Se un sistema di sicurezza è sotto attacco, risponde l’installatore o il produttore? Come ci si deve o può tutelare? Aziende, professionisti, strutture pubbliche e private, tra “security by design”, competenze, policy e procedure. “La tecnologia da sola non basta”, spiega Attilio De Bernardo, South Europe Cyber Risk di AIG
L’entrata in vigore, lo scorso 25 maggio, delle sanzioni in caso di mancato adeguamento agli standard del GDPR, il regolamento europeo sulla protezione dei dati, ha riportato all’attenzione del grande pubblico un tema che solitamente vive momenti altalenanti di notorietà, legati agli scandali censiti dalle cronache: quello del cyber crime e della gestione corretta dei dati dei clienti di un determinato sistema o servizio. I dispositivi connessi sono sempre più numerosi, un impianto di allarme per definizione lo è, ormai tutte le aziende propongono servizi in Cloud. Non si scappa, dunque, il cyber crime coinvolge tutti, sicuramente le aziende e le infrastrutture pubbliche, perché fanno gola ai criminali più organizzati, che puntano a guadagnare grosse cifre, ma anche il privato cittadino. Non a caso, negli Stati Uniti anche il singolo individuo può già acquistare assicurazioni mirate a rispondere dei danni connessi agli attacchi cibernetici. Approfondiamo il tema con Attilio De Bernardo, South Europe Cyber Risk di AIG, multinazionale americana del settore assicurativo.
Chi perpetra attacchi cibernetici, con quali obiettivi?
“Comunemente si sente parlare di hacker, ma questi soggetti non agiscono per sottrarre informazioni, bensì per il gusto di violare un sistema o per ottenere la notorietà. Per esempio, Anonymous che agisce in concomitanza con grossi eventi mediatici come il G8, e lascia una firma. Il cyber criminale vero e proprio invece è il più pericoloso, si accanisce su un’azienda specifica, o su un settore, oppure sulle persone, e nasconde le tracce. Come è accaduto l’anno scorso, quando un gruppo di truffatori marocchini spediva email promettendo il rimborso del biglietto aereo, mentre in realtà attraverso il click si impossessava delle credenziali della carta di credito”.
Per le aziende?
“Le tecniche sono più sofisticate, richiedono un investimento anche economico, quindi una vera organizzazione. Per esempio, si parte dal furto di un computer o da tattiche di social engineering studiando i social per carpire la fiducia di qualcuno magari vicino al Cfo dell’azienda, cui richiedere un bonifico via email facendosi passare per il Cfo stesso. Oppure un ransomware, ovvero un blocco del servizio con un riscatto da pagare: oggi uno ‘smanettone’ può configurarlo per pochi dollari sul black market. Il 2017 ha segnato un’impennata nelle denunce di incidente, secondo i dati AIG, infatti il totale ha eguagliato la somma delle denunce registrate dal 2013 al 2016, una per ogni giorno lavorativo. E parliamo solo di chi si è assicurato”.
Chi installa sistemi di sicurezza in abitazioni o strutture private e pubbliche come è coinvolto?
“In generale, l’installatore non dovrebbe aver bisogno di una tutela contro il cyber rischio perché installa un impianto ma non lo gestisce. È sufficiente che lo installi a regola d’arte. A meno che non si tratti di un’azienda che realizza sistemi IP, ovvero reti. Una multiutility nostra cliente ha avuto un problema con WannaCry che ha messo fuori uso tutto l’impianto di videosorveglianza: la causa però risiedeva nella tecnologia dell’impianto, che integrava a sua volta una tecnologia vecchia e non aggiornabile automaticamente”. (...)