Quantcast

GESTIRE L'IMPRESA

Dalla cybersecurity alla cyberfiguraccia

Se la sicurezza informatica non è tra le priorità delle aziende, che lo sia almeno la reputazione. Perché l’ingegneria sociale funziona benissimo e per difendersi c’è persino una polizza assicurativa

Marina Marinetti

È inutile che continuiamo a raccontarcela: è evidente che la cybersecutity, per le aziende italiane, non è una priorità. Con il loro misero miliardo e 37 milioni di investimenti nel 2020, cioè meno dello 0,1% del Pil nazionale (secondo l’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano) si mantengono a distanza di (in)sicurezza della media dei Paesi più avanzati. Che, appunto, in cybersecurity investono almeno 4 o 5 volte tanto. E, come se non bastasse, nel 2020 i cordoni della borsa si sono stretti ancora di più: a investire in sicurezza informatica sono solo il 40% delle imprese, mentre nel 2019 erano il 51%. Tanto che, di contro, il 40% delle grandi organizzazioni e il 49% delle Pmi hanno subìto un incremento degli attacchi informatici. Se la sicurezza non è priorità, però, la reputazione dovrebbe esserlo. Perché la figuraccia è dietro l’angolo. E nel mirino non ci sono i computer: ci sono gli esseri umani e le loro aziende.

«Se è vero che negli ultimi anni è avvenuta un’inversione di tendenza che ha portato gli asset intangibili a divenire il principale valore delle aziende e che le perdite finanziarie legate alla reputazione di società quotate sono aumentate del 461% dal 2011 al 2016, con questo trend in continua crescita, allora la gestione olistica dei rischi emergenti come fake news, l’ingegneria sociale e la manipolazione della percezione sarà fondamentale per mantenere il valore aziendale», conferma a Economy Gianmarco Tosti, Country Manager per l’Italia di Willis Towers Watson, società leader a livello globale nella consulenza, nel  brokeraggio e nell’offerta di soluzioni alle imprese e alle istituzioni di tutto il mondo, nata nel lontano 1828 e che oggi conta 45mila dipendenti in oltre 140 Paesi. «È l’errore umano la principale causa alla radice di incidenti e sinistri informatici a livello globale», dice.

Colpa - o merito, a seconda dei punti di vista - dell’ingegneria sociale: «Il termine ingegneria sociale indica una tecnica criminale basata sullo studio del comportamento dell’individuo», spiega Tosti. «Il criminale carpisce informazioni utili sulla vittima e, sfruttando tali informazioni, la contatta con una falsa identità e la convince a compiere un’azione che altrimenti si sarebbe rifiutata di fare. Nella maggior parte dei casi si tratta di pagamenti, ma talvolta invece i criminali spingono la vittima a consegnare merce, rivelare credenziali, password o informazioni riservate, garantire l’accesso a luoghi fisici o a sistemi informatici a persone non autorizzate e così via. Una truffa molto diffusa, nota come “fake president”, vede un dirigente d’azienda, spesso di secondo piano, contattato personalmente dal criminale che si fa passare per l’amministratore delegato e gli confida di aver bisogno del suo aiuto per un’operazione confidenziale e urgente. La vittima, gratificata dal fatto di sentirsi il “prescelto”, esegue alla lettera le istruzioni ricevute dal falso amministratore, scavalcando qualsiasi normale procedura dettata dalla prudenza e dalla corretta operatività».

Le perdite finanziarie legate alla reputazione di società quotate sono aumentate del 461% in appena cinque anni

Poi c’è il ransomware: costa poco e rende molto. «Quando gli hacker prendono di mira un’organizzazione, penetrano al suo interno e la studiano per individuare gli archivi che contengono le informazioni più confidenziali», spiega Camilla Brena, Head of Cyber Risks di Willis Towers Watson. «Se la vittima rifiuta di pagare il riscatto per avere la chiave di decriptazione, scatta la seconda minaccia: la divulgazione delle informazioni riservate sottratte. I criminali forniscono alla vittima alcuni file per provare di esserne realmente in possesso e, se la vittima non cede al ricatto, iniziano a pubblicare – poco alla volta – le informazioni carpite. Gli importi richiesti dai criminali, in questi casi, possono superare le decine di milioni ma è comprensibile che, in taluni casi, il danno economico derivante all’azienda dalla pubblicazione delle informazioni sottratte illegalmente possa essere molto più ingente».

È difficile far comprendere alle aziende servizi come il Workforce Cyber Culture Assessment e il Ransomware Risk Assessment (che Willis Towers Watson offre, al pari di ogni competitor): sono spesso valutate - agli occhi dell’impresa - come un costo in più. Peccato che poi, appunto, scivolare su una buccia di banana sia un attimo, e rialzarsi non sia così semplice. «Quanta fiducia merita un professionista che ha permesso che i dati dei suoi clienti fossero pubblicati su web?» prosegue Camilla Brena. «Quanto tempo ci vorrà per dimenticare che una banca ha subito un attacco e che i dati dei correntisti sono stati trafugati? Che grado di fiducia si può avere in una clinica che chiude il pronto soccorso a causa di un attacco informatico? È successo in Germania e i media riportano che una paziente è deceduta durante il trasporto ad altro ospedale. Quali possono essere le conseguenze per un’azienda che non riesce a produrre o consegnare i prodotti in tempo per un attacco cyber? E qualora siano pubblicati i termini dei propri contratti con i clienti? Cosa succede ad un’agenzia di selezione del personale se le informazioni relative ai candidati vengono divulgate? Gli impatti sono molteplici e possono durare a lungo nel tempo provocando perdite di clienti e fatturato ma anche perdite di key men aziendali o dipendenti. Se poi parliamo di aziende quotate, l’impatto può toccare immediatamente anche il valore azionario».

Gli impatti di un attacco informatico durano a lungo e provocano perdite di clienti ma anche di dipendenti chiave

E se quasi 8 aziende su 10 nel mondo (per la precisione il 79,5%, secondo l’ultima Global reputational risk management survey di Willis Towers Watson) prevedono una maggiore attenzione al rischio reputazionale nei prossimi cinque anni, il passaggio dalle buone intenzioni alle buone pratiche è ancora tutto da vedere. E quindi? Willis Towers Watson e Liberty Specialty Markets, uno dei principali fornitori globali di prodotti assicurativi specialistici e commerciali, hanno lanciato addirittura una polizza: Reputational Crisis Insurance. «Non si tratta di una semplice copertura assicurativa, bensì di uno strumento di risk management», spiega Matteo Gilardino, Crisis & Reputational Specialist di Willis Towers Watson: «a lato della polizza assicurativa esiste Polecat, una piattaforma tecnologica che già aiuta diversi tra i più importanti marchi a livello globale a monitorare e analizzare la propria reputazione attraverso l’analisi di milioni di fonti open source online (giornali, social network, ecc.). La valutazione della propria reputazione in tempo reale permette al cliente di anticipare le crisi apportando azioni correttive, ove possibile, o di gestire l’evento avverso dal primo istante limitando i danni potenziali. Ai danni penserà invece la copertura assicurativa indennizzando, innanzitutto, la perdita di profitto lordo subita dall’assicurato a seguito della pubblicità negativa scaturita dall’evento, in secondo luogo fornirà assistenza nella gestione della crisi e nella comunicazione per la riabilitazione del marchio mettendo a disposizione un team di esperti in queste tematiche».

Ma come si quantifica il danno reputazionale? «Essendo molto complesso calcolare il valore della reputazione di una società, altrettanto difficile è calcolare il danno subito dalla stessa in caso di evento negativo», risponde Gianmarco Tosti, Country Manager per l’Italia di Willis Towers Watson. «La nostra soluzione è studiata per comparare i ricavi mensili che l’assicurato prevede di ottenere nel periodo di assicurazione con quelli realmente raggiunti post denuncia di sinistro. Possiamo dunque misurare il danno reputazionale attraverso la riduzione dei profitti subita da una società. Ricorderete ad esempio il caso di una importante catena alberghiera in Asia che ha patito una significativa flessione delle sue attività commerciali a seguito di un attacco terroristico. Gran parte del danno per un brand in questo caso è rappresentato dalla perdita di attrazione, fiducia e reputazione che può perdurare anche molto a lungo nel tempo. La copertura assicurativa avrebbe consentito alla catena alberghiera di beneficiare del pronto supporto di una società di consulenza specializzata nella gestione di tali eventi e, in secondo luogo, avrebbe indennizzato all’assicurato il calo dei profitti calcolando la differenza tra i ricavi attesi e quelli che effettivamente sono stati raggiunti in seguito all’attentato».

Lascia il tuo commento

Condividi le tue opinioni su Economy

Caratteri rimanenti: 400