Dietro un argomento molto delicato come la cybersecurity in azienda si nasconde una realtà molto più articolata e complessa di quanto si riesca a immaginare. Uno scenario tuttavia difficile da inquadrare, per questioni prima di tutto di riservatezza ma, più spesso, per una conoscenza del problema molto approssimativa. Tracciare un quadro più realistico è però possibile, grazie proprio a chi si trova a dover fornire la necessaria consulenza ed assistenza, e non solo in fase di prevenzione. «L’approccio con cui ci confrontiamo più spesso non è ancora un modus operandi rivolto ad una vera e propria gestione del rischio, quanto un approccio prevalentemente reattivo – sottolinea Jean-Paule Castagno, partner di Orrick –. In pratica, si reagisce di fronte a un attacco, ci si difende di fronte a un eventuale intervento delle autorità, ma si pianifica molto poco in anticipo».
Un limite ormai storico del tessuto imprenditoriale italiano, conseguenza anche dell’estrema frammentazione delle imprese, per buona parte non abbastanza grandi e organizzate da potersi permettere figure dedicate a seguire l’argomento in modo dedicato. Il rischio, tuttavia, è alto e le conseguenze di sottovalutare la cybersecurity possono essere gravi. «È un aspetto sul quale stiamo lavorando da anni – prosegue Castagno –. Bisogna fare i conti anche con una buona dose di sottovalutazione, la convinzione di non essere presi di mira in mezzo a tanti altri, che porta ad agire solo nel caso in cui si verifichi effettivamente un’intrusione, vale a dire quando è già tardi».
In realtà, niente di totalmente nuovo. Importante, però, è poter contare su un punto di vista ufficiale e competente, in grado di presentare valutazioni oggettive su una situazione da non trascurare, sotto diversi aspetti. Ed è qui che entra in gioco Orrick, studio legale internazionale con oltre 60 professionisti in Italia e consolidate competenze in Technology & Innovation. «Non si ragiona abbastanza sulla prevenzione anche per una grossa lacuna in termini di formazione.. Quando, infatti, ci si trova a dover gestire una situazione di crisi già in atto, allora emerge anche la mancanza di tutte quelle conseguenze in prima battuta sottovalutate».
Prima fra le conseguenze a cui non si pensa, è il blocco operativo. Subire un’intrusione o un attacco ai sistemi IT aziendali, non significa infatti solo furto di dati. Situazioni di phishing o ransomware portano rapidamente all’indisponibilità delle risorse, impedendo ai dipendenti, ma anche a tutti i partner della supply chain, di proseguire la propria attività, con le relative ripercussioni economiche – non solo per eventuali richieste di riscatto dei dati ma, ancor di più, per l’inattività forzata che l’attacco comporta. Senza trascurare, inoltre, la conseguenza a lungo termine, forse la peggiore di tutte. «Dobbiamo considerare anche il danno reputazionale. Quando si subisce un data breach è obbligatoria, infatti, una serie di segnalazioni, a clienti, fornitori e autorità. Talvolta ci siamo trovati di fronte a situazioni in cui questo non è stato possibile, poiché l’azienda target non ha realizzato di essere stata attaccata fino a quando alcuni dei suoi dati sono stati individuati nel Dark Web». Tutto questo può portare a un ulteriore aggravio con eventuali, ulteriori sanzioni, la cui entità (fino a dieci milioni di euro più il 2% del fatturato) è in grado di compromettere seriamente il futuro di un’azienda.
Servono sensibilizzazione e tanta formazione
Già questo dovrebbe abbastanza per risvegliare la coscienza del problema a livello aziendale, anche nei manager più “distratti”. Troppo spesso, però, la cybersecurity viene ancora vista come un costo obbligato, quando invece dovrebbe rientrare nelle normali logiche di prevenzione, mirate a garantire la piena operatività. «Consapevolezza e formazione sono indispensabili. Devono riguardare tutte le persone in azienda attive sul sistema IT (e non solo loro), poiché tutto parte sempre da un errore umano, ed è lì che chi attacca va a ricercare il punto debole dell’organizzazione».
Esattamente come ci si preoccupa della sicurezza fisica di dipendenti e ambienti, fosse anche solo per non incorrere in sanzioni, lo stesso deve succedere sul fronte IT. Le conseguenze peggiori di una mancata preparazione, infatti, sono le stesse e il punto debole resta la percezione del reale livello di rischio, che cresce esponenzialmente se si mantiene un atteggiamento passivo e “fatalista” nelle fasi iniziali.
«In caso di incidente c’è l’obbligo di segnalazione al Garante della privacy, al quale è necessario fornire una descrizione più dettagliata e precisa possibile. La valutazione di eventuali responsabilità, così come l’adeguatezza dei sistemi e i relativi eventuali provvedimenti vengono valutati infatti anche in base a questo. Se non si riesce a dimostrare di aver fatto tutto il possibile, sia in chiave preventiva sia in chiave reattiva, le conseguenze sanzionatorie possono essere rilevanti».
Diversamente da quanto spesso si sia portati a credere, questa è una situazione che riguarda anche i dipendenti stessi: una volta che ci si trova in possesso di credenziali di accesso ai sistemi aziendali, automaticamente abbiamo l’obbligo di utilizzare quei sistemi correttamente, altrimenti entrano in campo anche responsabilità oggettive da parte nostra. Per esempio, legate al download e alla copia di dati su supporti o dispositivi personali. «L’azienda deve proteggere ogni bene proprio, anche dettando regole di comportamento e prevedendo eventuali provvedimenti».
La difesa passa dalla conoscenza
La risposta in grado di mettere al riparo dalle conseguenze più spiacevoli, o quanto meno di porvi un argine, passa quindi prima di tutto dalla conoscenza del problema, delle normative di riferimento e delle relative strategie da adottare. Tanto l’esperienza, quanto le competenze di Orrick sono orientate esattamente in questa direzione: i professionisti dello studio aiutano i propri clienti a mettere a punto le relative attività di sensibilizzazione e formazione, da ripetere nel tempo, e consigliano loro anche attività specifiche da portare avanti, come i test di vulnerabilità. «Dalle indagini interne si capisce subito quanto sia urgente una formazione più mirata, anche solo per aiutare i dipendenti a conoscere le direttive esistenti e a valutarle nel modo più opportuno. Spesso, infatti, regole e procedure esistono, ma vengono ignorate o trascurate. È importante ricordare sempre che chi non ha adottato i comportamenti prescritti dall’organizzazione è responsabile del reato tanto quanto l’autore».
Tutto questo, portato al di fuori dei confini aziendali, si traduce in qualcosa di ancora peggio, se possibile. Di fronte al rischio di sanzioni che potrebbero derivare anche dalla semplice imperfetta predisposizione di adeguati strumenti di tutela preventiva, infatti, si ripropone il tema del crollo reputazionale, che è praticamente immediato. Di fronte al rischio di vedere messi in pericolo i propri dati in caso di condivisioni non autorizzate e data breach, clienti e fornitori corrono per tirarsi indietro.
Infine – ed è un ulteriore punto importante e da non sottovalutare – sempre più istituti di credito si rivolgono a realtà come Orrick per inserire anche la cybersecurity in sede di valutazione per le operazioni finanziarie. «Sicuramente il rischio zero non esiste – conclude Jean-Paule Castagno –. Bisogna però comportarsi come di fronte a qualsiasi altro pericolo aziendale e fare tutto quanto possibile per mitigarlo. Questo significa agire nell’ottica di un concetto di “paracadute”. La messa in sicurezza va dunque considerata un vero e proprio investimento a tutela del business».
