Come difendere informazioni e know how aziendali

Un fenomeno, dunque, cui porre rimedio al più presto, in quanto si stimano in particolare 9 miliardi di euro persi ogni anno per attacchi informatici causati dal costante aumento di cybercrime (+34%), phishing (+50%) e dei ransomware (+135%), i malware con richiesta di riscatto (fonte: Assinform 2015, Clusit 2016, Nomisma 2015).

Di questo e di altro si è discusso nel corso della tavola rotonda «Cyber Security: quali strumenti mettere in campo per difendere le informazioni e il know how delle proprie aziende», organizzata da World Excellence. Al dibattito, moderato da Angela Maria Scullica, direttore di World Excellence e organizzato e coordinato dall’autrice di questo articolo con il supporto di Marco Del Bò, giornalista e pr, hanno partecipato: Riccardo Raschini, security manager Sanofi Aventis Spa; Guido Travaini, docente di criminologia dell’Università Vita e Salute e partner di Intelligit srl; Stefano Mele di Carnelutti Studio Legale Associato, avvocato esperto di diritto delle tecnologie, privacy, sicurezza delle informazioni e intelligence; Carlo Del Bò, security executive advisor STE Spa.

MELE Uno dei focus principali sui quali concentrarsi è certamente quello di come proteggere il know how delle aziende. Nel 2015, infatti, sono stati creati e immessi sul mercato ogni giorno circa 15mila malware. Nel 2014, invece, ben 320mila al giorno. Anche stando ai soli dati dello scorso anno, decisamente più confortanti, appare evidente come i vettori di attacco siano in costante aumento e come la difesa aziendale debba inevitabilmente e perennemente rincorrere questi fenomeni. Per di più, gli attacchi informatici sono ormai alla portata di tutti: basta fare qualche ricerca approfondita su internet, infatti, ed è molto facile imbattersi in siti dove comprare un attacco informatico contro uno specifico obiettivo, oppure dove affittare il proprio “ransomware”. È il fenomeno cosiddetto del cyber-crime as a service, ovvero del crimine informatico venduto come servizio. Appare ovvio, quindi, che le aziende debbano investire non solo in prodotti di sicurezza, che da soli possono fare ben poco, quanto soprattutto nella creazione di una vera e solida cultura aziendale della sicurezza informatica. Formazione sui dipendenti per esempio, che in ambito privacy e protezione dei dati personali risulta peraltro anche obbligatoria.

RASCHINI Ho iniziato a occuparmi di sicurezza nel 1983 e circa 15 anni fa, grazie a una pregressa esperienza militare, sono stato ingaggiato da una società americana per occuparmi di  sicurezza del trasporto aereo. Dal 2007 a oggi, sono responsabile della sicurezza della filiale italiana di Sanofi, multinazionale farmaceutica di origini francesi, ma con una forte presenza in Italia: oltre 2.700 persone, una sede centrale a Milano e cinque stabilimenti produttivi. Dalla mia esperienza, posso affermare che, nel settore farmaceutico, la protezione delle informazioni è sempre fondamentale, non solo per quanto riguarda la ricerca, ma anche in ambito di produzione e strategie di vendita. Sanofi si è dotata da tempo di un dipartimento dedicato alla sicurezza, la cui direzione centrale è presso la sede del Gruppo, a Parigi. Il dipartimento si occupa sia di sicurezza interna, dei sistemi informatici dell’azienda, sia esterna, relativa alle potenziali minacce rappresentate dalla condivisione di informazioni sensibili. Negli ultimi anni c’è stato un cambiamento importante in questo ambito: i social network. Si è reso, quindi, necessario incrementare la consapevolezza dei dipendenti relativamente a questi strumenti e al loro utilizzo, per evitare potenziali danni che derivano, per la maggior parte, da comportamenti involontari.

DEL BÒ Da oltre 25 anni mi occupo di security e credo che le aziende debbano sapere intercettare in anticipo le nuove minacce cyber e pianificare per tempo le contromisure più adeguate. Rispetto a un decennio fa le minacce sono molto dinamiche e la security ha il compito di analizzare e valutare i rischi conseguenti che non trovano certo limiti geografici.

TRAVAINI Si tratta principalmente di crimini molto vecchi, ma con vestiti nuovi. Uno dei più pericolosi, per esempio, è il cyber stalking: in questo caso, cioè, la tecnologia consente di amplificare a livello esponenziale i possibili danni anche psichici per la vittima. Ma si pensi anche al furto d’identità con effetti dirompenti sulla vita delle persone che ne rimangono vittime. Potrebbe capitare a chiunque.

Ci sono poi, le estorsioni on line, pedopornografia, per non parlare della contraffazione di ogni tipo di siti compresi quelli delle farmacie. Accanto all’hacker singolo (ormai, per lo più, desueto), hanno trovato spazio le imprese e le organizzazioni criminali. Va da sé che anche in questo caso occorre pensare da un lato alla repressione dei fenomeni ma anche a progetti di prevenzione mirati, progetti a cui dovrebbero partecipare istituzioni pubbliche e private.

DEL BÒ Come azienda di consulenza, abbiamo investito molto sia in ambito tecnologico sia nella  prevenzione. Per dare qualche dato, nel 2020 ci saranno 200 miliardi di device collegati in rete e questo aumenterà enormemente la superficie d’attacco. Criminalità organizzata e hacker organizzati lavorano insieme e lavoreranno sempre più in contatto tra loro: la cyber security è un settore in forte espansione che crescerà del 700% nei prossimi 10 anni e creerà dei nuovi “posti di lavoro”. Negli Usa si stimano 2 milioni di posti. Le organizzazioni criminali hanno fondi quasi illimitati da investire nel cyber crime e dovremo essere sempre più attenti.

MELE Sotto il punto di vista della prevenzione l’Italia sta facendo tantissimo sul piano strategico e operativo. Tuttavia, essendo una minaccia che evolve molto velocemente, occorre essere non solo al passo con i tempi, ma soprattutto anticipare i trend e le modalità di attacco. Per esempio, le aziende dovrebbero preoccuparsi, e anche molto, di una minaccia ulteriore e più subdola rispetto a quella ormai nota dei crimini informatici, ovvero lo spionaggio elettronico, sia operato da aziende concorrenti sia, sempre più spesso, anche dai governi attraverso le loro agenzie di intelligence. Sottrarre le informazioni riservate e il know-how di un’azienda, anche piccola o media, che lavora per aziende più blasonate o che gravita a livello governativo, significa ormai non solo colpire la sua stabilità economica, ma anche e soprattutto colpire l’azienda o il governo committente.

MELE Dal punto di vista della difesa, si sta da tempo provando ad arginare questi rischi anche attraverso la promozione di specifiche norme che, attraverso la minaccia di sanzioni spesso anche particolarmente gravose, tentano di accendere l’attenzione delle aziende su questo genere di problematiche. Le normative, però, non possono far altro che rincorrere qualcosa di già consolidato a livello sociale e, pertanto, non possono essere da sole la soluzione. A ogni modo, l’Unione Europea ha introdotto proprio di recente il nuovo regolamento generale sulla Protezione dei dati personali. Entrato in vigore a fine maggio, introduce moltissime novità sostanziali nell’approccio al trattamento dei dati personali effettuato da qualsiasi società. Novità complesse e che impattano su quasi tutti i processi aziendali, tanto da aver previsto un periodo di due anni per l’adeguamento. Periodo che sembra lungo, ma che, in realtà, è da tutti ritenuto fin troppo breve.

RASCHINI In ambito farmaceutico, innovare significa studiare le cause profonde delle patologie per sviluppare farmaci cosiddetti “intelligenti”, ovvero molecole che agiscono su bersagli specifici che sono, appunto, all’origine della malattia, in modo da massimizzare l’efficacia delle terapie, minimizzando gli effetti collaterali. Questo ci porta a ricercare tecnologie e persone nuove, anche al di fuori dell’azienda: un potenziale fattore di rischio. Uno degli esempi più frequenti che non è immediatamente evidente, sono le attività di social engineering. Recentemente, per esempio, abbiamo scoperto l’esistenza di organizzazioni internazionali di head hunting altamente specializzate nel settore farmaceutico che utilizzano questa metodologia in maniera fraudolenta, per ottenere i numeri di cellulare di potenziali candidati.

DEL BÒ Gli attacchi cyber in azienda  posso creare forti ripercussioni economiche e reputazionali. Le aziende hanno già incominciato a investire parecchio in contromisure tecniche ma per stare al passo con gli attacchi devono cercare di avere una visione predittiva e pianificare simulazioni di attacco opportune e sensibilizzare il proprio personale alla difesa del day by day.  Un esempio di criticità si ha quando quando c’è un alto turn over del personale e spesso vengono eseguiti download non autorizzati anche di materiale classificato confidenziale.

MELE Trovare il giusto equilibrio tra protezione dei dati e delle informazioni dell’azienda e tutela del diritto del lavoratore a non essere controllato durante l’attività lavorativa è un processo molto delicato.

Ci sono, tuttavia, dei metodi legali per farlo. Attraverso specifiche policy aziendali e le opportune informative privacy si può costruire un processo virtuoso in cui entrambi gli attori, la società e il lavoratore, siano protetti e tutelati nei rispettivi diritti e doveri.

TRAVAINI È importante quando ci si occupa di prevenzione pensare a come informare senza allarmare troppo le persone.

Occorre far crescere la consapevolezza che il cyber crime è attuale e non vi sono persone o settori che sono completamente sicuri. Occorre far crescere la consapevolezza e le possibili good practices utilizzabili.

DEL BÒ Tutto sarà sempre più connesso di oggi e ogni imprenditore dovrà prendere atto che gli attacchi cyber faranno parte della vita quotidiana. Il tema è complesso e non esiste un’unica soluzione. L’Internet delle cose sarà anche l’internet dei rischi. L’anello debole, infatti, è e sarà sempre l’essere umano, e bisognerà proprio lavorare su di lui e conseguentemente sulla tecnologia. La piattaforma d’attacco sarà esponenziale. Il tema della cyber security acquisterà sempre più valenza e le aziende non potranno non valutare i danni economici che  tali crimini posso arrecare.

MELE I margini per fare tanto e fare bene non sono un miraggio, ma esistono e si concretizzano in alcuni progetti molto interessanti. Personalmente, sono presidente dell’Associazione CyberParco, che si propone di promuovere e creare all’interno della ex area Expo2015 un hub euro-mediterraneo totalmente focalizzato sulla cyber-security.

L’obiettivo è quello di raggruppare in un unico luogo, aziende consolidate del settore, università e startup per promuovere la sicurezza cibernetica attraverso l’osmosi tra esperienza, competenze ed entusiasmo. In questo momento di progetti analoghi ce ne sono solamente due al mondo: uno in Israele, dove  in 4 anni sono state  create circa 300 startup che fanno della cyber-security il proprio core business e che esportano annualmente servizi e tecnologie per circa 6 miliardi di dollari, e uno negli Stati Uniti, nel Maryland. La nostra ambizione è di contribuire con il CyberParco a creare il terzo polo, il primo in Europa.

RASCHINI Penso che nel 2020 saremo ancor più “dematerializzati”, nel senso che ci affideremo sempre più a terzi per determinati servizi, anche inerenti ad aspetti del settore normalmente poco noti. Se questo da un lato ci espone a rischi, dall’altro consente di selezionare più accuratamente i partner con cui lavorare, sulla base delle competenze e degli standard. Se le piccole e medie aziende vorranno lavorare con le grandi, dovranno necessariamente adeguare i propri standard per rimanere competitive ed essere considerate partner affidabili.

TRAVAINI A mio avviso, ci sarà una “democratizzazione” del cyber crime, nato come un crimine per esperti, che verrà sempre più utilizzato dalle grandi organizzazioni criminali e crescerà vorticosamente. Il 2020 è dietro l’angolo e la cyber security deve obbligatoriamente diventare strategia di marketing. Andremo sempre più verso aziende in grado di offrire non solo prodotti validi ma anche cyber sicuri.

[/auth]