Secondo il 72% dei top manager delle aziende di tutto il mondo, intervistati da BDO per l’edizione 2017 del Global Risk Landscape, il report annuale della società di revisione contabile e consulenza alle imprese che indaga i fattori di rischio del business internazionale viviamo in un mondo più rischioso rispetto al passato. Ciò che stupisce è che, tra i primi tre fattori di rischio citati, non compaia quello cibernetico, surclassato dalle preoccupazioni sulla non conformità rispetto alle normative (35%), dalla crescente competizione nel mercato (30%) e dalla crisi economica (29%). Se interrogati rispetto all’impreparazione delle aziende rispetto ai cambiamenti in atto nel business globale, solo il 21% dei leader aziendali europei indicano il cyber rischio come fattore che coglierà di sorpresa le loro imprese nei prossimi 10 anni. A livello globale, è il settore dei servizi finanziari il più preoccupato rispetto all’impreparazione aziendale nei confronti del rischio cibernetico, mentre l’industria manifatturiera teme di più la rapidità dell’introduzione delle innovazioni tecnologiche.
Il contesto tratteggiato dal report BDO sembra del tutto inadeguato allo scenario globale attuale, in cui assistiamo ad attacchi informatici di scala mondiale come WannaCry e Petya. Se a ciò si aggiungono le stime di Ponemon e IBM, che individuano in 4 milioni di dollari la perdita economica media causata ad un’azienda da una violazione dei sistemi nel corso del 2016, con un incremento degli attacchi ransomware del 6.000% l’anno scorso, appare chiaro che, forse, il problema del cyber crimine sia quanto meno sottovalutato.
“La cybersecurity è indubbiamente diventata un focus specifico per molte imprese, ma non tutte investono le cifre davvero necessarie a prevenire un rischio del genere – commenta Lorenzo Mazzei, Partner Intelligence & Cybersecurity di BDO Italia. – Spesso i leader aziendali considerano la cyber sicurezza un segmento a sé, mentre invece sarebbe molto utile includere anche il lato informatico nei piani strategici generali di rischio. Non si tratta di spendere una cifra fissa per la cybersecurity, come molte aziende fanno ad oggi, bensì di valutare tutti i fattori di rischio, anche non cibernetici, della propria azienda e stanziare un budget adeguato al livello di rischio generale. Si tratta di una misura di prevenzione che deve essere aggiornata almeno annualmente, perché i fattori del rischio cibernetico cambiano molto velocemente: ciò che oggi è accettabile, potrebbe trasformarsi in un pericolo in meno di 12 mesi. Bisogna, inoltre, comprendere che il cyber rischio non è solo una questione del dipartimento IT, ma è un fattore che deve essere contemplato all’interno di tutta l’organizzazione aziendale, comprendendo anche stakeholder, fornitori e terze parti esterne all’organizzazione.”
Otto passi verso la cyber resilienza
BDO avverte: evitare totalmente le violazioni di dati è quasi impossibile. Sono otto gli step che ogni azienda dovrebbe intraprendere per potersi definire resiliente agli attacchi cibernetici. Il primo, è sicuramente quello di aggiornare costantemente i sistemi informatici di sicurezza con le ultime versioni software disponibili, per evitare le cosiddette 0-day, vulnerabilità di sicurezza non pubblicamente note. Il secondo passo è installare dei sistemi di monitoraggio che attivino tempestivamente l’allarme in caso di violazione. Importantissimo, poi, è conoscere quali dati sono contenuti nei propri sistemi e come vengano difesi. Il quarto passo è, appunto, proteggere con adeguati sistemi di controllo di accesso tali dati. Il quinto riguarda, invece, la cultura aziendale: occorre insegnare a tutti i dipendenti come riconoscere un attacco hacker in corso e come assumere comportamenti sicuri durante il lavoro quotidiano. Il passo successivo è guardare alla catena di approvvigionamento aziendale e assicurarsi che anche stakeholder e terze parti siano adeguatamente preparati nei confronti del cyber rischio, condividendo anche le buone pratiche (settimo step). Infine, occorre saper discutere adeguatamente del rischio cibernetico al vertice, così come si discuterebbe di qualsiasi altro rischio, economico o di altra natura.
“Molti attacchi ransomware si basano su vulnerabilità causate da un mancato aggiornamento dei sistemi: in diversi casi, le aziende colpite non avevano provveduto ad installare gli aggiornamenti software di sicurezza del caso, anche se già disponibili per l’installazione prima dell’attacco stesso – prosegue Lorenzo Mazzei. – Il primo passo di un attacco di questo genere, per gli hacker, è proprio sfruttare vulnerabilità conosciute, che dovrebbero essere allo stesso modo note anche all’interno dell’organizzazione aziendale.”
BDO ha recentemente realizzato anche un white paper dedicato al tema della cyber resilienza, in cui si afferma la necessità di una cyber difesa che sia via via più proattiva, e non solo reattiva.
Cosa fare in caso di attacco?
La prima cosa da fare è accorgersi che l’attacco è in corso. Poi, occorre spegnere immediatamente le parti del sistema attaccate, per evitare la propagazione del contagio. A livello reputazionale e comunicativo, inoltre, è necessario che ogni azienda prepari in anticipo una dichiarazione standard ufficiale da poter inviare tempestivamente alla stampa e agli stakeholder. Con l’entrata in vigore del GDPR europeo (General Data Protection Regulation – regolamento UE 2016/679), adottato il 27 aprile 2016 e che gli stati membri devono ratificare entro il maggio 2018, diventa inoltre obbligatorio avvisare l’autorità competente di aver accertato una fuga di dati entro e non oltre 72 ore dalla scoperta. Anche la stipula di un prodotto assicurativo specifico può rivelarsi utile, ma solo per quei casi di forte impatto e bassa probabilità di accadimento.
Cosa ci dobbiamo aspettare dal futuro?
“Per il prossimo futuro, ci attendiamo innanzitutto un aumento degli attacchi informatici basati sulle cosiddette vulnerabilità 0-day, con attacchi sempre più sofisticati e mossi principalmente dal movente economico – conclude Mazzei. – Molto probabile anche un aumento degli attacchi nell’ambito dell’automazione industriale, ma si tratterà di contagi accidentali e non voluti, semplicemente perché la catena industriale sempre più legata all’informatica diventerà anche più attaccabile. Un altro trend che, infine, noi di BDO ci aspettiamo in crescita è quello degli attacchi a scopo di spionaggio industriale e furto della proprietà intellettuale. Occorre che tutte le aziende si preparino adeguatamente ad affrontare questo tipo di situazioni.”