Per fronteggiare e minimizzare gli attacchi cyber occorrono preparazione, velocità e soprattutto formazione
Grandi Navi Veloci (rubati i dati dei passeggeri, tra cui i numeri delle carte di credito), Malindo Air (violate le informazioni dei passaporti di 30 milioni di passeggeri), Capital One (violati i dettagli personali di circa 106 milioni di utenti negli Stati Uniti e in Canada), Adecco (rubati i dati biometrici di 2mila dipendenti) e Bulgarian National Revenue Agency (rubati i dati personali di tutta la popolazione adulta bulgara). Sono solo alcuni tra gli esempi più recenti di data breach che hanno subito importanti aziende di tutto il mondo. Fatti che dimostrano che non possiamo pensare “se dovesse succedere anche alla mia azienda” ed iniziare, invece, a domandarci “quando succederà alla mia azienda, sapremo reagire prontamente ed in maniera efficace?”.
Abbiamo incontrato Cesare Burei, docente del Master in Risk engineering e management e del Corso Attacchi cyber: dall’assessment del rischio al trasferimento assicurativo, per farci spiegare come le aziende dovrebbero comportarsi in caso di frodi e, soprattutto, come dovrebbero prepararsi per evitare che accadano, proprio qualche giorno dopo i fatti che hanno colpito Grandi Navi Veloci, finita nel mirino degli hacker tra il 25 giugno e il 18 luglio, a causa di un sofisticato attacco informatico. “Il primo aspetto da considerare – ci racconta il dottor Burei – è essere pronti per reagire immediatamente e mettere in atto una serie di azioni per cercare, per quanto possibile, di limitare il danno. Esiste poi l’obbligo, previsto dal GDPR, di notificare quanto successo al Garante Privacy entro 72 ore, nonché di informare i clienti e comunicare quanto successo cercando di non aggravare ulteriormente la posizione dell’azienda e non compromettere totalmente la reputazione del brand. Si tratta di attività per le quali, normalmente, un’azienda non è pronta”.
Il tempo è un fattore fondamentale, in caso di attacco. “Tutte le attività che abbiamo elencato – continua Cesare Burei – devono essere fatte nel giro di qualche giorno, se non addirittura ore. Io credo che sia indispensabile che le aziende si preparino perché non è una questione di se, ma di quando si verificherà un attacco. Come, ad esempio, siamo abituati a fare le esercitazioni di evacuazione, indispensabili in caso di incendio, dobbiamo abituarci a fare le esercitazioni sugli attacchi digitali che coinvolgano tutti i dipendenti, di qualunque livello e in qualunque azienda”.
La formazione, anche in questo caso, gioca un ruolo di primaria importanza. Una volta stabiliti i tempi che – come abbiamo detto – devono essere strettissimi, cosa dobbiamo fare? I dati dei nostri clienti sono custoditi in maniera corretta, anche alla luce della nuova normativa GDPR? Come deve essere scritta, ad esempio, una notifica al garante? Che elementi deve contenere? Quali documenti bisogna preparare? Un’errata compilazione, un ritardo nella segnalazione, ma anche la violazione delle regole imposte per tutelare la privacy dei clienti possono portare ad importanti sanzioni a carico dell’azienda. E’ il caso, ad esempio, di British Airways che ha ricevuto una multa da 183 milioni di sterline (204 milioni di euro circa) per il grande furto di dati dei suoi clienti avvenuto nel 2018.
“Per minimizzare un eventuale attacco – conclude il dottor Burei – le parole chiavi sono almeno tre: preparazione, formazione di tutti i dipendenti e, ancora più importante, mai pensare che i dati in nostro possesso non siano interessanti perché gli hacker che violano i sistemi non sono intenzionati ad utilizzare in prima persona i dati, ma semplicemente a venderli nel deep web. E lì, credetemi, qualcuno interessato ai Vostri dati si trova sempre”.
