Rischio Cyber: cos’è e come le PMI possono gestirlo

Con questo articolo chiudiamo il ciclo di approfondimenti dedicato ai rischi più temuti dalle aziende nel 2024. Abbiamo parlato di Catastrofi naturali - argomento su cui ritorneremo in futuro quando saranno emanati i necessari regolamenti attuativi - e della Business Interruption (chi non lo avesse letto lo trova qui).

E ora, veniamo alla minaccia più temuta e, forse, più insidiosa: il rischio Cyber.

CHE COS’È IL CYBER RISK

Per rischio Cyber intendiamo l’insieme di tutte le conseguenze, dirette e indirette, derivanti da danni o violazioni al sistema informatico di una società, che comportano: la perdita, diffusione, alterazione, inaccessibilità a dati, applicazioni o altri asset aziendali, per cause accidentali (errore umano) o dolosi da parte di terzi, grazie ad accesso non autorizzato a una rete, un sistema informatico o un dispositivo digitale.

Ma come abbiamo imparato analizzando i pericoli legati alla Business Interruption, le conseguenze più dannose possono essere quelle consequenziali derivanti dal danno diretto ai dati ed al sistema informatico: perdite finanziarie ed economiche da maggiori costi per il ripristino e riattivazione dati e rete, interruzioni di operatività, danni di immagine e di reputazione, responsabilità civili e penali.

PERCHÉ LE AZIENDE SONO ESPONENZIALMENTE PIÙ SOGGETTE OGGI A QUESTI RISCHI?

La digitalizzazione del lavoro (smaterializzazione, lavoro a distanza), processi web-based, connessione e accessibilità 24/7, creano il contesto nel quale il rischio si annida, ma l’“immaterialità” di tale contesto costituisce l’innesco del rischio. Spieghiamoci meglio: i vantaggi della digitalizzazione del lavoro nel XXI secolo sono tanti, ma se prima i rischi aziendali erano tangibili (furto della merce, incendio del fabbricato, evento atmosferico, danno ai macchinari) oggi malware, ransomware, phishing, D.O.S., SQL injection, zero-day, oltre ad essere parole comprensibili a pochi, non “si vedono” e non sono evidenti. Il rischio è di avere il ladro in casa, che ci guarda, studia e apprende le nostre debolezze, e non saperlo. Un po’ come una malattia asintomatica, che ogni giorno muta, si trasforma in risposta ai sistemi difensivi adottati, ed è diversa da quelle conosciute fino a ieri.

Come abbiamo ormai imparato, ogni rischio va innanzitutto compreso. E la prima grande difficoltà è proprio questa relativamente ad un evento Cyber: conoscere le vulnerabilità della propria infrastruttura informatica, relativamente a rete, applicazioni, dispositivi, personale, accessi. Per la propria azienda, di qualunque dimensione, il consiglio del ‘parente tuttologo’ è ben accetto, ma non sufficiente: affidarsi a un consulente informatico, fino ad un dipendente con ruolo di CISO (Chief Information Security Officer) è oggi indispensabile.

LIMITARE IL RISCHIO CYBER: ALCUNI CONSIGLI

Tuttavia, bisogna essere consapevoli che non tutte le aziende hanno la possibilità di inserire in organico una figura dedicata alla gestione dell’infrastruttura informatica. Sicuramente, sottoscrivere un contratto di assistenza e manutenzione della propria rete e dei propri dispositivi è un’opzione accessibile ai più. Infatti, installare e tenere aggiornati tutti i software, non solo quelli di sicurezza, è una regola facilmente applicabile. Altra soluzione è quella di disporre di una VPN, una rete virtuale privata in cui transitano i dati e le informazioni aziendali, o di affidarsi a servizi in cloud, che consentono a dipendenti e utenti aziendali di accedere a dati, applicazioni e risorse senza utilizzare server fisici o installare software sui propri dispositivi.

Più in generale, la prima regola per un’adeguata gestione del rischio è strettamente connessa all’educazione delle persone. Quindi i tre semplici comportamenti da seguire, indispensabili e adottabili da tutte le imprese, indipendentemente da dimensione e risorse da dedicare alla sicurezza informatica, sono:

1. Gestire in modo appropriato le password: scegliere password adeguatamente complesse (caratteri maiuscoli, minuscoli, numeri e simboli) e non facilmente riconducibili all’utente (data di nascita o il nome) o banali (123456 – password – 000000) e obbligare ad aggiornarle periodicamente.
2. Formazione e sensibilizzazione dei dipendenti: riservatezza nell’utilizzo dei laptop e delle conversazioni telefoniche in pubblico; non utilizzare reti wi-fi pubbliche; sensibilità a riconoscere mail di phishing o che possono contenere malware/virus.
3. Limitare gli accessi dei dispositivi e le possibilità di scambio dati non autorizzata: blocco accesso a siti inappropriati ma anche social network, file transfer e utenze di posta elettronica non aziendale; blocco delle porte USB, bluetooth e wifi direct.

Sappiamo poi che per gestire correttamente il rischio residuale, che l’azienda con le proprie risorse non è in grado di affrontare, l’ultima difesa è l’assicurazione.

UNA POLIZZA ADATTA AD OGNI CYBER RISCHIO

Sul mercato esistono ottime soluzioni di assicurazione Cyber e, quanto segue, rappresenta sia un elenco delle conseguenze di un evento Cyber, che coerenti e necessarie coperture assicurative che la polizza deve prevedere:

1. immediatamente dopo l’evento dannoso è necessario individuare la causa, valutare le conseguenze, identificare le prime immediate risposte attraverso un team di esperti o l’aiuto del proprio fornitore di servizi informatici;
2. in un secondo momento:

• ripristinare nel più breve tempo possibile i dati, i device e le reti impattate, come rispondere ad un eventuale attacco a scopo estorsivo (dilemma tra ripristinare o pagare);
• verificare e gestire la relazione con fornitori e clienti, qualora i loro dati ed informazioni siano state compromesse o diffuse nella rete (conseguenza tanto più importante quanto più l’azienda tratta dati particolari);
• valutare gli impatti legali e i possibili risvolti reputazionali che richiedono interventi a tutela dell’immagine aziendale;
• quantificare l’eventuale trasferimento fraudolento di fondi ed identificare le cause, volte ad evitare il ripetersi di tale violazione;

3. identificare e trattare eventuali richieste di risarcimento da parte di terzi per violazioni di sicurezza (dati confidenziali, violazione proprietà intellettuale, privacy, diffamazione, danno reputazionale) conseguenti all’evento Cyber, definendo una strategia di investigazione e di difesa che tuteli l’azienda nelle opportune sedi e gradi di giudizio;
4. al pari delle relazioni con i privati, identificare e trattare eventuali penali e sanzioni di Enti regolatori o PCI (nel caso di violazione dati relativi a carte e sistemi di pagamento);
5. quantificare la perdita di profitto derivante dall’interruzione dell’attività aziendale conseguente all’evento Cyber e valutare tutti i maggiori costi operativi volti ad affrontare i punti sopra menzionati.

In accordo con quanto precede, l’obiettivo di Wopta Assicurazioni è di offrire coperture assicurative accessibili in fase di sottoscrizione, semplici e chiare nelle coperture offerte, concrete nel supporto al momento della liquidazione, affinché anche le micro e piccole imprese italiane possano poter fare affidamento su una copertura assicurativa in grado di tutelare in caso di evento Cyber.

Wopta è il partner di rifermento per gli imprenditori e gli artigiani che cercano un’offerta tailor made per le loro esigenze. Wopta per te Artigiani e Imprese mette a disposizione delle aziende, dalle più piccole alle più strutturate, una risposta concreta per tutelarsi contro i danni causati da eventuali incidenti, incluso quello Cyber, che minacciano la produttività aziendale. Per saperne di più è possibile consultare la pagina di prodotto dedicata o entrare in contatto con un esperto di Wopta per una consulenza dedicata alla propria azienda.