Approfondimenti

Cyber Risk

17/11/2015

di Avv. Gianluca Marmorato

Siamo tutti ormai fruitori delle nuove tecnologie, applicate con efficacia a tutti gli ambiti produttivi e professionali, ma non sempre ci si sofferma ad analizzare compiutamente ed analiticamente la rivoluzione digitale che sempre più velocemente sta invadendo le attività moderne.
Nel corso degli ultimi venti anni le vite lavorative e personali di tutti noi sono state definitivamente trasformate dall'utilizzo sempre più massiccio e pervasivo della tecnologia.
Fino a pochi decenni fa i calcolatori (padri degli odierni computer, tablet o smartphone che tutti ormai utilizzano quotidianamente) avevano necessità di spazi estremamente grandi ed il loro costo elevato li rendeva disponibili esclusivamente all'area militare, prima, ed alle aziende di dimensioni multinazionali, poi, ma il loro utilizzo si limitava ad effettuare calcoli mirati a ricerca o immagazzinamento dati locali.
L'avvento della Silicon Valley e del boom economico degli anni '80 hanno reso fruibile al grande pubblico i calcolatori dati che divennero ben presto Personal Computer; i tempi erano maturi per portare un PC sulla scrivania di ogni famiglia. Difficili da dimenticare sono le parole di un giovane Steve Jobs, riportate dalla rivista specialistica Inc nell'ottobre 1981, che così recitavano: "In the past 15 years, there have been only a few tools that have actually increased the efficiency of the office worker -- the IBM Selectric typewriters, the calculator, the Xerox copier, and the newer, advanced phone systems. Like all those inventions, the personal computer offers its power to the individual. By combining typing and calculating functions, replicating of stored documents, and data transmission over telephone lines, Apple's personal computers offer the promise of a synergistic increase in individual efficiency... I'm going to put an Apple Computer on every desk".
Molta strada, da allora, è stata fatta, lo sappiamo bene, e la tecnologia ha portato innegabili benefici, ma anche, inevitabilmente, comportato rischi che devono essere compresi e gestiti.
L'era che viviamo è caratterizzata dalla condivisione di dati, e costante connessione ad internet; la rete globale odierna è alla base della vita lavorativa e ludica di miliardi di persone, ma rappresenta anche una giungla ove opera ogni genere di illegalità.
Le vite personali e professionali, nonché le attività economico-commerciali, sono facilmente rintracciabili e disponibili alla grande utenza; senza dubbio questa macro esposizione (necessaria ovviamente per i soggetti commerciali e le attività di servizi) di dati e profili, genera, insieme all'evidente aspetto positivo della "presenza", anche notevoli rischi per la manomissione e l'uso illegittimo di tali dati.
Il Cyber Crime sembra dunque essere l'ultima, più diffusa e più complessa frontiera del crimine, e ciò per alcuni ordini di ragioni. In primo luogo la globalizzazione e massiccia diffusione di internet rappresenta una via fondamentale per la nuova economia; la libertà della rete, la velocità dei dati e la sostanziale carenza di uniformità legislativa, rappresentano, in positivo, il trend crescente di semplicità cui tutti gli operatori del settore informatico puntano, ma al contempo tutto ciò rappresenta il Black Hole del crimine.
Assistiamo quotidianamente a tentativi di frodi informatiche, dalle più artigianali a quelle poste in essere con particolare destrezza e competenza, il cui comune denominatore è l'ampia possibilità della copertura delle attività delittuose dietro un totale anonimato.
Sempre più frequenti sono le notizie di intromissioni da parte di hackers nei datacenter di colossi quali i più grandi istituti bancari internazionali, ovvero società come Sony (noti sono i recenti furti di dati attraverso la console di giochi Playstation), TK Maxx, Google e perfino la Nasa.
Altrettanto recenti sono inoltre le notizie dei furti di milioni di password dalle banche dati di Apple ad Amazon, e per tali fatti si stanno già profilando classactions oltreoceano del valore di decine di milioni di dollari.
L' argomento è ovviamente sul tavolo di tutti i Governi, sia per l'alta incidenza economica che rappresenta il crescente fenomeno del Cyber Crime, sia per i rischi legati alla sicurezza internazionale, anche alla luce di possibili "attacchi" terroristici di natura informatica.
Anche l'Unione Europea ha posto la massima attenzione sul rischio informatico, al punto che nel gennaio 2013 ha visto la luce il Centro Europeo per la lotta alla criminalità informatica (EC3), con il preciso scopo di monitorare e creare le basi per la lotta su scala comunitaria al Cyber Crime.
Leggiamo nel documento ufficiale della UE ciò che rappresenta la rete, sia in campo economico che socio-politico: "Over the last two decades, the Internet and more broadly cyberspace has had a tremendous impact on all parts of society. Our daily life, fundamental rights, social interactions and economies depend on information and communication technology working seamlessly. An open and free cyberspace has promoted political and social inclusion worldwide; it has broken down barriers between countries, communities and citizens, allowing interaction and sharing of information and ideas across the globe; it has provided a forum for freedom of expression and exercise of fundamental rights, and empowered people in their quest for democratic and more just societies - most strikingly during the Arab Spring" [1].
La Commissione Europea sancisce la necessità da parte dei Governi di promuovere ed incentivare un uso libero di internet, ma al contempo di vigilare sul corretto utilizzo di tale potente mezzo: "Our freedom and prosperity increasingly depend on a robust and innovative Internet, which will continue to flourish if private sector innovation and civil society drive its growth. But freedom online requires safety and security too. Cyberspace should be protected from incidents, malicious activities and misuse; and governments have a significant role in ensuring a free and safe cyberspace. Governments have several tasks: to safeguard access and openness, to respect and protect fundamental rights online and to maintain the reliability and interoperability of the Internet".
La strategia Europea esprime la visione che la UE ha della sicurezza informatica, articolandola in
cinque priorità:
• conseguire la resilienza informatica;
• ridurre drasticamente la criminalità informatica;
• sviluppare la politica di difesa e le capacità informatiche connesse alla politica di sicurezza e di difesa comune;
• sviluppare le risorse industriali e tecnologiche per la sicurezza informatica;
• istituire una coerente politica internazionale del ciberspazio per l'Unione europea, e sostenere i valori fondamentali della UE.
La politica internazionale della UE per il ciberspazio intende promuovere il rispetto dei valori fondamentali dell'Unione europea, definire regole di comportamento responsabile, favorire l'applicazione delle leggi internazionali in vigore, aiutando inoltre i paesi terzi a costruire sicurezza informatica, e favorire la cooperazione internazionale su questi temi.
Nel testo Europeo si legge una proposta di Direttiva sulla sicurezza delle reti e dell'informazione (SRI), che costituisce la principale misura prevista dall'Agenda Digitale. Essa pone in capo agli Stati obblighi in materia di prevenzione, trattamento e risposta nei confronti dei rischi e degli incidenti informatici, pone le basi per la creazione di un meccanismo di collaborazione tra i Paesi membri, e stabilisce obblighi di sicurezza per gli operatori del mercato e le Amministrazioni Pubbliche.
In sintesi le misure ipotizzate sono le seguenti:
• analizzare e realizzare una strategia per la sicurezza delle reti e dell'informazione con la quale definire gli obiettivi, le priorità e le misure necessarie al fine di mantenere un adeguato, elevato livello di sicurezza;
• nominare un'autorità responsabile della sicurezza delle reti e dei sistemi informativi, dotata di risorse e poteri adeguati, il cui compito appare quello di sorvegliare sul rispetto della direttiva a livello nazionale e di contribuire alla sua coerente applicazione in tutta la UE;
• istituire, in collaborazione con la Commissione, una rete, al fine di garantire un effettivo coordinamento. Al suo interno, le autorità nazionali competenti dovranno svolgere attività quali la diffusione di preallarmi in merito a rischi e incidenti, la pubblicazione periodica di informazioni non riservate sui preallarmi in corso, la collaborazione con le altre autorità e con gli altri organismi competenti, al fine di scambiare informazioni e buone pratiche e fornire assistenza reciproca;
• provvedere affinché le amministrazioni pubbliche e gli operatori del mercato adottino misure adeguate per la gestione dei rischi relativi alle reti ed ai sistemi informativi che essi controllano ed utilizzano nello svolgimento delle proprie attività. In particolare, essi saranno tenuti a notificare all'autorità competente ogni incidente che abbia un impatto significativo sulla sicurezza dei servizi prestati. L'autorità potrà rendere pubblico l'incidente, qualora lo ritenga necessario [2].
Nel febbraio 2014, la Commissione Europea ha pubblicato uno studio analitico rispetto al primo anno di attività del Centro Europeo per la lotta alla criminalità informatica: "Il modus operandi criminale è in rapida mutazione e sfrutta gli sviluppi tecnologici e le lacune giuridiche. I criminali continueranno a dimostrarsi creativi e a lanciare attacchi sofisticati per incrementare i loro proventi e noi dobbiamo essere in grado di difenderci. Il bagaglio di conoscenze di cui dispone l'EC3 ci aiuta a combattere questa battaglia e a rafforzare la cooperazione a livello europeo. Grazie a diverse operazioni di ampio respiro nel corso dell'ultimo anno, il Centro europeo per la lotta alla criminalità informatica gode già di una meritata reputazione fra le agenzie incaricate di assicurare l'applicazione della legge", ha dichiarato Cecilia Malmström, Commissaria UE per gli Affari interni.
Troels Örting, Capo del Centro europeo per la lotta alla criminalità informatica, ha aggiunto: "Nei primi 12 mesi di funzionamento dell'EC3 siamo stati molto impegnati ad aiutare le autorità europee preposte all'applicazione della legge per prevenire e indagare sui crimini informatici transfrontalieri. Sono fiero e soddisfatto dei risultati finora ottenuti ma non possiamo adagiarci sugli allori. Mi preoccupano in particolar modo le forme sempre più complesse assunte dai programmi maligni che incontriamo, oltre alle truffe informatiche sempre più avanzate dal punto di vista tecnologico, nella fattispecie le estorsioni a sfondo sessuale di cui sono vittime i minori. Abbiamo visto solo la punta dell'iceberg, ma l'EC3, con il sostegno dei nostri validi partner e collaboratori, è impegnato a sostenere le operazioni più avanzate degli Stati membri contro il crimine informatico".
Secondo una recente indagine di organi comunitari, il 12% degli utenti europei di internet ha subito un attacco informatico al proprio conto di posta elettronica o di piattaforma sociale, mentre il 7% è stato vittima di frodi bancarie o con carta di credito online.
Il dato è assolutamente allarmante, ma sebbene non sia di certo sottovalutato, potrebbe in certa misura essere sottostimato, in considerazione del fatto che, accanto alle citate vere e proprie truffe o frodi informatiche, potrebbe nascondersi nella "rete" un rischio ancora maggiore e più diffuso.
Leggendo i più recenti studi statunitensi a riguardo [3], viene prospettato un quadro decisamente allarmante, con un'incidenza del cyber crime sull'economia globale dell'ordine di circa 400 miliardi di dollari all'anno.
Nonostante questi dati preoccupanti, da più parti, in particolar modo nel nostro Paese, si ritiene che solo le grandi aziende multinazionali siano esposte a fenomeni di reati informatici, in considerazione della loro grande visibilità, e che solo tali realtà economiche siano tenute a porre in essere le adeguate e delicate misure di barriera e controllo anti intrusione.
Da tale presupposto deriva una inevitabile e generale sottovalutazione del problema, accompagnato dall'idea che "it will never happen to us", mentre dai più accurati studi appare evidente che le piccole realtà economiche, e persino i professionisti non sono di certo immuni al Cyber Rysk, e ciò proprio in considerazione della loro minore protezione dall'esterno.
Generalmente, le imprese medio-piccole ed i professionisti (Notai, Commercialisti, Architetti, Ingegneri, Avvocati, ecc) sempre più fruitori delle nuove tecnologie e relative applicazioni (Cloud computing, virtual data, ecc), si affidano a strumenti che potrebbero rivelarsi del tutto inadeguati a fronteggiare le intrusioni degli hackers.
Ma quali sono i principali rischi informatici?
Furto o manipolazione illecita di dati sensibili e divulgazione di informazioni riservate, trade secretes, violazione della proprietà intellettuale ed estorsione, perdita di dati con conseguente perdita finanziaria, perdita dei ricavi, interruzione del Supply Chain Management con conseguente perdita degli ordini, accesso alle informazioni personali, download e diffusione di virus nei computers che possono distruggere o bloccare le funzioni di una rete e le relative operazioni aziendali.
Tali rischi aziendali e professionali non possono che aprire la strada ad un'attenta e corretta valutazione della realtà, portando alla individuazione di figure che predispongano adeguate operazioni di Cyber Risk Management.
La valutazione del rischio dovrà necessariamente tener conto di alcune, imprescindibili, valutazioni:
-beni e dati da proteggere
-entità di minacce
-vulnerabilità del sistema
-perdite e danni possibili
-contromisure
Le manovre che non potranno pertanto non essere considerate attengono da un lato all'individuazione degli investimenti necessari in Sicurezza Informatica, e dall'altro al trasferimento del rischio ad un soggetto terzo (Compagnia di Assicurazioni).
I soggetti interessati (aziende e professionisti) per il tramite dei Ciber Risk Management dovranno considerare le diversificate possibili previsioni di rischio, i termini di costi, siano essi tangibili o intangibili, quali il danno concreto per la perdita materiale dei dati, perdite determinate dal fatto che i clienti si possano rivolgere alla concorrenza, costi materiali per la riparazione, rilevamento e ricostruzione dei danni ai dati oggetto di furto e manomissione, costi delle azioni legali perpetrate dai titolari di dati persi o manomessi, perdita generalizzata di fiducia e immagine, accesso dei concorrenti ad informazioni confidenziali o riservate.
In sostanza, come ben spiegato da un noto istituto di ricerche [4], "know what constitutes their data "crown jewels", be it customer data, credit card data, intellectual property or knowledge" dovrà essere una priorità per tutti i soggetti economici, professionali e privati, e, di conseguenza, per le istituzioni nazionali ed internazionali ad essi correlati.

 

[1] Cybersecurity Strategy of the European Union – Bruxelles 7 febbraio 2013.

[2] La proposta di Direttiva sulla sicurezza delle reti e dell'informazione rappresenta un elemento fondamentale della strategia complessiva e richiede che tutti gli Stati membri, i principali operatori di internet e di infrastrutture critiche, come le piattaforme per il commercio elettronico e le reti sociali, nonché gli imprenditori nei settori dell'energia, dei trasporti, dei servizi bancari e dell'assistenza sanitaria si adoperino per garantire un ambiente digitale sicuro e affidabile nell'intera Unione. La proposta di direttiva stabilisce misure che prevedono:

a) l'elaborazione da parte degli Stati membri di una strategia per la sicurezza delle reti e dell'informazione e la designazione di un'autorità nazionale competente in materia, dotata delle risorse finanziarie e umane necessarie per prevenire, far fronte e rispondere ai rischi e agli incidenti che si verificano in tale ambito;
b) l'istituzione di un meccanismo di cooperazione tra gli Stati membri e la Commissione, al fine di mettere in comune mediante un'infrastruttura sicura i sistemi di preallarme riguardo a rischi e incidenti, collaborare e organizzare regolarmente valutazioni inter pares;
c) l'adozione da parte degli operatori di infrastrutture critiche in alcuni settori (servizi finanziari, trasporti, energia, sanità), degli operatori di servizi della società d'informazione (in particolare: app stores, piattaforme di commercio elettronico, pagamenti su internet, "cloud computing", motori di ricerca, reti sociali) e degli amministratori pubblici di prassi in materia di gestione dei rischi e di notifica degli incidenti gravi a livello di sicurezza nei rispettivi servizi fondamentali.

[3] Center for Strategic and International Studies.

[4] 2013 Data Breach Investigations Report, Verizon.