Il “2019 Cyber Security Risk Report” di Aon evidenzia come una delle maggiori sfide delle organizzazioni riguardi la capacità di tenere il passo ed essere costantemente aggiornate sulle evoluzioni dei rischi cyber. È quindi di estrema importanza elevare il livello di attenzione e diffondere maggiore conoscenza su questo tipo di minaccia, al fine di bloccare i diversi tentativi di attacco che incessantemente si susseguono nelle più molteplici forme, mitigandone così i possibili impatti.
È interessante notare come la sensibilità delle organizzazioni alle tematiche cyber sia cresciuta con l’avvento del GDPR, il nuovo Regolamento europeo sulla protezione dei dati personali, che impone alle organizzazioni di implementare delle misure tecniche e organizzative in grado di poter garantire i diritti e le libertà degli interessati attraverso un adeguato livello di protezione dei dati. Il Regolamento, tra i diversi articoli, sancisce come i Titolari del trattamento che non implementano le giuste contromisure per la protezione dei dati personali possano incorrere in sanzioni particolarmente rilevanti.
La crescente digitalizzazione ha impatti notevoli sul settore dei Trasporti, aprendo la strada ai rischi cyber in modo sempre più articolato, pervasivo ed impattante. Troviamo nuovi sistemi di pagamento, come la virtualizzazione dei titoli di viaggio, una crescente automazione dei sistemi di trasporto – ad esempio con metro driverless (senza conducente) o autobus a guida autonoma già in sperimentazione in alcuni paesi Europei. Lo sviluppo delle Smart City, città connesse alla rete con milioni di sensori e dispositivi “intelligenti” distribuiti (IoT- Internet of Things), abilita queste ultime tecnologie come possibili vettori di attacco per strategie di crimini cyber ad impatti insostenibili se non gestiti preventivamente.
Attualmente il settore dei Trasporti, che rappresenta un fondamentale strato di infrastrutture critiche di ogni Paese, purtroppo non presenta in generale livelli di sicurezza cyber sufficientemente maturi, soprattutto per quanto riguarda alcune tipologie di sistemi operazionali caratterizzati da cicli di vita del software più estesi (ICS SCADA), storicamente progettati in base a criteri di efficienza e resilienza elettromeccanica, più che in base a caratteristiche di robustezza sul fronte della minaccia informatica. Nel 2018, infatti, è stata rilevata una notevole quantità di sistemi non adeguatamente protetti in ambienti di controllo, supervisione e acquisizione dati (Supervisory Control and Data Acquisition – SCADA). Si tratta di sistemi che consentono di compromettere funzionalità critiche e di lanciare allarmi, interrompere o modificare attività produttive ed operazionali (es. telecontrollo di treni in movimento), esponendo quindi gli utenti ed operatori dei servizi a danni diretti, danni a terze parti ed estorsioni da parte della criminalità informatica.
Nonostante ciò, all’interno delle organizzazioni troppe volte il cyber risk risulta essere un rischio “minimizzato”, in quanto difficilmente valutabile, soprattutto in termini di impatto, anche dagli stessi Risk Manager.
In realtà, si tratta di un pericolo estremamente rilevante e concreto, oltre che in forte crescita annuale (+40% di attacchi gravi a livello mondiale nel 2018). È quindi preoccupante che tale rischio sia così poco “avvertito” dalle società, nonostante le possibili conseguenze di tipo economico-finanziario o i pesanti impatti reputazionali che ne possono derivare. In aggiunta, sono da considerare le ricadute che possono verificarsi in seguito all’interruzione della produzione di beni o dell’erogazione di servizi, come la conseguente perdita di fiducia ed impatto sociale, politico e azionario per le realtà quotate.
La sfida posta oggi alle organizzazioni consiste quindi nell’individuare e definire la migliore strategia di azione per poter fronteggiare il cyber crime.
Un’attività indispensabile per individuare i passi da attuare per innalzare il proprio livello di resistenza è la conduzione di un Cyber Risk Assessment, che non tenga in considerazione solo gli aspetti tecnologici ma anche l’interezza del business model, dei processi di governance specifici e dei rischi legati alla cultura e ai comportamenti interni all’azienda (“behavioural risks”).
Il Cyber Risk Assessment permette di capire innanzi tutto la misura in cui si è esposti, ovvero quanto si può essere esposti alle varie tipologie di crimine informatico nonché l’entità del potenziale danno e, successivamente, disegnare una difesa adeguata al livello di rischio. Oggi anche un’azienda di dimensione medio-piccola può ricorrere a servizi e prodotti accessibili in modalità as-a-service, ad esempio attraverso un CISO-as-a-service, un Responsabile della Cyber Security che, costantemente formato e competente, distribuisce il suo tempo tra i diversi clienti servendo la singola organizzazione grazie all’introduzione di progetti, processi e metodi che permettono di alzare il livello di protezione e garantendo la sua presenza per il presidio delle principali criticità.
Un altro ambito di attività sempre più importante è la sensibilizzazione concreta, portata a livello dell’azionista di maggioranza o comunque dei principali stakeholders, basata su scenari di business e con valutazione del rischio in termini quantitativi. In questo modo è possibile superare il muro dell’incomunicabilità tra funzioni preposte alla gestione del cyber risk e top management, interloquendo con un comune linguaggio.
Nell’ambito della valutazione del Cyber Risk non bisogna poi dimenticare il fattore umano. Oltre il 90% dell’esito degli attacchi informatici è dovuto, infatti, ad un errore personale, trasformando il rischio comportamentale in uno dei fattori principali di vulnerabilità delle organizzazioni. Email di phishing, siti web contraffatti, potenziati da tecniche di analisi e raggiro delle vittime tramite social engineering hanno ormai una portata dilagante, spalancando opportunità di infiltrazione, furto di dati, compromissioni di reti e frodi finanziarie in tutti i settori. È fondamentale quindi assicurare un adeguato livello di formazione e consapevolezza diffusa tra tutti i dipendenti rispetto alle misure minime di comportamento da adottare a difesa dalle minacce informatiche.
In questo ambito Aon svolge campagne di formazione per i propri clienti. I corsi tradizionali, infatti, non sono più sufficienti; occorre lavorare nell’ottica di trasferimento di competenze e sensibilità con programmi mirati, corsi esperienzali e simulazioni di attacco e difesa.
Comments