di Gigi Giudice.
Parola di Inga Beale, Ceo dei Lloyd’s: Un attacco cyber estremo potrebbe costare più del ciclone Sandy (53 miliardi di dollari).
Sul Cyber Risk possiamo dire che è argomento dalla storia ormai lunga.
Già agli inizi del Duemila le minacce determinate dall’affermarsi del “cyber crime” avevano messo in allarme la comunità internazionale. Essendo palese che l’infrastruttura delle comunicazioni via computer, da cui dipendevano ormai ricchezza, informazione e dunque potere nel mondo, era estremamente vulnerabile. Non si riusciva a contrastare le intrusioni e le interferenze provocate dai virus informatici e di chi si impadroniva di siti, di file di computer militari. Un sofware riservato venne prelevato persino nel network interno di Microsoft. A dispetto dei miliardi spesi per la sicurezza informatica.
Sono trascorsi diciassette anni e all’interno della galassia Internet abbiamo visto cambiamenti quasi inimmaginabili. Ormai siamo nell’era del digitale.
La digitalizzazione delle informazioni e degli archivi, la diffusione dei social network, dei device mobili, delle tecnologie wi-fi e dei servizi cloud hanno concorso a un ulteriore aumento della vulnerabilità dei sistemi informatici, sottoposti a sempre più frequenti attacchi cyber.
Nello stesso tempo, l’entrata in vigore del Regolamento europeo 2016/679, riguardante la tutela delle persone fisiche, con attenzione al trattamento dei dati personali e la loro libera circolazione, amplifica in termini considerevoli i diritti degli individui.
Con il Convegno “Cyber Risk & Privacy: rischi e tutele per le imprese”, gli organizzatori (il Gruppo Lercari, Willis Towers Watson e BTG Legal) hanno inteso promuovere un confronto aggiornato sulle soluzioni di ultima generazione, a supporto del management delle imprese, nella gestione del “rischio cyber”.
Proprio in un momento di particolare recrudescenza degli attacchi informatici che hanno colpito un alto numero di organizzazioni e aziende nei diversi paesi del mondo intero.
“Evoluzione della strategia di sicurezza e GDPR” è il titolo della relazione di Carlo Mauceli, chief Technology Officee di Microsoft , con cui si è aperto il convegno.
Partendo dal descrivere le regole-chiave da seguire in caso di un attacco al sistema informatico.
La cybersecurity riguarda i diritti umani: di associazione, cooperazione, di spostamento e di comunicazione. Diritti su cui si fondano la privacy e le manifestazioni del pensiero.
Abbiamo bisogno di una Cybersecurity che protegga i dati personali, che anticipano e definiscono i comportamenti delle persone.
La vita di ognuno è caratterizzata da un “sé digitale” che costantemente interagisce – senza che la gran parte delle persone se ne rendano conto – con realtà il cui “core business” si identifica con l’estrazione e la raccolta dei dati che riguardano ogni singola persona. Quei dati diventano oggetto di vendita al miglior offerente. Da rimarcare il fatto che anche le stesse agenzie di welfare gestiscono, in digitale, tutte le informazioni che ci rendono cittadini. Cittadini che tutti hanno dei diritti.
Da qui – secondo Mauceli – la urgenza di definire meglio una cibersecurity che si incentri sui diritti delle persone e sugli utenti finali della tecnologia, non solo dei sistemi nazionali e infrastrutturali.
Come difendersi dagli attacchi alla privacy (si parla dei dati contenuti nelle workstation, nei personal computer, negli iphone e smartphone) e quali regole seguire è l’obiettivo dell’Unione Europea. Dove il numero degli attacchi gravi è in crescita continua.
In Italia la città che ha registrato la più alta quantità di minacce ai sistemi cibernetici è Roma, seguita da Napoli, Milano, Torino, Palermo, Catania.
Nel nostro Paese il settore sanità è il più attaccato per via anche del fatto che usa sistemi informatici invecchiati, non supportati da adeguate difese. Sottrazione dei dati e estorsione che, in molti casi, non vengono classificati perché nel nostro Paese non esiste l’obbligo di notifica.
Per far fronte agli attacchi (si riscontra una mancanza di tutela riguardo ai dati dei pazienti, con l’aggravante di una documentazione spessissimo trasmessa in chiaro ) occorre disporre di risorse umane che abbiano un bagaglio di conoscenze adeguate a difendere e a rispondere agli attacchi. I ricavi derivanti dalle attività illecite legate al Cybercrime pare siano destinati a superare quelli derivanti dal narcotraffico.
Per quanto riguarda la distribuzione delle tecniche di attacco, la tipologia Malware è sempre più diffusa. Non solo per compiere attacchi “spiccioli”.
Come ogni economia avanzata, anche l’Italia è bersagliata da questo genere di minaccia.
Per proteggersi e mitigare i rischi occorre iniziare sulla Formazione, sapendo che gli utenti e purtroppo molti amministratori di rete costituiscono l’anello debole della sicurezza all’interno di una organizzazione.
Ogni giorno si scoprono più di 300mila varianti di MALicious softWARE, contro le quali per lo più vengono usati sistemi antiquati di rilevazione.
Gran parte dei computer risultano configurati in modo che viene consentita l’esecuzione di un processo ancora prima che il sistema di monitoraggio lo rilevi come “attacco”.
Verrà presto introdotto un regolamento generale sulla protezione dei dati (GDPR, in acronimo) che impone un nuovo quadro normativo alle organizzazioni che offrono beni e servizi alle persone all’interno dell’Unione Europea. Che rafforza i diritti degli interessati, imponendo obblighi di protezione dei dati e di segnalazione delle violazioni e sanziona chi non vi ottempera.
Microsoft mette a disposizione la sua esperienza nella “cyber security”, offrendo il proprio know how nell’assistenza e nel risolvere i problemi connessi alla protezione dei dati.
– prima parte –