di Massimo Michaud*

È di questi giorni la notizia che il Ceo di British Airways si è scusato pubblicamente perché la compagnia ha subito un attacco informatico finalizzato a rubare i dati personali e finanziari di 380 mila clienti. La stessa compagnia, nel maggio 2017, era stata costretta a cancellare in tre giorni 726 voli, bloccando 75 mila passeggeri e con un danno di 100 milioni di sterline, per un incidente che, nella versione ufficiale, era stato causato da problema elettrico del sistema computerizzato. Il tema della cosiddetta cybersecurity è centrale per tutte le imprese e i rischi operativi legati agli attacchi ai sistemi Itc sono rilevanti. Se consideriamo solo gli attacchi informatici più importanti tra quelli conosciuti, nel 2017, nel mondo, se ne sono contati 1.120 che hanno causato 500 miliardi di dollari di danni. Gli aggressori possono cercare di ottenere vantaggi finanziari o limitarsi ad azioni dimostrative, come avvenuto di recente per la piattaforma Rousseau del M5S, spesso accompagnate da atti di vandalismo che distruggono le base dati o cercano di intaccare la reputazione di determinati operatori. In Italia, in base al Rapporto Clusit, gli attacchi informatici causano danni per quasi 10 miliardi di euro. Un valore dieci volte superiore a quello degli attuali investimenti in sicurezza informatica, che arrivano oggi a sfiorare il miliardo di euro. La Banca d’Italia, nella sua indagine conoscitiva, ha rilevato che un’impresa su tre ha avuto a che fare con dei cybercriminali e, cosa ancora più preoccupante, che le imprese che hanno subito un primo attacco, nel 50% dei casi ne hanno subito un secondo dopo qualche tempo, in quanto riconosciute come maggiormente vulnerabili. Per far fronte alla costante minaccia che degli hacker superino le barriere di protezione e si introducano nei sistemi Itc dell’impresa, occorre agire, come minimo, a tre livelli.

1) Effettuare un diagnostico delle specifiche vulnerabilità del sistema. Ogni impresa deve prima di tutto fare un’analisi personalizzata. Spesso presso le Pmi, i problemi sono evidenti, ad esempio non vengono effettuati tempestivamente gli aggiornamenti del software con i patch di sicurezza rilasciati dai fornitori.
2) Rivedere i processi di governance e di controllo interni all’impresa. Capita, ad esempio, che alcune grandi imprese si dotino di processi molto sofisticati di controllo presso la sede principale, ma non applichino le stesse precauzioni presso gli stabilimenti posti in paesi terzi che sono integrati, però, con casa madre. Nel definire i controlli, occorre prestare attenzione al perimetro da proteggere: con gli operatori che accedono dall’esterno ai sistemi dell’impresa, si deve ricorrere a processi e strumenti di controllo, ad esempio quelli innovativi posti nel cloud, che sono in grado di proteggere i collegamenti sia interni che esterni.
3) Identificare e correggere i comportamenti che mettono a rischio l’impresa. A detta di tutti gli esperti di cybersecurity, l’anello più debole dei sistemi Itc è quello delle persone che li utilizzano. Non informati adeguatamente, i collaboratori possono diventare alleati involontari degli aggressori informatici, come nei casi di phishing, o addirittura complici involontari, come ad esempio in quei casi in cui sono stati inviati bonifici su conti degli hacker, pensando di ottemperare a disposizioni provenienti da superiori gerarchici o fornitori. La sensibilità degli imprenditori industriali italiani, secondo l’ultima edizione dell’Osservatorio Mediobanca -Cineas che presenteremo al Politecnico di Milano il prossimo 6 novembre, è molto diffusa: essi classificano il rischio informatico al secondo posto, subito dopo la sicurezza sul lavoro. Stupisce invece, sempre secondo lo stesso rapporto, che la maggior parte di loro non sappia che i rischi informatici si possono mitigare tramite l’assicurazione.

Esistono soluzioni estremamente performanti per attenuare il cyber risk proposte da compagnie specializzate: esse prevedono l’intervento immediato di tecnici informatici per circoscrivere i danni provocati da attacchi informatici e per ripristinare la situazione, nei casi meno gravi, entro poche ore, la copertura dei danni di responsabilità civile eventualmente causati da un programmi malevoli ai propri clienti o ai fornitori, la messa a disposizione di un supporto legale e il concorso alle spese di pubblicità per la gestione della crisi. Polizze poco conosciute e ancora poco diffuse anche perché non sempre facili da spiegare o da proporre anche per chi le commercializza. Quindi, per difendere i sistemi Itc oltre a concentrarsi sulla tecnica non bisogna dimenticare le persone: informare e formare con dedizione i collaboratori è necessario per evitare rischi in un mondo che richiede sempre maggiori conoscenze tecnologiche.

*presidente Cineas

Fonte: