di Justyn Hardcastle, agente assicurativo di Lloyd’s presso TokioMarineKiln.
Con il rapido avvicinarsi del Natale, questo è un periodo caldo per il mondo del Retail, che non solo sente la pressione di realizzare delle vendite significative, ma ha anche bisogno di guardarsi dal rapido aumento di minacce informatiche che il periodo stagionale di acquisti porta con sé. Questo mese, gli analisti della sicurezza informatica hanno previsto più di un milione di attacchi durante il weekend del Black Friday e del Cyber Monday. Di fronte a questa enorme ondata di attacchi, il mondo del Retail deve cercare di ridurre il proprio rischio in ogni modo. Poiché un attacco comporta un rischio d’immagine che dura molto più a lungo della stagione natalizia, le aziende devono assicurarsi di disporre di misure di protezione adeguate nel caso in cui lo scenario peggiore si verificasse durante i periodi di shopping più importanti dell’anno.
Una crescente vulnerabilità
Negli ultimi sei mesi, molti grandi marchi sono stati vittime di pesanti violazioni della sicurezza. Basti pensare a Three, TalkTalk o a Tesco Bank, marchi conosciuti e utilizzati regolarmente dai consumatori e la perdita o l’accesso a milioni di informazioni riguardanti i clienti rappresenta un’enorme preoccupazione.
Il settore del Retail è un obiettivo particolarmente interessante per i criminali informatici. La quantità di dati sensibili archiviati da ogni singola azienda rappresenta per loro una vera miniera d’oro. Che sia causato da un sito web codificato in modo poco efficace, dalla scarsa sicurezza di un partner commerciale o da una violazione di un programma di fidelizzazione, un attacco di alto profilo potrebbe comportare per il rivenditore enormi perdite nel giro di pochi giorni, sia in termini finanziari sia di reputazione.
La lezione non è servita
È interessante osservare come gli attacchi a Target e Home Depot del 2013 e 2014 abbiano chiaramente mostrato che le aziende si preoccupano della sicurezza informatica soltanto dopo aver subito un attacco, anziché prima, cercando di prevenirlo. Dopo questi attacchi di alto profilo, si è assistito ad una massiccia reazione da parte dei commercianti nel tentativo di ridurre il proprio rischio informatico.
Tuttavia occorre fare di più. Secondo una recente ricerca condotta da Lloyd’s, che ha intervistato 346 decision maker in tutta Europa, il 90% delle aziende di vendita al dettaglio ha subito una violazione della sicurezza informatica negli ultimi cinque anni e il 54% dei loro amministratori ha iniziato a farsi carico di questa responsabilità in conseguenza di questi attacchi. Soltanto il 42%, però, è preoccupato della possibilità di poter subire un altro attacco in futuro.
È certo rassicurante osservare che la responsabilità del rischio informatico risieda nelle più alte sfere aziendali, ma è tuttavia evidente che le aziende sono anche troppo indifferenti quando si preparano a fronteggiare il rischio di un incidente informatico, credendo che i pericoli di una potenziale violazione non si abbatteranno su di loro un’altra volta.
Una maggiore pressione dal sistema di regolamentazione
La pressione sul mondo Retail, affinché adottino un sistema di sicurezza informatica adeguato, aumenterà notevolmente per via della nuova regolamentazione europea che obbligherà a rispondere meglio agli incidenti informatici.
In particolare, l’imminente Regolamento Generale Europeo sulla Protezione dei Dati (GDPR) che entrerà in vigore nel 2018, fissa requisiti severi per qualsiasi azienda che si trovi a gestire dati di consumatori europei. Il Regolamento imporrà alle aziende di comunicare eventuali violazioni della sicurezza sia all’autorità competente del proprio Paese entro 72 ore, sia ai cittadini coinvolti con tempestività. Se le organizzazioni non si atterranno a tali disposizioni, saranno passibili di sanzioni fino al 4% del loro fatturato mondiale o fino a 20 milioni di Euro, a seconda di quale sia il valore più alto per le società vittime di violazioni di dati.
Nonostante le possibili ripercussioni, la ricerca di Lloyd’s ha mostrato che più della metà dei dirigenti di aziende di vendita al dettaglio ammette di non comprendere appieno le potenziali implicazioni del GDPR per la propria azienda. Solo il 6% ha dichiarato di conoscere “benissimo” il Regolamento.
I rivenditori devono capire che gli attacchi informatici possono verificarsi in qualunque momento, malgrado la protezione che hanno predisposto. Per le aziende è importante capire e imparare come gestire questi eventi quando si verificano, oltre che sapere quali misure implementare per proteggere la propria organizzazione e, cosa ancora più importante, i propri clienti.
Combattere la criminalità informatica oggi
Con le feste e i saldi di inizio anno che si avvicinano rapidamente, è tempo per i rivenditori di concentrarsi sulla messa in sicurezza dei loro sistemi, esattamente come si concentrano sul mantenerli funzionanti; se l’up-time è una priorità, lo deve essere anche la sicurezza. I rivenditori dovrebbero attenersi a questi quattro passaggi fondamentali:
- Individuare i rischi specifici – Identificare i “gioielli della corona” all’interno di ciascuna organizzazione e prevedere le modalità più probabili con cui un incidente informatico potrebbe verificarsi. Questi piani d’azione, una volta creati, dovrebbero essere testati e aggiornati regolarmente, per mitigare questi rischi specifici e assicurare una risposta uniforme ad un ipotetico incidente.
- Coinvolgere i dipendenti – Molti incidenti informatici iniziano con un errore umano, che può andare dalla divulgazione accidentale al phishing. La consapevolezza di questi problemi è una questione culturale e richiede una formazione che parte dall’alto. È necessario che i dipendenti siano formati ed informati sulle possibili minacce che potrebbero trovarsi ad affrontare.
- Non smettere mai di imparare – Poiché la tecnologia digitale è in costante evoluzione, è importante che anche le organizzazioni evolvano con essa. Sviluppando una cultura di “apprendimento continuo”, sarà possibile conoscere le minacce nuove e quelle in evoluzione all’interno di in un programma annuale che sia di approccio proattivo alla sicurezza.
- Integrare la cyber-assicurazione all’interno della strategia di sicurezza informatica – Il mondo e le soluzioni della cyber insurance offrono più di una semplice copertura per il mancato reddito. Una cyber assicurazione può fornire non solo una rete di sicurezza ma anche l’accesso a servizi informatici, legali e di pubbliche relazioni nel caso in cui dovesse verificarsi lo scenario peggiore, soprattutto durante i più importanti periodi di shopping dell’anno, assicurando che una reputazione costruita negli anni non vada distrutta nel giro di pochi minuti.
Gli incidenti informatici continuano ad avere un impatto enorme sul profitto e sulla reputazione, soprattutto nel settore della vendita al dettaglio. Una pianificazione e una pratica adeguate consentirebbero, anche nel caso in cui un attacco informatico andasse a buon fine, di gestirlo in modo da minimizzare i danni e assicurarsi che i clienti siano soddisfatti della risposta data dall’azienda. Ciò permetterà alle società di dedicarsi totalmente alle richieste dei momenti di shopping più impegnativo, che sia il Black Friday, lo shopping natalizio o i saldi, proteggendo allo stesso tempo i dati dei clienti e la propria reputazione.}