Luigi Dell’Olio
Milano I l rischio maggiore è di sottovalutazione, nella convinzione che sia sufficiente dotarsi di antivirus (nel caso dei privati) o di policy aziendali adeguate per scongiurare attacchi informatici. I cyber risk sono diventati una delle maggiori fonti di preoccupazione a livello globale per la loro capacità di diffusione, che cresce a un ritmo molto più rapido rispetto alle capacità di difesa. Zurich e il think thank internazionale Atlantic Council hanno realizzato un report che si concentra proprio sul tema dei cyber risk, sulla sua portata (nel 2013 sono stati censiti 740milioni di attacchi, con ricadute economiche enormi, anche se pressoché impossibili da stimare) e sulle possibili armi di contrasto. «L’aspetto più importante da considerare è la rapidità con cui si diffondono i rischi legati a Internet e all’informatica più in generale — sottolinea Saverio Longo, ceo di Zurich Global Corporate in Italia — La rapidità è di gran lunga maggiore a quella che caratterizza lo sviluppo dei sistemi di difesa». Una considerazione che crea preoccupazione in merito a quello che possiamo attenderci per gli anni a venire, anche in considerazione del fatto che finora non si è mai registrata una vera e propria crisi globale legata al mondo di Internet. All’inizio di questo secolo è scoppiata la bolla finanziaria dei titoli legati alla New Economy, ma i vecchi campioni sono stati sostituiti da nuovi leader che hanno scalato le classifiche di capitalizzazione borsistica. Né vi è mai stato un blackout nelle reti tale da bloccare (se non per un tempo limitato) le comunicazioni tramite Web. Scorrendo il report si ha la sensazione che una crisi sistemica sia da mettere in conto nel medio- lungo periodo. «Effettivamente è così — ribatte Longo — Uno shock della Rete non può essere escluso a priori, ma si possono mettere in campo azioni virtuose per garantire una rapida ripresa dell’attività in caso di blocco ». I rischi principali, avvertono gli autori del report, derivano dall’aggregazione di minacce, un po’ come è avvenuto a partire dal 2008 sui mercati finanziari: «In pochi avevano previsto una crisi sistemica della finanza e dell’economia perché appariva difficile ipotizzare il realizzarsi concomitante di diversi problemi», sottolinea l’esperto. Nel paper vengono indicati sette aggregatori di rischi, a partire dalla divisione It delle aziende: «Anche se il dipendente è chiamato a un obbligo di fedeltà verso la sua società, sono numerosi i casi di attacchi informatici condotti proprio per mano di risorse interne, con l’obiettivo di carpire dati e informazioni sensibili ». Il secondo aggregatore è relativo ai partner e alle controparti dell’azienda: «L’esempio tipico è quello relativo a una joint-venture: la collaborazione nel business porta a concedere a soggetti esterni l’accesso alle strutture informatiche, con tutti i rischi connessi». Considerazioni simili valgono per i contratti di outsourcing, che affidano a società esterne alcune parti dell’attività informatica. La quarta criticità riguarda la supply chain, intesa sia negli aspetti più visibili (come il fornitore dell’azienda, che si interfaccia nei vari passaggi della logistica), sia il subfornitore della controparte: «Non è possibile avere un controllo totale di tutti gli anelli che compongono la catena logistica, per cui occorre mantenere sempre alta la struttura dei controlli », è il consiglio che arriva dal report. Un ambito fin qui poco esplorato è relativo alle tecnologie cosiddette disruptive, quelle cioè che «possono garantire vantaggi considerevoli in termini di efficienza, qualità, quantità e modalità con cui facciamo le cose, ma che al contempo ci possono mettere di fronte a rischi che non avevamo previsto». Un esempio per tutti è relativo alle auto senza guidatore che dovrebbero arrivare in commercio a breve: il vantaggio di potersi muovere in città senza stress di guida deve fare i conti con possibili imprevisti, come la possibilità che il mezzo non risponda ai comandi per un improvviso problema ai computer interni. In queste situazioni, destinate a crescere di numero a fronte dell’avanzata di tecnologie come l’Internet delle cose e l’automazione, è difficile anche immaginare soluzioni, per cui non resta che prepararsi ad affrontare le emergenze per non farsi cogliere impreparati. Il sesto aggregatore di rischi viene identificato come upstream infrastructure e fa riferimento all’interconnessione tra reti di telecomunicazioni ed elettricità e altre infrastrutture importanti che ci mettono in condizione di lavorare sulla rete. «Eventi estremi, anche di carattere naturale, possono compromettere il funzionamento della Rete, di fatto bloccando molte attività di business che ormai viaggiano solo su Internet». Queste riflessioni valgono anche per l’ultima serie di minacce, relativa agli shock esterni, magari derivati da alluvioni o terremoti. «Questo è il caso tipico in cui poco si può fare a livello preventivo — sottolinea Longo — Qui entra in gioco l’utilità di sottoscrivere una polizza, che scarichi almeno una parte dei rischi sulla compagnia assicurativa». Per il report, i rischi principali per la Rete derivano dall’aggregarsi di minacce, un po’ come è avvenuto a partire dal 2008 sui mercati finanziari