Pochi poteri e poche risorse. È un mestiere difficile quello del CISO, acronimo di Chief Information Security Officer, il responsabile aziendale della sicurezza informatica che ha il compito di definire le strategie di cyber security, realizzare programmi di protezione, progettare e far rispettare procedure per mitigare i rischi informatici.
Indice degli argomenti
Tutto sulle spalle del CISO
Molte imprese italiane, soprattutto se medio-piccole, continuano a far fronte agli attacchi ransomware, che comportano la cifratura dei dati e la richiesta di un riscatto per ripristinarli e non divulgarli, in ottica emergenziale. Eppure, i casi di aziende bloccate da attacchi di questo tipo e non solo, sono ormai cronaca quotidiana, dimostrando quanto investire in sicurezza informatica sia ormai diventato fondamentale.
Igor Kranjec, ex CISO del gruppo Engineering Ingegneria Informatica, oggi senior Strategy Advisor di organizzazioni internazionali e professore aggiunto del master in cyber security della Link Campus University, traccia un bilancio non molto roseo riguardo alla sicurezza informatica delle aziende del nostro Paese e di riflesso dei nostri dati personali.
Il nostro perimetro digitale in mano ai privati
Molte delle nostre imprese non sono preparate a far fronte al crescente numero di minacce, sempre più frequenti ed evolute. Spiega Kranjec: “Gli attacchi di cui sentiamo parlare più spesso, oltre ai DDOS, utilizzano software malevoli chiamati ransomware. In questo tipo di attacco i criminali violano i sistemi informatici molto tempo prima di procedere alla cifratura dei dati, in modo da avere il tempo di studiare l’azienda, esfiltrare i dati più rivendibili e infine poter recare il più ampio danno possibile nella fase di cifratura”.
Un quadro in cui parte della responsabilità va individuata, oltre che nell’incoscienza di molte imprese, anche nella carenza di consapevolezza dello Stato che – dice l’esperto – sta “lasciando nelle mani di imprese, che per loro natura sono focalizzate sul profitto, il compito di tutelare il nostro perimetro digitale non agevolandole nell’intraprendere tutte le azioni necessarie: quando si viene colpiti, in molti casi le imprese cercano di tamponare gli attacchi, spesso trovandosi a finanziare inconsapevolmente le organizzazioni criminali, cedendo alle estorsioni anziché prevenire attraverso delle politiche di mitigazioni dei rischi”.
Attacchi ransomware, stime quasi impossibili
I dati del 2022 della Polizia postale danno un’idea: nel 2021, gli attacchi a infrastrutture critiche, istituzioni, aziende e privati rilevati sono stati 5.434, nel 2022 12.947 con un’ascesa del 138 per cento. Ma si tratta di informazioni parziali. Avere una stima esatta delle imprese colpite è difficile, se non impossibile, perché “la maggior parte non denuncia”.
La principale paura che spinge le imprese a far passare nel silenzio gli attacchi ransomware di cui sono vittime è il danno reputazionale.
Il secondo motivo sono le possibili sanzioni a cui le aziende potrebbero incorrere qualora non avessero seguito tutti gli adempimenti necessari previsti dalle normative, come il Regolamento Generale sulla Protezione dei Dati (in inglese General Data Protection Regulation, GDPR): l’insieme di regole sulla protezione dei dati personali e della privacy adottato dall’Unione europea nel 2016 è operativo per tutte le organizzazioni a partire dal 2018.
Il World Economic Forum dà i voti alla cyber security delle aziende
Il timore delle sanzioni
Il regolamento prevede pesanti sanzioni per chi viola gli standard di privacy e sicurezza: la cifra può raggiungere anche i milioni di euro e viene stabilita in base al fatturato dell’azienda inadempiente.
Altre possibili sanzioni possono essere richieste da parte dell’Agenzia per la Cybersicurezza Nazionale. Come da decreto legislativo del 3 agosto 2022, n. 123, pubblicato in Gazzetta Ufficiale sabato 20 agosto, “i soggetti che non ottemperano nel termine indicato nell’ordine o nella diffida, l’Agenzia può comminare la sanzione del pagamento di una somma da 200.000 euro ad 1.000.000 di euro”.
“Se le violazioni riguardano provvedimenti adottati dall’Agenzia nei confronti di soggetti con fatturato pari almeno a 200.000.000 euro, si applica a ciascun soggetto interessato una sanzione amministrativa pecuniaria non inferiore allo 0,3 per cento e non superiore all’1,5 per cento del fatturato, restando comunque fermo il limite massimo di 5.000.000 di euro”.
Far sapere di esser stati colpiti è un dovere civico
La ragione per cui, viceversa, dovrebbero darne notizia è che si tratta di una questione di interesse nazionale. “Informare di aver subito un attacco è un obbligo giuridico, oltre ad un dovere civico”, spiega Kranjec. “Aiuta a prevenire nuovi eventuali attacchi che possono nascere attraverso l’utilizzo delle informazioni rubate o attraverso l’utilizzo fraudolento dalle infrastrutture compromesse. Inoltre, condividere i dettagli degli attacchi, consente alle altre aziende di raffinare i loro sistemi di monitoraggio e difesa, avviando così un circolo virtuoso di miglioramento (Continuous Improvement Culture) del livello di sicurezza del nostro paese”.
Gestire la sicurezza della classe dirigente: il ruolo determinante del CISO
I negoziatori di ransomware
Il tipo di risposta agli attacchi ransomware varia di azienda in azienda. In teoria, l’impresa dovrebbe aver redatto processi e procedure dove vengono indicate tutte le azioni da intraprendere in questi casi.
In pratica, però, spesso questo non avviene: in molti casi vengono intraprese azioni maldestre e controproducenti, anche attraverso l’ingaggio di società specializzate nella negoziazione con i criminali informatici, cioè soggetti che si occupano di mediare con i criminali per ottenere il ripristino dei dati pagando un riscatto.
“Sbagliando”, prosegue Kranjec. “E a dimostrazione dell’inconsapevolezza del problema da parte di molte imprese, e di alcuni esperti o presunti tali, spesso vengono ingaggiate aziende specializzate o alcuni studi legali, a fare da tramite con i criminali informatici e aiutare l’impresa in tutti i passaggi pratici necessari, ad esempio la conversione di valuta cartacea incontrovertibile in criptovaluta”.
“Questi scambi sono trattati al pari di ogni altra negoziazione di tipo economico. Sapere chi paga non è sempre difficile: spesso gli autori degli attacchi informatici pubblicano sui siti un conto alla rovescia, al termine del quale, se l’azienda non paga, diffonderanno i dati sottratti. Se i dati non vengono diffusi, il più delle volte vuol dire quindi che la vittima, impresa, ente o fornitore ha pagato”.
Con la pressione che cresce sui CISO, la resilienza personale diventa una priorità
Cedere al ricatto? Scelta miope
Ma perché cedere al ricatto? Per l’esperto, la risposta è chiara: “Non bisogna per nessun motivo cedere all’estorsione. Le aziende cadono in errore valutando il pagamento in un bilancio economico emergenziale e non strategico, trovando la scelta più conveniente e veloce di altre soluzioni. Non solo: in alcuni casi, per un’azienda che viene colta impreparata, ad esempio, non avendo adottato e implementato efficaci sistemi di backup dei propri sistemi, pagare diventa – per semplice ignoranza – l’unica scelta che le imprese pensano di avere per ripristinare i sistemi”.
Come lo Stato può intervenire
Ed è in questo contesto che lo Stato potrebbe svolgere un doppio ruolo. Da un lato, rendere il pagamento talmente anti-economico da non farlo più essere un’opzione percorribile. Dall’altro, incentivare le aziende ad adottare tutte le azioni preventive necessarie, sgravandole di alcuni costi e investendo strutturalmente nel settore.
Per dotarsi di una efficace strategia di cyber security, il primo passo da fare è definire i rischi: capire quali e quanti dati l’azienda genera e gestisce, quali è necessario proteggere e quanto costerebbe all’impresa una loro eventuale diffusione incontrollata. L’altro elemento da definire è l’ecosistema: avere molto chiaro il tipo di infrastruttura che si deve gestisce, stabilendo in modo preciso le strategie da adottare per garantirne la riservatezza, l’integrità e disponibilità dei dati.
Fondamentale, secondo Kranjec, “è riuscire a rendere chiaro il livello di rischio informatico a tutti i livelli, responsabilizzando ogni area aziendale e istituzionale. La cooperazione tra aziende, sia pubbliche che private, con le istituzioni è l’unica strada percorribile per rendere efficaci gli investimenti nella difesa del nostro paese. Non è più possibile delegare alle aziende e i loro CISO, ove presenti, la tutela dei diritti in ambito informatico dei cittadini anteponendo la burocrazia all’efficacia, sotto la minaccia di sanzioni che andrebbero ad indebolire i mercati già appesantiti da una burocrazia onnipresente e una non particolarmente attrattiva politica fiscale”.
Difficile fare una stima di quanti siano le risorse necessarie, visto che le variabili da considerare sono tante: dalle dimensioni dell’azienda al suo grado di maturità nella difesa delle proprie infrastrutture, passando per la costante necessità di adeguare continuamente procedure e tecnologie in base alle mutevoli modalità operative delle minacce che cambiano nell’ordine dei minuti.
Comunicare la cyber security al board aziendale: le strategie per conversazioni efficienti
L’importanza del CISO
Le statistiche dicono che gli investimenti in cyber security dovrebbero corrispondere a circa il 3-5 per cento della spesa IT aziendale, ma – per l’esperto – si tratta di una stima puramente accademica. “I costi vanno calibrati effettuando e aggiornando costantemente il livello di rischio a cui si è esposti. Non esiste un dato valido in assoluto, ed è proprio per questo motivo che esistono i CISO, in grado di fare queste valutazioni ed è altrettanto evidente che questo impegno deve essere affrontano attraverso un coinvolgimento diretto delle istituzioni”.
La figura del CISO è di importanza strategica: “E’ una figura professionale che deve abbracciare molte aree di competenza diverse, deve essere in grado di rapportarsi efficacemente con tutte le diverse aree aziendali, dal CFO, CEO agli azionisti, deve conoscere e tenersi aggiornato sulle normative di riferimento, avere nozioni giuridiche per la gestione degli aspetti penali in caso di frodi o violazioni, giuslavoriste nella gestione dei dati. Per ultimo – e non per questo meno importante – deve possedere le competenze tecniche per comprendere l’impatto delle iniziative proposte. E questi sono solo una parte dei compiti del CISO”.
“Il problema – conclude Kranjec – è che spesso i CISO non hanno né le risorse economiche né le deleghe manageriali per fare ciò che è necessario. La legislazione e le aziende del nostro Paese non stanno dando ancora adeguato peso a questa figura. Nella maggior parte dei casi le imprese si limitano a chiedere al proprio CISO di tamponare le emergenze”.
Articolo originariamente pubblicato il 23 Mar 2023
