Fino a poco tempo fa, le imprese finanziarie e i governi erano gli obiettivi principali dei cyber attacchi. Oggi, con ogni azienda che collega sempre più il proprio business a Internet, la minaccia è ormai universale. È quanto emerge da un paper di McKinsey che consiglia una revisione radicale dell’intero sistema di gestione del rischio informatico.
QUALCHE ESEMPIO DI RECENTI ATTACCHI
Basta qualche esempio: dal 2011 al 2014, le aziende energetiche in Canada, Europa e Stati Uniti sono state attaccate dal gruppo di Dragonfly. Nel maggio 2017 il Ransomware WannaCry ha tenuto in ostaggio organizzazioni pubbliche e private nel settore delle telecomunicazioni, della sanità e della logistica. Sempre nel 2017, NotPetya ha attaccato importanti aziende europee in un’ampia varietà di settori. E nel 2018, Meltdown e Spectre sono stati considerati come la più grande minaccia informatica di sempre, dimostrando che le vulnerabilità non sono solo nel software, ma anche hardware. “Non c’è da stupirsi, quindi, che i risk managers ora considerino il rischio informatico la minaccia più grave per la loro attività. Secondo un recente sondaggio McKinsey, il 75% degli esperti considera la sicurezza informatica una priorità assoluta. Questo è vero anche per settori come quello bancario e automobilistico – si legge nell’articolo –. Ma mentre la consapevolezza sta crescendo, anche la confusione è in aumento. I dirigenti sono sopraffatti dalla sfida. Solo il 16% afferma che le proprie aziende sono ben preparate ad affrontare il rischio cibernetico. La minaccia sta solo peggiorando, in quanto la crescita nella maggior parte dei settori dipende dalle nuove tecnologie, come l’intelligenza artificiale, l’analisi avanzata e l’Internet of Things (IoT), che porteranno tutti i tipi di vantaggi ma esporranno anche le aziende e i loro clienti a nuovi tipi di rischio informatico”.
“Che cosa dovrebbero fare i dirigenti? Mantenete la calma e proseguire? Non è un’opzione. La minaccia è troppo forte e i vettori sottostanti su cui sono gravati cambiano troppo rapidamente. Per aumentare e sostenere la loro resilienza agli attacchi cibernetici, le aziende devono adottare una nuova posizione globale, strategica e persistente. Nel nostro lavoro con aziende leader in tutti i settori e nelle nostre conversazioni con esperti leader, abbiamo visto un nuovo approccio attecchire che può proteggere le aziende dal rischio informatico senza imporre indebite restrizioni alla loro attività”, sottolinea McKinsey.
PIÙ MINACCE, PIÙ INTENSE
Il governo statunitense ha identificato la cybersicurezza come “una delle più gravi sfide economiche e di sicurezza nazionale che ci troviamo ad affrontare come nazione”. In tutto il mondo, la minaccia degli attacchi cibernetici è in aumento sia in termini di numero che di intensità. Secondo McKinsey occorre considerare queste cifre: “Alcune aziende stanno investendo fino a 500 milioni di dollari sulla sicurezza informatica; in tutto il mondo, ogni anno vengono create più di 100 miliardi di linee di codice. Molte aziende segnalano ogni mese migliaia di attacchi, da quelli più banali a quelli più gravi. Ogni anno vengono violati diversi miliardi di serie di dati. Ogni anno gli hacker producono circa 120 milioni di nuove varianti di malware. In alcune aziende, 2.000 persone fanno ora rapporto al responsabile della sicurezza informatica (CISO) – e lui o lei a sua volta fa rapporto al responsabile della sicurezza (CSO), che ha un team ancora più grande”. Nonostante tutte le nuove difese, infine, “le aziende hanno ancora bisogno di circa 99 giorni in media per rilevare un attacco segreto. Immaginate il danno che un hacker non rilevato potrebbe fare in quel momento”. 
LA CRESCENTE COMPLESSITÀ RENDE LE AZIENDE PIÙ VULNERABILI
Non solo. “Mentre gli hacker perfezionano le loro abilità, il business sta diventando digitale, e questo rende le aziende più vulnerabili agli attacchi cibernetici. Sono ora a rischio risorse che vanno dalla progettazione di nuovi prodotti alle reti di distribuzione e ai dati dei clienti. Anche le catene del valore digitali stanno diventando sempre più complesse, utilizzando la semplicità di una connessione digitale per collegare migliaia di persone, innumerevoli applicazioni e una miriade di server, workstation e altri dispositivi. Le aziende possono anche avere un firewall all’avanguardia e il più recente software di rilevamento di malware. E potrebbero avere operazioni di sicurezza ben congegnate e processi di risposta agli incidenti. Ma che dire dei fornitori terzi, che potrebbero essere l’anello più debole della catena del valore di un’azienda?”.
MILIARDI DI NUOVI PUNTI D’INGRESSO DA DIFENDERE
Ma man mano che l’internet degli oggetti cresce e che sempre più aziende agganciano i loro sistemi di produzione a Internet, anche la tecnologia operativa (OT) è minacciata. Il numero di dispositivi vulnerabili è in forte aumento. In passato, una grande rete aziendale poteva avere tra 50.000 e 500.000 punti terminali; con l’internet degli oggetti, il sistema si espande fino a milioni o decine di milioni di punti terminali. Entro il 2020 l’internet degli oggetti potrà comprendere fino a 30 miliardi di dispositivi, molti dei quali al di fuori del controllo delle imprese. Già oggi le smart car, le smart home e l’abbigliamento intelligente sono soggetti a malware che li possono reclutare per attacchi distribuiti di negazione del servizio. Entro il 2020, il 46% di tutte le connessioni a Internet sarà da macchina a macchina, senza operatori umani, e questo numero continuerà a crescere. E, naturalmente, miliardi di chip si sono dimostrati vulnerabili agli attacchi di Meltdown e Spectre, debolezze che devono essere affrontate.
TRAPPOLE COMUNI
“La cibersicurezza aziendale sta lottando per tenere il passo con il ritmo vertiginoso dei cambiamenti nel cyber risk. Abbiamo visto tre problemi tipici – prosegue Mckinsey -: Molti dirigenti trattano il rischio informatico come un problema tecnico e lo delegano al reparto IT; altre aziende cercano di spianare la loro strada per il successo, supponendo che la minaccia scomparirà se convinceranno un numero sufficiente di hacker di alto profilo ad entrare tra le fila dell’azienda; infine si tratta il problema come un problema di compliance. Alcune aziende introducono nuovi protocolli di sicurezza informatica e liste di controllo apparentemente ogni due giorni”.
I RIMEDI SECONDO MCKINSEY
“Per preparare le aziende globali a un’era di connettività onnicomprensiva, i dirigenti hanno bisogno di un approccio più adattivo, più approfondito e più collaborativo al rischio informatico”, osserva Mckinsey. Innanzitutto “il rischio informatico deve essere trattato come un problema di gestione del rischio, non come un problema informatico. Il rischio informatico è molto simile a qualsiasi altro rischio complesso, critico e non finanziario”. Le aziende poi “devono affrontare il rischio informatico in un contesto aziendale”. Inoltre, “l’adattamento è essenziale. Prima o poi, ogni organizzazione sarà influenzata da un ciberattack. L’organizzazione, i processi, l’IT, l’OT e i prodotti di un’azienda devono essere rivisti e adeguati in base all’evoluzione delle minacce informatiche”. Il rischio informatico richiede poi “una governance globale e collaborativa”.
PRIVILEGIARE LE RISORSE E I RISCHI IN BASE ALLA CRITICITÀ
“Le aziende possono iniziare facendo il punto sulle loro capacità di rischio informatico e confrontandole con i benchmark del settore. Grazie a queste conoscenze, possono stabilire aspirazioni realistiche per il loro livello di resilienza. Per quanto riguarda le attività, le aziende devono sapere cosa garantire. Non tutte le risorse richiedono gli stessi controlli. Più l’asset è critico, più il controllo dovrebbe essere forte. Analogamente, i processi possono essere resi più efficaci”, ammette Mckinesy.
CONSOLIDARE L’ORGANIZZAZIONE E STABILIRE UNA GOVERNANCE UNIVERSALE
“Una funzione di sicurezza informatica all’avanguardia dovrebbe colmare le divisioni storiche di responsabilità tra sicurezza fisica, sicurezza delle informazioni, continuità operativa e gestione delle crisi per ridurre al minimo i conflitti di interesse e la duplicazione dei processi. Per essere efficace, tuttavia, l’organizzazione ha bisogno di una struttura di governance a livello aziendale, basata su una forte cultura del rischio informatico. Infine, occorre migliorare la resilienza”, spiega Mckinesy. 
NON IMPORTA QUANTO RAFFINATA SIA LA TECNOLOGIA, È IL FATTORE UMANO CHE VINCERÀ LA GUERRA
“In definitiva, vincere la guerra contro il cyber rischio equivale a vincere la guerra cibernetica. Le funzioni di sicurezza informatica devono attrarre, trattenere e sviluppare personale agile, innovativo e di mentalità aperta. Non importa quanto raffinata sia la tecnologia, è il fattore umano che vincerà la guerra”, conclude Mckinesy.
Articoli correlati
Cloud Ue e Supercazzole
Non solo Bargi. Cosa fare e cosa non fare su salute e sicurezza nel lavoro
Come migliorare davvero la sicurezza sui luoghi di lavoro
È un brutto momento per McKinsey, Deloitte, Ey e PwC? Report Economist
