L’importanza della cybersicurezza per un management sostenibile

Una PMI svizzera su tre è già stata vittima di un attacco informatico – a volte con conseguenze devastanti: oltre a ingenti danni di reputazione non di rado subentrano anche notevoli ripercussioni economiche. Alcune imprese vengono addirittura trascinate al fallimento, p. es. se la produzione rimane paralizzata per diverse settimane. Nonostante questi episodi e la minaccia in costante crescita dei criminali della rete molti responsabili aziendali continuano a sottovalutare il problema. 

I motivi sono molteplici, come dimostra l’esempio della Food AG, un’azienda all’ingrosso per attività gastronomiche il cui vero nome non verrà rivelato. Quando quelli del primo turno della Food AG accendono i computer alle 5:00 di sabato mattina, fuori gli ultimi nottambuli cominciano a fare ritorno a casa – spesso ancora su di giri per la notte passata a divertirsi. Ben diverso il sentimento che ha invece colto i collaboratori dell’azienda all’ingrosso quando si sono accorti che alcuni dati erano spariti dai loro computer. Hanno avvisato immediatamente il loro partner IT, grazie al quale sono riusciti a disattivare alcune aree della rete aziendale, a interrompere le applicazioni e i programmi e infine a spegnere parti del sistema così da impedire la diffusione del software nocivo.

Aziende spesso impreparate

La reazione della Food Ag all’attacco degli hacker è stata rapida e mirata. Ma non è sempre così, soprattutto quando a essere colpite sono le piccole e medie imprese che non dispongono internamente di un grande reparto d’informatica. Ancor oggi spesso le aziende non sono affatto consapevoli dei rischi a cui vengono esposte quando subiscono un cyberattacco e di come devono comportarsi. Oppure cominciano a prendere in considerazione misure e processi preventivi solamente quando gli hacker hanno già sferrato l’attacco. Di conseguenza mancano della preparazione necessaria per reagire alla violazione dei dati. «Quando i sistemi cessano di funzionare come dovrebbero, le imprese spesso sono paralizzate», afferma Simon Seebeck, responsabile del centro di competenza Cyber Risk presso la compagnia assicurativa la Mobiliare. In caso di attacco informatico, una reazione di difesa ben studiata e una gestione completa della crisi sono però parte integrante del risk management e la premessa fondamentale per una gestione aziendale duratura, responsabile e sostenibile.

Non esistono dati inutili

La mancanza di misure di sicurezza e di prevenzione informatica nelle piccole imprese viene spesso giustificata con le dimensioni ridotte dell’azienda e la scarsa attrattiva per i potenziali autori dell’attacco. «Si tratta di un errore di valutazione: proprio queste aziende sono un facile bersaglio per gli hacker, che sono in grado di sottrarre i dati praticamente senza fare nessuna fatica», spiega Seebeck. E i criminali non restano mai a mani vuote: «In ogni impresa vengono salvati dati come le coordinate bancarie o le chiusure dei conti. Informazioni che potrebbero essere usate per condurre un secondo attacco, magari ai danni di un’azienda più grossa. Insomma, non esistono dati inutili», continua l’esperto di sicurezza IT.

Le persistenti lacune di sicurezza di alcune reti aziendali sono sconvolgenti, se si considera che la sensibilità verso questa tematica è notevolmente aumentata – già prima della pandemia di Covid e la crescente diffusione del telelavoro. In molti casi, tuttavia, le conoscenze restano a livello superficiale e all’occorrenza il personale non è istruito su come comportarsi. Le disposizioni necessarie in materia di sicurezza vengono rimandate per mancanza di tempo o per i costi da affrontare. Eppure è ormai risaputo che la sicurezza informatica non dipende soltanto da interventi tecnologici ma, in buona parte, anche dalla formazione dei collaboratori e dal loro comportamento. 

Uno dei provvedimenti tecnici più comuni è il regolare backup dei dati aziendali. Molte piccole imprese si sentono al sicuro effettuando una copia di sicurezza automatica dei dati e con l’installazione di un firewall e di un software antivirus aggiornato. Tanti non sanno però che il backup da solo non basta più. Una realtà con cui ha dovuto fare i conti anche la Food AG:

Il sabato stesso gli specialisti d’informatica chiamati dal grossista si sono messi ad analizzare il backup aziendale – e hanno fatto un’amara scoperta: anche le copie di sicurezza erano in parte infette. Solo un colpo di fortuna ha permesso loro di trovare una versione backup precedente grazie alla quale la Food AG ha potuto riprendere le sue attività nel giro di cinque giorni. Prima l’intera azienda era largamente fuori uso.

Gli hacker agiscono in sordina

Mentre in passato gli attacchi informatici somigliavano più a una rapina in banca, con gli hacker che entravano rapidamente nel sistema, criptavano i dati e infine chiedevano un riscatto, il modus operandi dei criminali di oggi è più sottile: si muovono più silenziosamente, penetrano nelle reti, cercano autorizzazioni, codici d’accesso o backup e criptano o rubano le informazioni solo in un secondo momento: «Questa procedura di norma interessa anche il backup dei dati. Durante tutto ciò le imprese non sanno con precisione quali dati sono stati rubati o cambiati», spiega l’esperto di sicurezza IT della Mobiliare Seebeck. Questa incertezza pone i responsabili dell’azienda di fronte ad altre difficoltà relative alla comunicazione: a chi vanno segnalati gli attacchi informatici? Devono essere contattati tutti i fornitori e i clienti oppure è sufficiente avvisare le imprese direttamente interessate? Inoltre in molti casi l’intera portata degli attacchi diventa palese soltanto un paio di giorni dopo, quando, con la richiesta di un riscatto, i dati aziendali finiscono nella darknet.

Anche la Food AG è stata minacciata con la pubblicazione dei dati se non avesse pagato il riscatto. I pirati informatici sostenevano di essere in possesso di dati finanziari, liste di clienti, offerte e informazioni sul personale. Inoltre asserivano che avrebbero decodificato i dati solo una volta ricevuto il pagamento.

Supporto esterno

Poiché non sanno gestire gli attacchi criminali, le richieste di riscatto e le negoziazioni con gli estorsori, molte imprese si rivolgono a partner esterni di fiducia. Per esempio alle compagnie assicurative come la Mobiliare, che offre un’ampia gamma di soluzioni preventive e assicurative in materia. Oltre agli attacchi hacker, il pacchetto di prestazioni cyber copre numerosi rischi del mondo digitale come l’abuso della carta di credito, la perdita di dati – non solo in seguito ad attacchi informatici – e la violazione della personalità e dei diritti d’autore. Comprende anche un servizio di Assistance IT per i problemi quotidiani degli apparecchi connessi. 

Durante l’estorsione la Food AG ha potuto riprendere le normali attività lavorative su un’infrastruttura di riserva. Nel frattempo la sua infrastruttura IT veniva pulita e riconfigurata. Solo col tempo è stato possibile trasferire nuovamente i dati esaminati nei computer. Per queste operazioni la Food AG ha potuto contare su un partner tecnico della Mobiliare che ha aiutato i fornitori di servizi IT del cliente nel lavoro di recupero dei dati. Un altro partner dell’assicuratore ha analizzato i backup e controllato in che punti e quanto i criminali si erano introdotti nella rete aziendale. Infine un manager dei rischi esterno ha fornito assistenza all’azienda per la comunicazione con le parti interne ed esterne così come con gli estorsori.

Danni assicurati

Tra spese per il ripristino dei sistemi e controllo e reimportazione dei dati nonché costi dovuti all’interruzione d’esercizio ci vuole poco per totalizzare un importo considerevole di franchi, talvolta anche a sei cifre. Per sua fortuna, la Food AG aveva stipulato una cyber assicurazione con la Mobiliare, la quale ha fornito la copertura per gli ingenti danni.

Dopo gli estenuanti giorni del cyberattacco, la Food AG ha potuto tornare a concentrarsi sulle sue normali attività entro breve tempo – prima però ha aggiornato le misure di prevenzione per la sicurezza IT in modo da evitare di farsi cogliere impreparata in caso di un altro attacco.

Trarre le giuste conclusioni

Effettivamente poter elaborare un attacco informatico in modo adeguato e approfondito è di estrema importanza per le imprese. Solo così, infatti, è possibile trarre gli insegnamenti giusti per il futuro, adottare misure di prevenzione mirate e fare un’adeguata opera di sensibilizzazione del personale. Perché quanto meglio funzionano i processi in caso di un nuovo attacco informatico tanto inferiori saranno i danni subiti – e tanto prima l’azienda potrà rimettersi in piedi se presa nuovamente di mira.