giovedì 11/05/2023 • 06:00
Ogni giorno, l'elenco aggiornato degli attacchi informatici alle aziende e alle pubbliche amministrazioni ci ricorda che un ente dovrebbe considerare il pericolo di subire incidenti cyber alla stessa stregua degli altri rischi da presidiare con attenzione nel corso della sua attività, soprattutto ai fini della reportistica ESG.
Ascolta la news 5:03
È ormai quotidiano il bollettino degli attacchi hacker che infestano l'attività di aziende economiche e di realtà pubbliche: è il tempo di elevare la strategia di difesa.
L'incidente informatico può essere causato da una debolezza interna: per esempio, quando i dipendenti non usano correttamente gli strumenti informatici aziendali o non sono consapevoli dei rischi, commettendo errori, o addirittura prestandosi ingenuamente a truffe di vario tipo (anche soltanto rispondendo al telefono e fornendo informazioni che non dovrebbero essere trasferite a soggetti non conosciuti o, comunque, non autorizzati a conoscere certi dati). Questa ipotesi non va sottovalutata, perché in alcuni casi, grazie ad incidenti del genere, sono stati inviati bonifici non al fornitore bensì ad un soggetto che si è finto tale e che, guarda caso, all'ultimo momento, ha chiamato l'amministrazione per chiedere di effettuare il pagamento della commessa su un conto diverso da quello indicato inizialmente (o persino riportato nell'ordine di acquisto).
Le aziende o le PPAA possono poi essere messe sotto scacco da delinquenti che attaccano informaticamente i sistemi, spesso per bloccare la continuità operativa dell'azienda, o per minacciare la pubblicazione di dati esfiltrati grazie all'attacco, a meno che non venga pagato un riscatto in criptovalute. Basti ricordare i recenti casi della Coldiretti, della Società Italiana Brevetti (che si occupa di tutela e protezione della proprietà intellettuale), della società Aesculapius Farmaceutici, di Alto Calore Servizi (società che gestisce i servizi di gestione dell'acqua potabile e del sistema fognario e depurativo nelle province di Avellino e Benevento) o della rinomatissima Ferrari.
In alcuni casi, le società vengono attaccate anche duramente in pubblico: in un caso molto recente, i criminali non si sono limitati a vantarsi dei dati sottratti e di essere in attesa del pagamento del riscatto, ma hanno anche pensato bene di beffarsi della vittima, sottolineando, nel comunicato di rivendicazione dell'hackeraggio, che si trattava di una società vulnerabilissima sotto il profilo informatico e che pertanto tutti gli operatori economici dovevano considerare che interagire con quell'azienda voleva dire fare affari e connettersi con un soggetto poco sicuro.
Da ultimo, abbiamo assistito all'attacco della ASL 1 dell'Aquila, dove sono stati sciaguratamente messi in gioco i dati personali di migliaia di cittadini. In questo caso, infatti, sul dark web è stata rivendicata l'intrusione dell'avvenuta trafugazione di 10 gygabite di dati personali di dipendenti, di informazioni organizzative e amministrative e, cosa più grave di tutte, di dati sanitari dei pazienti (a quanto pare, anche pazienti di HIV, oncologici, e minori).
Un sistema di controllo interno
Essendo questa l'attualità, il rischio che riguarda la sicurezza informatica dovrebbe essere considerato seriamente da aziende e da enti di altro genere, alla stessa stregua di tutti gli altri rischi che è buona regola presidiare per garantire la sopravvivenza economica ovvero il buon andamento dell'ente.
Un efficace sistema di controlli interni dovrebbe muovere dalla mappatura di tutti i rischi che possono minacciare l'azienda o l'ente sotto i seguenti aspetti:
I report ESG
Se poi l'azienda aderisce ad un percorso orientato verso la dichiarazione non finanziaria, ad una reportistica ESG (acronimo di Environment, Social, Governance), dovranno essere valutati, tra l'altro, i rischi che potrebbero impattare sulla governance, così come quelli che potrebbero avere una ricaduta di tipo sociale: si pensi, per esempio, proprio alla divulgazione di dati sulla salute o relativi a strumenti di pagamento come le carte di credito.
Nella reportistica ESG, i rischi relativi alla sicurezza informatica dovrebbero essere valutati secondo il filtro della “doppia materialità”:
Tutti questi rischi dovrebbero essere approcciati con una mappatura adeguata delle possibili conseguenze e poi monitorati nel tempo con l'adozione di adeguati criteri e KPI (Key Performance Indicators).
Chiaramente, negli ambiti pubblici e privati in cui sono trattati dati personali in grande quantità, o dati sensibili (che potrebbero rivelare informazioni sullo stato di salute o comunque su sfere riservate e delicate di una persona), o dati finanziari, patrimoniali o, ancora, relativi ai conti correnti e agli strumenti di pagamento, l'importanza della corretta mappatura dei rischi, degli impatti derivanti da un attacco informatico e, a cascata, dell'adozione di un sistema adeguato di protezione cyber, deve essere elevata alla massima potenza.
In conclusione
Quanto può costare all'azienda o all'ente la sottovalutazione di un rischio informatico? Quanto e come un incidente cyber potrebbe danneggiare altre persone o enti? Questo dovrebbe essere il punto di partenza degli amministratori prima di ragionare sul budget da destinare alla sicurezza informatica.
© Copyright - Tutti i diritti riservati - Giuffrè Francis Lefebvre S.p.A.
Rimani aggiornato sulle ultime notizie di fisco, lavoro, contabilità, impresa, finanziamenti, professioni e innovazione
Per continuare a vederlo e consultare altri contenuti esclusivi abbonati a QuotidianoPiù,
la soluzione digitale dove trovare ogni giorno notizie, video e podcast su fisco, lavoro, contabilità, impresa, finanziamenti e mondo digitale.
Abbonati o
contatta il tuo
agente di fiducia.
Se invece sei già abbonato, effettua il login.