L’Allianz Risk Barometer – che ogni anno stila una classifica dei maggiori rischi per il business – ha valutato gli incidenti cibernetici come il principale fattore di rischio per le aziende. Il rapporto, che viene compilato sulla base delle opinioni di più di 2.700 esperti di sicurezza da tutto il mondo, evidenzia come nel giro di cinque anni il rischio di incidenti cibernetici è passato dalla quinta alla prima posizione, superando un altro grande rischio per le aziende, quello della business interruption. È importante sottolineare come la dimensione cibernetica sia ormai diventata determinante e fondamentale per quelle economie (inclusa l’Italia) che hanno abbracciato la rivoluzione digitale. Come si giustifica questa prima posizione? Siamo pronti a fronteggiare questo allarmismo?

Nel rapporto vengono elencate alcune ragioni per le quali il rischio cibernetico raggiunge la vetta della classifica. Tra queste vi è l’aspetto prettamente tecnico del problema. L’Alliank Risk Barometer, come altri rapporti più settoriali, sottolineano come ci sia un trend consolidato verso l’aumento della sofisticatezza della minaccia cibernetica di alcune tipologie di attacco. Inoltre, aumentano il numero e la rimuneratività degli attacchi cibernetici. Grazie allo studio delle tecniche tattiche e procedure (TTP) si possono identificare i trend dei vettori di attacco utilizzati da chi vuole penetrare nella rete, nel network, o anche in un solo computer di un’azienda. Alle tradizionali forme di attacco, come il ransomware (virus che rendono i dati di un computer inaccessibili se non dietro il pagamento di un riscatto) o l’SQL injection (che implica la manomissione del software di gestione di una banca dati), sono in forte aumento gli incidenti legati a formjacking (che altro non è che il furto di dati delle carte di credito sui siti di eCommerce) e di bug hunting (consistenti nella scansione di network e sistemi propedeutici allo sfruttamento di vulnerabilità note).

Un altro aspetto che pone il rischio cibernetico in testa ai rischi per il business consiste nella crescente normativa adottata sia a livello nazionale che internazionale per quanto riguarda gli incidenti cibernetici. In alcune realtà, come quella europea, il legislatore ha riservato una particolare attenzione alla protezione del dato personale. Il caso del GDPR è di particolare importanza per le aziende. Il regolamento prevede infatti ingenti sanzioni per quelle che non sono state in grado di gestire una violazione dei dati. Ad esempio, nel luglio del 2019 la British Airways è stata multata, ai sensi del GDPR, per circa 240 milioni di euro riguardo a una violazione dei dati di circa 500.000 clienti. Tuttavia, il GDPR non è prescrittivo (cioè stila una lista di cosa implementare affinché si possa proteggere meglio il dato) ma è volto alla responsabilizzazione dell’azienda (che deve comunque proteggere il dato). Come spiega Corrado Giustozzi, esperto di sicurezza cibernetica presso il CERT PA, il fatto che manchino elenchi prescrittivi “non è una dimenticanza del legislatore”, il quale ha propriamente voluto cambiare il paradigma legislativo perché “è compito di ciascun operatore definire e adottare le misure di sicurezza più idonee alla propria specifica situazione”. Benché sia l’approccio giusto, questa responsabilizzazione in effetti impone maggiori costi per le aziende nella gestione della propria sicurezza cibernetica.

Ed infine, una variabile da non trascurare per spiegare come mai il rischio cibernetico è diventato sempre più rilevante per il business è legata alle dinamiche geopolitiche che concernono in misura maggiore anche lo spazio cibernetico. È ormai appurato che gli Stati nazionali sono degli attori estremamente rilevanti e attivi nell’arena digitale. Essi non solo erigono difese per la protezione dei propri asset strategici da possibili attacchi cibernetici, ma diventano anche promotori ed esecutori di operazioni cibernetiche offensive verso gli interessi di altri attori statali e non. La crescente volatilità della sicurezza in questo dominio colpisce anche le aziende, sia direttamente (ad es. per fini di spionaggio industriale) che indirettamente (ad es. per via della propagazione incontrollata di malware). Celebre rimane il caso del malware NotPetya originariamente creato per colpire l’Ucraina, si è poi esteso anche ad altri paesi e aziende in tutto il mondo, per un danno stimato a più di 10 miliardi di dollari.

Il rapporto dell’Allianz Risk Barometer fotografa un trend molto preoccupante. Resta da chiedersi se, oltre ad un crescente allarmismo, vi sono anche soluzioni proposte a livello politico per ridurre il crescente rischio percepito. A tal proposito, il principale asse d’intervento dovrebbe declinarsi in almeno tre macro aree: definizione di un’architettura di sicurezza cibernetica nazionale, investimenti per la cybersecurity aziendale, formazione e campagne di awarness. Per quanto riguarda ciascuno di questi aspetti, l’Osservatorio di Cybersecurity dell’ISPI ha prodotto analisi dello stato dell’arte a livello di Sistema Paese. La principale criticità per le aziende rimane – al netto delle importanti iniziative statali riguardo l’architettura nazionale (incluso il perimetro di sicurezza cibernetica) e degli investimenti in cybersecurity per la transizione al digitale – la scarsa cultura di igiene cibernetica a tutti i livelli aziendali. In Italia, per esempio, il 53% degli attacchi sono dovuti a cause legate all’errore umano. Pertanto, sia la formazione continua su temi di cybersecurity  (a tutti i livelli aziendali) sia una miglior consapevolezza delle implicazioni delle nostre azioni online possono essere due fattori fondamentali di mitigazione del rischio. Visto che lo spazio cibernetico è diventato oramai vitale per le nostre economie e società, è necessario che la sicurezza dello stesso venga posta in cima all’agenda aziendale.