Cyber risk: prioritario coinvolgere i Ceo

L’economia globale dipende sempre di più dal Digitale, ma Internet, il software e le infrastrutture ICT sono fragili, vulnerabili anche ad attacchi di semplice attuazione. C’è il rischio che una diffusa mancanza di trust, legata all’escalation delle minacce, inibisca in futuro la crescita del mercato digitale oltre che dell’economia nel suo complesso.

Le aziende sono oggi in grado di far fronte ai rischi che si prospettano? Con la survey “Cyber Risk Management 2020”, condotta tra dicembre 2019 e gennaio 2020, The Innovation Group ha puntato a misurare il livello di maturità raggiunto dalle aziende italiane in tema di gestione della cybersecurity. Lo scenario che emerge, analizzando le risposte di 74 aziende, di diversi settori e di diversa dimensione aziendale, è, ancora oggi, molto preoccupante. La situazione è sicuramente complessa: le minacce cyber osservate dalle aziende sono numerose e la lista aumenta di anno in anno; in molti casi gli incidenti informatici subiti in conseguenza di attacchi cyber hanno impatti gravi; identità degli utenti e endpoint aziendali sono gli ambienti più colpiti, e i problemi non si limitano al perimetro noto dell’azienda perché anche il cloud e l’Internet degli oggetti sono oggi vulnerabili. Una possibile strada per far fronte alla gravità della situazione è quella che, da un lato, passa per un maggiore coinvolgimento del vertice aziendale; dall’altro lato, le aziende devono oggi concentrarsi sull’individuazione dei rischi più elevati, valutando attentamente gli impatti più gravi di un eventuale incidente di cybersecurity, ed essere pronte ad affrontarli.

Parlando di quelli che sono i principali driver degli investimenti in cybersecurity, va segnalato che il rischio di non compliance e di multe pesanti è percepito dalle aziende come molto elevato, il 65% delle aziende lo considera uno dei principali driver per prendere provvedimenti in ambito sicurezza ICT. Segue a breve distanza il danno reputazionale, con possibile perdita di fiducia dei clienti, che è temuto dal 58% delle aziende. Altri impatti negativi che si temono, perché strettamente correlati a incidenti di sicurezza, sono la perdita di produttività, il costo per il recovery dei sistemi e il rischio di controversie legali. L’eventuale costo legato a una richiesta di riscatto (ransomware) è invece all’ultimo posto (4% delle risposte). La diffusione del ransomware è purtroppo legata a questo aspetto: gli attaccanti sanno bene infatti che un’azienda spesso preferisce pagare (in alcuni casi, riscatti anche elevati, fino a qualche milione di euro) piuttosto che incorrere in tutti gli altri inconvenienti. 

La survey conferma che le minacce che quotidianamente le aziende devono affrontare sono numerose, e soltanto l’8% di esse dichiara di non osservarne alcuna (una percentuale che era l’11% nel 2018, e che andrebbe ricondotta a una cattiva gestione dei rischi cyber piuttosto che a un’effettiva mancanza di minacce). Gli attacchi più spesso osservati dalle aziende sono il phishing, il malware, il ransomware, indicati rispettivamente dal 71%, 58% e 43% delle aziende, percentuali in crescita per le prime due categorie rispetto all’analogo risultato di due anni fa. 

La classifica delle minacce non subisce grandi scostamenti confrontando le risposte con quelle dell’analoga survey del 2018, come se in qualche modo il tema dei rischi cyber si sia stabilizzato e veda il ripresentarsi di pattern simili anno dopo anno. Un aspetto questo che dovrebbe aiutare chi è deputato alla risposta a queste minacce. Il risultato è però anche conseguenza del fatto che alcuni attacchi sono sia maggiormente frequenti (phishing, malware), sia anche più facilmente osservabili. Il phishing è sicuramente un tipo di attacco massivo, ma essendo basato su comunicazioni via mail, è facile da scoprire. Invece, gli attacchi APT (che nel campione sono stati indicati da una minoranza di aziende), oltre a essere più difficili da realizzare (più costosi e numericamente inferiori), sono svolti tenendo grande attenzione al passare inosservati. 

Il problema è oggi come portare questi temi al di fuori dell’ambito specialistico del cyber risk management, in primis coinvolgendo il CEO / il top management dell’azienda. Chiedendo ai Security Manager quale dovrebbe essere oggi il ruolo del CEO / del top management nello sforzo di tenere sotto controllo i rischi cyber, al primo posto viene indicato il fatto di considerare questo problema a tutti gli effetti come parte del business dell’azienda. Il rischio va considerato in ogni fase aziendale, e con la diffusione odierna del digitale, l’uso di device di ogni tipo, di servizi cloud, della mobility, e la progressiva digitalizzazione dei processi, è evidente che rischi di malfunzionamento, perdita di informazioni critiche o addirittura sospensione delle attività pervadono oramai quasi ogni ambito del business.
Al secondo posto, in termini di importanza, il tema della messa in sicurezza della supply chain, quindi dei collegamenti verso terze parti e fornitori dell’azienda: secondo l’82% dei rispondenti questo aspetto è “molto o moltissimo importante”. 

Sarebbe quindi ruolo del top management dell’azienda quello di imporre l’adozione di standard di sicurezza alle proprie terze parti. Dalla terza posizione, quattro aspetti hanno ricevuto un punteggio simile in termini di importanza: 

•    l’infosharing è indicato come prioritario dal 65% delle aziende. Probabilmente non ancora molto noto ai vertici, l’infosharing abilita la condivisione di informazioni relative agli attacchi e agli incidenti subiti con altre aziende (del proprio settore oppure di settori diversi), polizia e law enforcement, esperti e agenzie di cybersecurity, al fine di costruire una “resilienza di sistema”.
•    Aspetto di pari importanza, collaborare con altri Top Executive, Policy Maker e Regolatori, identificando strategie comuni di difesa cyber. Il CEO o il top management delle aziende dovranno sempre più farsi carico di instaurare partnership di alto livello, sia all’interno del proprio settore, sia all’esterno, stringendo rapporti con Agenzie pubbliche e Policy maker. Solo in questo modo sarà infatti possibile realizzare una resilienza a livello di ecosistemi più ampi.
•    Anche sul fronte dell’educazione dei clienti, e quindi di una cybersecurity che sia il più possibile inscritta by default nella realizzazione dei prodotti e servizi dell’azienda, è fondamentale l’impegno del vertice aziendale. Ad esempio, con la crescita dell’economia digitale e quindi l’ampliamento della gamma di servizi offerti attraverso i nuovi canali digitali, sarà sempre più importante fornire ai clienti chiare linee guida su come proteggere la propria identità digitale e i propri dati.
•    La digitalizzazione fa ogni giorno passi da gigante, la sicurezza ICT ha difficoltà a tenere il passo. I Regolatori stanno spingendo sempre di più verso una certificazione di cybersecurity: il vertice aziendale dovrà prendere in considerazione questa possibilità, capirne il valore (e in alcuni casi l’obbligo), e pensare anche all’adozione di un codice etico di comportamento online specifico per il proprio settore.