Secondo l’edizione 2018 del Cybersecurity Predictions Report realizzato dagli specialisti per le Cyber Solutions di Aon la crescente minaccia di attacchi cyber su ogni aspetto del business e la sua crescita in termini di ricorrenza e portata, costringerà le aziende a mettere in atto nuove misure per far fronte in modo “olistico” al rischio cyber, integrandole a pieno titolo nelle politiche di risk management.
Il Cybersecurity Predictions Report 2018 indica quali saranno i cambiamenti significativi, derivanti proprio dall’aumento dell’entità e dell’impatto degli attacchi cyber, associato alla maggiore responsabilità che le aziende sono chiamate ad assumere in ambito cyber security.
Le aziende stipuleranno polizze assicurative ‘stand alone’, dal momento che i Consigli di Amministrazione e i dirigenti prenderanno maggiore coscienza delle loro responsabilità anche in ambito cyber.
Quando i membri dei Consigli di Amministrazione e i dirigenti si troveranno a sperimentare direttamente l’impatto degli attacchi cyber, tra cui ad esempio una riduzione dei profitti, l’interruzione del business e azioni legali contro direttori e manager, le aziende ricorreranno sempre di più a polizze assicurative su misura contro il cyber risk, piuttosto che affidarsi a componenti silenti di altre polizze. Inoltre, l’adozione di polizze cyber si estenderà ben al di là dei settori in cui venivano tradizionalmente stipulate – come quelli retail, finanziario e sanitario – e andrà a coinvolgere altri settori vulnerabili all’interruzione del business causata da problemi di tipo cyber, come quello manifatturiero, dei trasporti, utility e petrolifero.
I Chief Risk Officer assumeranno un ruolo centrale nella gestione del cyber risk, che sarà sempre di più trattato come un rischio aziendale, dato che il mondo reale e quello digitale convergeranno.
Dal momento che gli attacchi cyber evoluti generano conseguenze nel mondo reale, con un crescente impatto sulle attività delle aziende, i top manager saranno più consapevoli della rilevanza del cyber risk. Si prevede che nel 2018 i CRO saranno coinvolti nella gestione delle problematiche cyber, lavorando a stretto contatto con i Chief Information Security Officer (CISO), per aiutare le organizzazioni a comprendere l’impatto del cyber risk sul business.
L’attenzione delle Autorità si sta allargando a dinamiche sempre più complesse, generando richieste di armonizzazione. L’Unione Europea chiede alle aziende internazionali di denunciare eventuali violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR); negli Stati Uniti gli aggregatori di big data verranno sottoposti a verifica.
Nel 2018 le Autorità a livello internazionale, nazionale e locale applicheranno le normative esistenti in materia di cyber security in modo più severo e aumenteranno la pressione sulle aziende per far rispettare le regole, introducendone anche di nuove. Ci si attende che in futuro le autorità europee chiederanno conto alle più importanti aziende statunitensi e globali di eventuali violazioni del GDPR. Al di là dell’Atlantico, le aziende di ‘big data’ (sia chi si occupa della loro raccolta, che della loro vendita) saranno sottoposte a controlli in relazione alle modalità utilizzate per la raccolta, l’uso e la protezione dei dati. Sotto il peso di crescenti pressioni normative, le organizzazioni del settore chiederanno alle autorità di armonizzare le varie normative sulla cyber security.
Gli hacker sono pronti ad attaccare i business attivi nell’ambito dell’Internet of Things (IoT), in particolare piccole e medie imprese che forniscono servizi ad aziende globali.
Nel 2018 le aziende globali dovranno far fronte a maggiori complessità nell’ambito dell’uso dell’Internet of Things, riguardanti la gestione del rischio di terze parti. Il Report prevede che le grandi aziende saranno colpite e messe in difficoltà da attacchi diretti contro un loro piccolo fornitore o contractor, che prenderà di mira l’IoT per penetrare nelle loro reti. Questo rappresenterà un campanello di allarme, portando da una parte le corporate a rivedere il proprio approccio alla gestione del rischio di terze parti e, dall’altra, spingerà le piccole e medie imprese a implementare misure di sicurezza migliori, per non subire perdite del business.
La violazione continua delle password e l’aggiramento dei sistemi di riconoscimento biometrico farà crescere l’importanza di sistemi di autenticazione multifattoriale.
Al di là delle password, le aziende stanno introducendo nuovi metodi di autenticazione – dal riconoscimento facciale alle impronte digitali. Tuttavia queste tecnologie sono ancora vulnerabili e, per questa ragione, il Report di Aon prevede che una nuova ondata di aziende adotterà l’autenticazione multifattoriale per contrastare l’assalto alle password e gli attacchi contro i sistemi biometrici. Le persone dovranno quindi fornire molteplici informazioni al dispositivo di autenticazione. Si attende pertanto un crescente ricorso alla biometria comportamentale.
I pirati informatici avranno come obiettivo le transazioni che usano i punti fedeltà come valuta, stimolando così la diffusione dell’uso di programmi ‘bug bounty’, ovvero programmi di ricompense promossi dalle aziende dedicati a chiunque rintracci e segnali le vulnerabilità dei sistemi o device.
Aziende anche al di fuori del settore tecnologico, pubblico, automobilistico e dei servizi finanziari introdurranno piattaforme ‘bug bounty’ nei loro sistemi di sicurezza. Dal momento che i criminali puntano alle transazioni che utilizzano come valuta i punti fedeltà, i business che adottano programmi fedeltà che prevedono premi e ricompense – come le compagnie aeree, i venditori retail e le catene alberghiere – contribuiranno alla nuova ondata di adozioni di programmi ‘bug bounty’. Mano a mano che nuove aziende adotteranno questi programmi, verrà richiesto il supporto di esperti esterni, per evitare l’insorgere di nuovi rischi a causa di un’impropria configurazione dei programmi.
Gli attacchi ransomware diventeranno più mirati; le criptovalute contribuiranno all’espansione dei ransomware.
Nel 2018 gli autori di attacchi informatici che fanno uso di ransomware cambieranno le loro tattiche. Il Report indica che gli hacker, usando varie forme di malware “benigni” – come i software progettati per lanciare attacchi DDoS (Distributed Denial of Service – attacchi ai server delle società che rendono indisponibili per un certo lasso temporale servizi, dati o risorse di un’organizzazione) o per diffondere pubblicità su migliaia di sistemi – provocheranno forti ondate di attacchi ransomware. Mentre proseguiranno gli attacchi “a tappeto” per colpire più sistemi possibili, il Report stima anche un aumento di attacchi mirati ad aziende specifiche e volti ad esigere pagamenti ransomware proporzionali al valore degli asset criptati. Le criptovalute continueranno a sostenere lo sviluppo dei ransomware, nonostante una maggiore capacità delle forze dell’ordine di tracciare gli attacchi, ad esempio attraverso i portafogli bitcoin.
L’‘insider risk’ minaccia le aziende, che sottostimano la loro vulnerabilità, mentre attacchi rilevanti passano completamente inosservati.
Nel 2017 le aziende non hanno investito abbastanza in strategie proattive volte a mitigare i rischi interni e nel 2018 questo fenomeno si ripeterà. Secondo il Report di Aon, la carente formazione nell’ambito della sicurezza e dei controlli tecnici, uniti ai nuovi trend lavorativi (smart working, consulenti esterni, freelance), farà sì che la reale entità degli attacchi e dei problemi cyber provocati da lavoratori non saranno di dominio pubblico. Molte aziende continueranno a rispondere reattivamente agli incidenti “a porte chiuse” e resteranno inconsapevoli del reale costo e dell’impatto dell’insider risk’ sulla propria organizzazione.
“In Italia, la maggior parte delle aziende sono consapevoli dell’impatto degli attacchi cyber sul business, ma sono ancora poche quelle virtuose che hanno già adottato strategie adeguate per la valutazione del rischio e del trasferimento al mercato assicurativo. Il GDPR, che entrerà in vigore a maggio, con le sue implicazioni sulla responsabilità della protezione dei dati, sarà lo strumento che in una certa misura imporrà alle aziende di valutare la propria vulnerabilità e di definire l’adozione di una politica condivisa di cyber risk management. Dall’altro lato, il mercato assicurativo è chiamato a rispondere alle nuove esigenze, sviluppando nuovi prodotti e soluzioni”, ha commentato Enrico Vanin, CEO di Aon S.p.A. e Aon Hewitt Risk&Consulting.
Per scaricare il report completo, cliccare qui.