normative non possono diventare l’unico obiettivo. Le imprese devono trovare il giusto equilibrio tra le nuove normative e le minacce informatiche in continua evoluzione, che richiederanno un controllo serrato su tutti i fronti.
8. Consigli di Amministrazione – Il presidio della sicurezza informatica continua ad essere una priorità per i Consigli di Amministrazione e il top management. Gli ultimi episodi di data breach hanno visto un aumento delle responsabilità a carico dei manager: si sono verificati dei casi in cui gli azionisti di aziende violate hanno fatto causa ai loro manager. Secondo una survey condotta nel 2018 dal BDO Center for Corporate Governance and Financial Reporting, 3/4 dei Consigli di Amministrazione dichiarano di essere maggiormente coinvolti nella sicurezza informatica rispetto all’anno precedente. I CdA devono continuare ad innalzare la soglia di attenzione per la gestione del rischio cyber, non solo intraprendendo azioni per riparare ai danni conseguenti un incidente informatico, ma anche nell’ambito di una preparazione e pianificazione proattiva della sicurezza informatica.