Necessario includere la cybersecurity tra i controlli dei rischi aziendali

È ormai quotidiano il bollettino degli attacchi hacker che infestano l'attività di aziende economiche e di realtà pubbliche: è il tempo di elevare la strategia di difesa.

L'incidente informatico può essere causato da una debolezza interna: per esempio, quando i dipendenti non usano correttamente gli strumenti informatici aziendali o non sono consapevoli dei rischi, commettendo errori, o addirittura prestandosi ingenuamente a truffe di vario tipo (anche soltanto rispondendo al telefono e fornendo informazioni che non dovrebbero essere trasferite a soggetti non conosciuti o, comunque, non autorizzati a conoscere certi dati). Questa ipotesi non va sottovalutata, perché in alcuni casi, grazie ad incidenti del genere, sono stati inviati bonifici non al fornitore bensì ad un soggetto che si è finto tale e che, guarda caso, all'ultimo momento, ha chiamato l'amministrazione per chiedere di effettuare il pagamento della commessa su un conto diverso da quello indicato inizialmente (o persino riportato nell'ordine di acquisto).

Le aziende o le PPAA possono poi essere messe sotto scacco da delinquenti che attaccano informaticamente i sistemi, spesso per bloccare la continuità operativa dell'azienda, o per minacciare la pubblicazione di dati esfiltrati grazie all'attacco, a meno che non venga pagato un riscatto in criptovalute. Basti ricordare i recenti casi della Coldiretti, della Società Italiana Brevetti (che si occupa di tutela e protezione della proprietà intellettuale), della società Aesculapius Farmaceutici, di Alto Calore Servizi (società che gestisce i servizi di gestione dell'acqua potabile e del sistema fognario e depurativo nelle province di Avellino e Benevento) o della rinomatissima Ferrari.

In alcuni casi, le società vengono attaccate anche duramente in pubblico: in un caso molto recente, i criminali non si sono limitati a vantarsi dei dati sottratti e di essere in attesa del pagamento del riscatto, ma hanno anche pensato bene di beffarsi della vittima, sottolineando, nel comunicato di rivendicazione dell'hackeraggio, che si trattava di una società vulnerabilissima sotto il profilo informatico e che pertanto tutti gli operatori economici dovevano considerare che interagire con quell'azienda voleva dire fare affari e connettersi con un soggetto poco sicuro.

Da ultimo, abbiamo assistito all'attacco della ASL 1 dell'Aquila, dove sono stati sciaguratamente messi in gioco i dati personali di migliaia di cittadini. In questo caso, infatti, sul dark web è stata rivendicata l'intrusione dell'avvenuta trafugazione di 10 gygabite di dati personali di dipendenti, di informazioni organizzative e amministrative e, cosa più grave di tutte, di dati sanitari dei pazienti (a quanto pare, anche pazienti di HIV, oncologici, e minori).

Un sistema di controllo interno

Essendo questa l'attualità, il rischio che riguarda la sicurezza informatica dovrebbe essere considerato seriamente da aziende e da enti di altro genere, alla stessa stregua di tutti gli altri rischi che è buona regola presidiare per garantire la sopravvivenza economica ovvero il buon andamento dell'ente.

Un efficace sistema di controlli interni dovrebbe muovere dalla mappatura di tutti i rischi che possono minacciare l'azienda o l'ente sotto i seguenti aspetti:

• efficacia ed efficienza delle attività operative. Qui dovrebbe essere contemplato, tra le altre cose, il rischio del blocco della continuità operativa in conseguenza di un attacco hacker;
• attendibilità delle informazioni, non soltanto quelle destinate a comporre le voci di bilancio, ma inclusive di tutti quei dati sulla base dei quali l'azienda o l'ente possono basare le proprie decisioni. Il rischio di indisponibilità o di compromissione di dati potrebbe essere un fattore di criticità anche a questo riguardo;
• conformità alle normative cogenti o volontarie (per esempio adozione a sistemi di gestione certificati). A questo proposito, la cybersecurity non è richiesta soltanto dal GDPR (regolamento UE 2016/679, in particolare, dagli articoli 24, 25 e 32), ma, a seconda dei soggetti, anche da altre normative. Si pensi, per esempio, alla direttiva UE NIS 2 (2022/2555), che richiede ad una serie di categorie merceologiche di assicurare misure specifiche per proteggersi dagli attacchi informatici, o, ancora, al regolamento UE DORA (2022/2054), che dispone precisi obblighi di sicurezza dei sistemi informatici e di rete che sostengono i processi commerciali delle entità finanziarie.

I report ESG

Se poi l'azienda aderisce ad un percorso orientato verso la dichiarazione non finanziaria, ad una reportistica ESG (acronimo di Environment, Social, Governance), dovranno essere valutati, tra l'altro, i rischi che potrebbero impattare sulla governance, così come quelli che potrebbero avere una ricaduta di tipo sociale: si pensi, per esempio, proprio alla divulgazione di dati sulla salute o relativi a strumenti di pagamento come le carte di credito.

Nella reportistica ESG, i rischi relativi alla sicurezza informatica dovrebbero essere valutati secondo il filtro della “doppia materialità”:

• finanziaria, in termini di costi competitivi derivanti dal mancato allineamento ai migliori standard di settore e, soprattutto, in termini di costi derivanti da possibili cyber incident (interruzioni alla continuità operativa, reclami dei clienti, possibili contenziosi, lesione della brand reputation, costi di recupero dei dati e di rimedio degli incidenti, ecc.);
• non finanziaria, in termini di possibile danno subito dai vari stakeholder riguardati dal possibile evento negativo (per esempio, il ritardo di consegna di una commessa impatta negativamente sull'operatività del mio cliente, a sua volta fornitore, per non parlare degli impatti in caso di violazione di dati personali come è già stato considerato sopra).

Tutti questi rischi dovrebbero essere approcciati con una mappatura adeguata delle possibili conseguenze e poi monitorati nel tempo con l'adozione di adeguati criteri e KPI (Key Performance Indicators).

Chiaramente, negli ambiti pubblici e privati in cui sono trattati dati personali in grande quantità, o dati sensibili (che potrebbero rivelare informazioni sullo stato di salute o comunque su sfere riservate e delicate di una persona), o dati finanziari, patrimoniali o, ancora, relativi ai conti correnti e agli strumenti di pagamento, l'importanza della corretta mappatura dei rischi, degli impatti derivanti da un attacco informatico e,  a cascata,  dell'adozione di un sistema adeguato di protezione cyber, deve essere elevata alla massima potenza.

In conclusione

Quanto può costare all'azienda o all'ente la sottovalutazione di un rischio informatico? Quanto e come un incidente cyber potrebbe danneggiare altre persone o enti? Questo dovrebbe essere il punto di partenza degli amministratori prima di ragionare sul budget da destinare alla sicurezza informatica.