Un uomo e una donna testano la cyber security di un server

Cyber security risk: problema organizzativo o tecnologico?

La questione del rapporto tra Cyber Security e ICT Risk ha assunto, negli ultimi anni, un rilievo sempre maggiore. Nell’ultimo dashboard trimestrale dell’EBA (terzo trimestre 2017) ne abbiamo un riscontro: “I rischi relativi alla information and Communication Technology (ICT) rimangono una preoccupazione costante, insieme a quelli relativi ai cyber attacchi. Il potenziamento dei sistemi IT resta fondamentale, ma i costi e le pressioni operative continuano a rimanere un ostacolo per le iniziative delle banche. Che stanno difatti sempre più delegando il trattamento di dati a provider di terze parti, ponendo qualche problema in merito a sicurezza e governabilità”.

Secondo l’EBA, la cyber security trova il suo collocamento nel panorama dei rischi correlati all’information and communication technology (ICT risk) che costituiscono una delle sottocategorie in cui è articolato il rischio operativo.

In particolare, l’ ICT Security risk rientra tra le cinque categorie in cui l’EBA divide l’ICT Risk, nei suoi Orientamenti sulla valutazione dei rischi ICT a norma del processo di revisione e valutazione prudenziale (SREP), 11 settembre 2017. Volendo essere più precisi, esso viene definito come il rischio di accesso non autorizzato ai sistemi e ai dati dei sistemi ICT dell’ente, dall’interno o dall’esterno. Va quindi inquadrato il cyber risk come una delle modalità di accadimento dell’ICT risk che a sua volta, come si è detto, è sottocategoria del rischio operativo. Volendo affrontare il caso un po’ più a monte, bisognerebbe anzitutto ricercare la fonte da cui questi problemi scaturiscono. Molti additano la tecnologia come principale indiziato di queste incongruenze; in realtà, facendo un passo indietro, ci si rende conto come il nucleo del problema sia a livello organizzativo. Da qui la considerazione che, forse, ancora prima che di investimenti in tecnologia, siano necessari investimenti in organizzazione (procedure interne di gestione dei sistemi informatici, policies e regole di utilizzo dei sistemi, formazione). Se insomma i comportamenti delle persone, che sommati fanno i comportamenti dell’organizzazione, fossero maggiormente consapevoli e coerenti con una corretta “postura di sicurezza”, il livello residuo di rischio cyber da gestire sarebbe certamente più contenuto. Senza investire cifre da capogiro in tecnologia, ma facendo leva sul buon senso e sulle capacità organizzative delle persone.

Se ad esempio un hacker esegue operazioni di pagamento fraudolente attraverso un accesso non autorizzato sfruttando le vulnerabilità dei sistemi di pagamento interni, il problema potrebbe stare a monte: ossia nell’insufficiente sicurezza interna dell’ICT, nel suo insieme, magari derivante da un mancato aggiornamento dei firmware.

È proprio questa la chiave di volta di molti di questi cyber attacchi: quando le aziende non garantiscono i controlli essenziali alla sicurezza interna della rete, la possibilità che venga aperta una backdoor nei sistemi aziendali si fa decisamente consistente.

Basterebbe citare Wannacry, l’attacco che ha messo in ginocchio buona parte del sistema sanitario britannico: il malware in questione ha sfruttato una vulnerabilità del sistema operativo di Microsoft. Vulnerabilità per la quale Microsoft stessa aveva rilasciato un aggiornamento correttivo alcuni mesi prima dell’attacco (avvenuto a giugno 2017). Il quindicesimo punto dei “15 controlli essenziali” redatti dallo European Cybersecurity Council recita: “tutti i software in uso devono essere aggiornati all’ultima versione consigliata dal produttore”. Attività che è stata inverosimilmente disattesa anche, o forse soprattutto, dalle grandi aziende.

Cyber security risk e ICT risk sono la stessa cosa, dunque? O esistono delle differenze?

Per molti aspetti cyber security risk e ICT risk non differiscono: entrambi derivano direttamente dalla violazione dei sistemi di sicurezza, ossia quella tipica della sfera ICT. Ciò che, viceversa, può dare una propria autonomia al cyber security risk è la sua stretta relazione con la nascita di nuovi modelli di impresa della banca, capaci di modificare in profondità il sistema finanziario nel suo complesso. Sotto questo aspetto, il cyber security risk presenta diverse similitudini con quello ICT: è però il primo che sta apportando ingenti cambiamenti nel mondo finanziario. Come si dovrebbero porre le banche nei confronti di un rischio impalpabile eppure estremamente reale? Forse con generosi rafforzamenti della sicurezza dei sistemi IT (remain necessary nelle parole dell’EBA), sebbene i costi e i cambiamenti operativi ne costituiscano i principali ostacoli. Ma ciò potrebbe non essere abbastanza: il cyber risk aumenta ed evolve, come osservato, quanto più la velocità del progresso tecnologico sopravanza la velocità di evoluzione dei relativi controlli. Sotto questo aspetto, i cyber risks sono come pesci nel mare: puoi provare a quantificarli, ad esaminarli, ma conoscerne l’esatto numero rimarrà sempre e comunque impossibile.  L’azione di contrasto più efficace, quindi, è la predisposizione di una robusta linea di difesa cibernetica, supportata da tecnologia avanzata e personale specializzato. Nonostante questo, però, il rischio in sé rimane alto: toccherà quindi vedere quale azienda riuscirà a mantenere in equilibrio sicurezza, controllo dei costi e controllo delle risorse.

Nike Group ha un piccolo alleato in questo tecnologico e burrascoso mare: Re.Impact. Attiva il free trial oggi stesso su https://nikegroup.it/it/servizi/regulatory-services/regulatory-hub/