Il 27 giugno 2019 viene pubblicato in gazzetta ufficiale, il nuovo quadro normativo per la Cybersicurezza europea.
Il tema della Cybersicurezza è sempre più attuale. Consegnare dati, processi, previsioni, ed anche pensieri latenti, alle piattaforme Web che siano social network, Fintech, o fornitori di servizi vari, costituisce un atto di fiducia.
La legge sulla privacy protegge il nostro diritto a vedere trattate le nostre informazioni secondo lo scopo per cui sono fornite. Ma i sistemi che le contengono sono protetti dalla pirateria informatica? Quali sono le minacce che possono presentarsi? Come si difendono le aziende? E la Finanza?
La Cybersecurity
Con il termine Cybersecurity, o ICT security o sicurezza informatica, si intende l’insieme dei mezzi e delle tecnologie tese alla protezione dei sistemi informatici quali computer, reti di telecomunicazione, smartphone ecc. L’ambito di protezione nel senso più ampio, si estende non solo ai mezzi, ma anche alle informazioni digitali in essi contenuti.
L’approccio alla sicurezza informatica è stato guidato sino ad ora dall’organismo che per primo ha coniato il termine Cybersecurity, ovvero il NIST (National Institute for Standard and Technologies) del dipartimento del commercio degli Stati Uniti. Secondo le linee guida e gli standard dell’istituto, vero punto di riferimento mondiale sul tema, e della normativa italiana ed europea, per gestire il rischio relativo alla Cybersecurity è indispensabile procedere seguendo i vari step di quelle che sono ormai diventate le tavole della legge cyber: identificare, proteggere, rilevare, rispondere, riparare.
L’Italia il paese più colpito
L’Italia è uno dei paesi più colpiti in Europa dagli attacchi cyber. L’osservatorio del Politecnico di Milano sulla Cybersecurity e Privacy ha rilevato, nel secondo semestre del 2018, un incremento del 30% di attacchi “gravi” subiti dalle imprese italiane rispetto al periodo precedente. Anche un’indagine di un player importante nella protezione del dato “endpoint” (antivirus), conferma il primato dell’Italia in Europa come paese più colpito, con oltre il 13% degli attacchi totali registrati nel vecchio continente.
Quali sono i rischi corsi dalle imprese oggetto di attacchi informatici?
Ma quali sono in concreto le minacce informatiche che le nostre imprese devono affrontare?
Phishing
Si tratta di un tipo di truffa che colpisce aziende e privati, in cui il pirata informatico, o cracker, punta a raccogliere informazioni dall’utente attraverso l’invio di e-mail. Solitamente, questo tipo di attacchi si nascondono dietro un account di posta elettronica di provenienza autorevole: Ministeri, Banche, importanti web company. Il ricevente è così indotto a consegnare le proprie credenziali su un sito costruito ad arte e verosimilmente uguale all’originale, al quale accediamo con un link fornito nella mail stessa. Una volta fornite i nostri dati al sito “fotocopia”, i truffatori potranno utilizzarle per accedere al sito “originale” e magari per provare ad accedere ad altri siti normalmente utilizzati dall’utente
BEC: Business E-mail Compromise
In questo caso i cracker prendono di mira le aziende con lo scopo di rubare grosse somme di denaro. Come nel caso del phishing, il cracker monitora per un certo periodo il traffico delle email aziendali in entrata e in uscita. Lo scopo è intercettare gli indirizzi dei dipendenti che hanno la possibilità di trasferire somme di denaro e, utilizzando un indirizzo di posta creato appositamente simile ad un originale, convincerlo ad inviare le somme ad un Iban appartenente al pirata stesso.
Ransomware
Conosciuto anche come il virus del ricatto, il Ransomware è introdotto dai cracker nei sistemi aziendali o governativi attraverso l’invio di una email a cui è collegato un link che viene attivato inavvertitamente. Il Ransomware è un programma ostile (malware) che, una volta istallato su un computer aziendale, cifra i file presenti sugli stessi. L’azienda sarà poi costretta a pagare un riscatto (ransom) per avere le chiavi di decifratura e riavere la disponibilità del suo dato.
Si tratta del Cyber risk in più rapida ascesa, in quanto ha portato ad un ribaltamento del paradigma di difesa secondo cui “se il mio dato non è interessante per gli altri, non sarò attaccato”. Con il Ransomware, nessuna azienda è più al sicuro. Il cracker sfrutta il fatto che il dato sia importante per l’azienda stessa, e qui agisce il ricatto.
Le “porte d’ingresso”
Oltre alle diverse tipologie di attacco appena descritte, bisogna fare particolare attenzione alle “porte di ingresso” utilizzate dai pirati informatici. Un grosso problema da questo punto di vista, ha rappresentato la falla (scoperta dagli hacker) nel sistema di trasmissione dati Bluetooth (BlueBorne), che ha consentito accessi dall’esterno alle reti aziendali.
Se invece ci spostiamo dai sistemi di trasmissione dati agli hardware, particolarmente delicato, è l’utilizzo degli Smartphone aziendali. I modernissimi telefoni cellulari sempre presenti nelle nostre tasche e sulle nostre scrivanie sono i bersagli preferiti dai cracker: familiarità e velocità d’utilizzo determinano un abbassamento del livello di attenzione posto dall’utente, facilitandone penetrazione ed hackeraggio.
Lo Smartphone aziendale, se non dispone di ambienti protetti al suo interno, può essere infettato ad esempio navigando su siti e-commerce che offrono spettacolari promozioni. Una volta infettato il telefono, il cracker può pescare le informazioni aziendali presenti all’interno sfruttando il sistema intranet o l’account di posta del dipendente. È vero che i ladri possono violare gli appartamenti entrando dalle finestre, ma perché facilitarli lasciando aperta la porta del condominio, mettendo a rischio l’intero edificio?
Le nuove figure professionali “Cybersecurity-oriented”
Forse con un po’ di retorica, ma con assoluta convinzione, si può affermare che, ad oggi, il miglior antidoto contro gli attacchi cyber è sempre la cultura. “Se lo conosci, lo eviti” diceva un noto slogan pubblicitario di grande impatto, riferito ad un virus terribile. Lo stesso slogan potrebbe benissimo rappresentare il giusto approccio culturale e attitudinale alla cybersecurity.
Nelle aziende più grandi, vengono organizzati corsi sul tema per aumentare il livello di consapevolezza dei dipendenti. L’azienda è protetta solamente se sono protetti tutti gli ingressi al suo ecosistema digitale.
A livello di ruoli aziendali, la nuova consapevolezza cyber ha portato alla nascita e diffusione di nuove figure professionali.
Il CISO, ovvero il Chief Information Security Officer, è la persona incaricata di definire delle strategie di protezione degli asset informativi aziendali e di creare tutti quei processi virtuosi volti a mitigare i rischi derivanti dall’adozione delle nuove tecnologie digitali.
Se pensiamo a ruoli più esecutivi, si registra la nascita di figure come il Security Specialist (Analyst, Engineer, Architect), che si occupa di rendere operative le soluzioni tecnologiche in materia di security, o il Cyber Risk Manager, che identifica gli scenari di rischio e le minacce informatiche.
In alcune aziende con temi di sicurezza molto elevati a causa della sensibilità dei dati trattati, è emersa la figura dell’Ethical Hacker, dedito alla simulazione di incidenti di sicurezza necessari per testare appunto la sicurezza dei sistemi aziendali, evidenziandone i punti di debolezza e promuovendo soluzioni.
Da ultimo, è giusto ricordare la nuova figura professionale nata con la nuova legge sulla privacy, la GDPR, che tra i diversi obblighi in materia di sicurezza e protezione imposti alle aziende, ha inserito la creazione della figura del Data Protection Officer, o più semplicemente DPO. Al DPO, in possesso di competenze sia giuridiche che informatiche, sono demandati compiti di sorveglianza, di consulenza e di rapporti con organi di controllo esterni, che si occupano/preoccupano della protezione del dato privato. Al DPO spetta il compito di informare il responsabile ed il titolare del trattamento dei dati e tutti i dipendenti sugli obblighi sanciti dal GDPR e, se lo ritiene, redigere un documento sul rischio a cui è sottoposta l’integrità dei dati, suggerendo misure e tecnologie volte a proteggerli.
La novità legislativa: EU Cybersecurity Act 27 giugno 2019
Il 27 giugno 2019 è stato pubblicato in gazzetta ufficiale lo Eu Cybersecutity Act, ovvero il nuovo quadro di certificazione europeo dei prodotti, dei processi e dei servizi, che aumenterà la cybersicurezza dei servizi online e dei dispositivi di largo consumo. Con il nuovo regolamento viene conferito un mandato permanente all’Agenzia dell’Unione europea per la cybersicurezza, che prevede più responsabilità e risorse per sostenere maggiormente gli Stati membri nella gestione delle minacce e degli attacchi informatici.
Si tratta di una decisione molto importante, che oggi affianca e domani sostituirà quanto previsto dalle legislazioni nazionali in tema di cybersicurezza, per quei paesi che già ne dispongono, tra cui l’Italia.
Dopo l’emissione del regolamento GDPR del 2018, con questo ulteriore intervento legislativo, l’unione europea, completa il quadro pensato per garantire ai cittadini europei maggior protezione.
In sostanza avremo un organo sovranazionale che definirà gli standard di sicurezza informatica e certificherà la qualità, in termini di Cybersecurity, di siti on-line e smartphone. Avrà inoltre potere di sorveglianza e di allocazione di risorse in modo che il tema della cybersecurity venga affrontato a livello europeo in maniera più efficace ed efficiente.
Finanza, Fintech e Cybersecurity
La necessità sempre più diffusa di interfacciare i sistemi aziendali con l’esterno, attraverso lo scambio di dati, e di interconnettere gli hardware attraverso le nuove tecnologie dell’Internet Of Things, o ancora le nuove autostrade informatiche in costruzione grazie al 5G, aumentano in modo esponenziale la necessità di sistemi e norme di sicurezza.
Le grandi aziende stanno progressivamente sviluppando una forte consapevolezza sull’importanza del Cyber Risk, tanto che il 75% del totale degli investimenti nel settore Cybersecurity è ad appannaggio di queste ultime.
Per le piccole imprese, il discorso è diverso. Nel caso di settori tradizionali, si registra ancora una scarsa attenzione al problema e la mancanza di incentivi fiscali non aiuta gli investimenti nella protezione Cyber, come accade invece per gli investimenti in beni materiali.
Un discorso diverso vale per le PMI nate digitali, come le Fintech. Fermo restando, che si possono sempre distinguere le imprese più virtuose dalle meno virtuose come in tutti i settori, nel caso delle Fintech la cultura cyber è nativa, quindi generalmente molto elevata. Le Fintech nascono sulla centricità del cliente e del fornitore, sull’importanza del dato e della user-experience, ma dal punto di vista della produzione, i servizi che offrono si sviluppano attorno alla programmazione di algoritmi. Le Fintech sono figlie del mondo informatico, quindi forse lo conoscono meglio.
Le Fintech che stringono rapporti con il mondo bancario, che sviluppano interfacce con i gestionali delle banche e che un domani sfrutteranno le possibilità date dall’open banking, sono virtuosamente costrette ad elevare ancora di più livelli di attenzione e di protezione.
Come sempre accade nel mondo del business, sono i settori più evoluti, più importanti e più a rischio, quelli che sviluppano in maniera più marcata la necessità del progresso. Insieme ai giganti del web che trattano il nuovo oro, ovvero il dato, e alle grandi multinazionali, è molto probabile che sarà il mondo della finanza, tradizionale o Fintech, a dare la spinta più forte alla creazione di barriere di protezione sempre più efficaci contro il Cyber risk.
Fonte “Finanza Caffè”