Cyber-sicurezza, occhio alla normativa
Le nuove tecniche di attacchi cyber, ma anche i molteplici risvolti normativi a cui le aziende devono attenersi per essere compliant all’indomani di un breach, rendono la gestione della sicurezza informatica uno degli ambiti più sensibili nel risk management. E tuttavia, tra le aziende, la consapevolezza su quanto sia delicata questa materia è bassissima, come spiega l’avvocato Valentina Frediani, general manager di Colin & Partners. “I vertici – afferma – ignorano in gran parte dei casi il rischio, tanto che la cyber sicurezza viene ancora vista come un costo e non come un investimento per la gestione dei rischi, e ciò è gravissimo nel momento in cui c’è un’incidenza enorme degli attacchi informatici. E laddove c’è più consapevolezza, questa è più spostata sulle figure tecniche che però non hanno un peso sufficiente”.
Proteggere le piattaforme per il whistleblowing
Per l’industria 4.0, gestione del rischio significa non soltanto dotarsi di strumenti e strategie di prevenzione, ma anche gestire i molteplici aspetti di responsabilità conseguenti a un attacco informatico. In questo senso, Frediani evidenzia in particolare tre novità a cui le aziende devono prestare la massima attenzione: le nuove regole riguardanti il whistleblowing, la direttiva europea Nis 2, e le nuove tecniche di attacco ransomware.
Per quanto riguarda il whistleblowing, vale a dire la protezione delle persone che segnalano attività illecite o fraudolente all’interno di un’organizzazione pubblica o privata in violazione del diritto Ue, la novità riguarda la segnalazione degli illeciti. Il nuovo obbligo di legge, spiega Frediani, “impone l’istituzione di una piattaforma per la segnalazione di eventuali reati commessi all’interno dell’azienda. A questo proposito occorre prevedere una gestione del rischio nel caso in cui venisse bucata una piattaforma del genere. I risvolti di un attacco a questo tipo di infrastrutture sono potenzialmente gravissimi, giacché al suo interno vi sono segnalazioni che possono portare a una grossissima esposizione reputazionale dei soggetti interessati e dell’azienda stessa”.
Nis 2, anche i vertici possono essere sospesi
Un altro aspetto delicato riguarda la Nis 2, ovvero la revisione della direttiva europea Nis che aveva imposto degli obblighi di cyber sicurezza ai soggetti che forniscono servizi o svolgono attività economicamente rilevanti. In prima battuta, rispetto alla Nis, “è stato ampliato l’alveo di applicazione a tutta la supply chain dei soggetti che si occupano di servizi essenziali importanti”, spiega Frediani, sottolineando che “in caso di mancata applicazione di questa normativa possono essere sospesi i poteri all’amministratore delegato e ai rappresentanti legali, oltre che sanzionato in percentuale il fatturato aziendale annuo”. La norma prevede che venga istituito un sistema di segnalazione dell’incidente all’autorità nazionale (in prima battuta entro 24 ore). “Ovviamente – commenta la general manager di Colin & Partners – tutto ciò obbliga le aziende non solo a valutare se le misure di monitoraggio anti intrusione e la capacità di intervento post-attacco siano sufficienti per consentire dei ripristini e dare continuità ai servizi, ma anche ad adottare tutta una serie di parametri da assumere rispetto alla governance”. Frediani fa inoltre notare che i controlli da parte dell’Autorità possono essere effettuati anche da remoto con strumenti di monitoraggio a distanza. “È una norma di portata essenziale, e lo dimostra, tra le altre cose, l’obbligo alla formazione cui è soggetto tutto il board dell’azienda”.
Il 40% delle aziende che paga un riscatto è soggetto a un nuovo attacco ransomware
Ransomware, chi paga ci ricasca
Infine, Frediani si sofferma sulle nuove tecniche di ransomware. “Gli attacchi – racconta – arrivano sempre più a sciame e sulle piccole realtà, passando sempre di più per la supply chain. Bloccando un fornitore si può cagionare un danno relativo alle tempistiche di consegna, o danneggiare il livello di qualità di un prodotto”. Le aziende pagano effettivamente questi riscatti? E come fanno a giustificare l’uscita di questo denaro verso i criminali? Frediani risponde che “sì, c’è chi paga, anche perché i dati non vengono sottratti ma decrittati. Tuttavia le statistiche dicono che circa nel 40% dei casi l’azienda che ha pagato è soggetta a un nuovo attacco ransomware, perché viene inquadrata come soggetto pagante”. I riscatti vengono fatturati con voci tra le più diverse, come ad esempio consulenze verso Stati esteri. Anche qui c’è l’avvertimento a gestire questo rischio con estrema attenzione. “Pagando dei criminali si commette un illecito, e in questo senso le società per azioni hanno delle precise responsabilità nei confronti degli azionisti, così come gli enti pubblici hanno nei confronti dei cittadini. Nella gestione del rischio, quindi, si deve tener conto sia dell’attacco diretto sia della gestione della responsabilità rispetto ai propri stakeholder”.