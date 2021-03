Un impatto pesantissimo. Ogni attacco cyber costa in media all'azienda coinvolta 3,86 milioni di dollari a livello globale e 2,90 milioni di euro in Italia (fonte: Ibm Security). Per l’individuazione e contrasto dell’attacco cyber un’azienda impiega in media in Italia 268 giorni (una mamma fa prima partorire in Italia rispetto ad una azienda a capire come è stata attaccata!). Solo il 56% delle imprese Italiane è dotato di sistemi avanzati Soc (security operation center) cioè sistemi in grado di rilevare, segnalare e impostare misure più o meno automatiche di contrasto relativamente agli attacchi Cyber di nuova generazione. Questo scenario nel 2020 si è aggravato dalla pandemia globale che ha aumentato il ricorso al telelavoro e, di conseguenza, la superficie di attacco. I principali rischi di attacchi cyber ad elevato impatto aziendale possono essere classificati nelle seguenti categorie (evento/impatto aziendale):

1. Evento: furto di informazioni aziendali; impatto aziendale: Perdita Know-how aziendale

2. Evento: furto di informazioni aziendali per attacchi orientati alla disobbedienza civile (hacktivism) o informazioni private del personale (spear phishing); impatto aziendale: perdita immagine aziendale

3. Evento: compromissione dell’integrità o della disponibilità di servizi o processi automatizzati collegati alle Operations Technologies (es: impianti di produzione, etc); impatto aziendale: interruzione dei servizi erogati o fabbricazione di prodotti HW o sviluppo di prodotti SW per un tempo indeterminato;

4. Evento: compromissione e manomissione di prodotti SW di terze parti; impatto aziendale: Malfuzionamento di prodotti rilasciati basati su tali componenti con perdita immagine aziendali, fatturato e penali

5. Evento: Ransomware (cifratura dei dati archiviati finalizzata ad impedirne la disponibilità se non a fronte del pagamento di un riscatto); impatto aziendale: interruzione di processi critici aziendali e finanziario (tramite richiesta di riscatto)

Come proteggersi e minimizzare il rischio che questi eventi si verifichino ed il potenziale impatto sul bilancio?

Iniziamo, da esperti di settore, col dire che il rischio zero non esiste. Il concetto di “cyber protection” al 100% di una organizzazione, di una azienda o di un prodotto non esiste, è pura utopia. Ma può essere costruito un ecosistema di azioni concrete che possono garantire la forte riduzione della probabilità di accadimento dei rischi relativi ad attacchi Cyber, o almeno limitarne gli impatti in termini di business.

In particolare:

- La responsabilità della cyber security deve essere univocamente identificata in un ruolo aziendale (Ciso/Cio) a diretto riporto dell’amministratore delegato o del direttore generale;

- I rischi di attacchi cyber devono essere identificati e monitorati in un sistema di risk management aziendale (insieme a quelli di business, sulle risorse umane o tecnologici); i rischi di cyber attacchi possono essere solo considerati infatti “rischi del mondo IT” ma riguardano l’azienda a 360° e sono trasversali a molti dipartimenti aziendali: competitività tecnologica, immagine aziendale, perdita di fatturato, manomissioni di prodotti;

- Integrare nelle misure di mitigazione del rischio anche una adeguata polizza assicurativa sui rischi cyber, ormai ampiamente disponibili sul mercato;

- Non limitare la definizione delle misure di mitigazione alla pura astrazione ma validare anche le eventuali scelte tecnologiche in funzione dei rischi identificati, modellati in funzione delle minacce identificate e delle tecniche di attacco effettivamente in uso. Oltre a sistemi base come antivirus, firewall o sistemi antispam per la posta elettronica, adottare soluzioni tecnologiche avanzate di cyber security (possibilmente italiane per evitare altri tipi di rischi come la possibilità che queste tecnologie estere facciano la spia per altri) come:

• Sistemi Siem: Security Information and Event Management

• Sistemi di Cyber Threat Intelligence

• Sistemi di Network Traffic monitoring

Solo così è possibile evitare impatti milionari sul bilancio derivanti da attacchi cyber.

*Cfo e investor relation manager Cy4gate SpA (quotata Aim)