Quest’anno, per la prima volta, secondo il report stilato tutti gli anni da AGCS Allianz, la Cybersecurity è il principale rischio percepito dai CEO a livello mondiale. AGCS Allianz ha, inoltre, recentemente rilasciato un nuovo osservatorio intitolato “
Gestire l’impatto della crescente inter-connettività – Tendenze nei rischi informatici” da cui emerge che, con la pandemia e il conseguente accesso da remoto ai sistemi informativi aziendali, per i cyber criminali si sono create nuove opportunità di accedere alle reti e alle informazioni sensibili.
Gli attacchi esterni alle imprese comportano le perdite più costose per le polizze cyber. Negli ultimi 5 anni ci sono stati 1.736 sinistri assicurativi legati al cyberspazio che hanno coinvolto gli assicuratori, per un valore di 770 milioni di dollari; le perdite derivanti da incidenti come gli attacchi DDoS (Distributed Denial of Service) o le campagne di phishing e ransomware rappresentano oggi la maggior parte del valore dei sinistri informatici: quasi mezzo milione di incidenti ransomware a livello globale, con un costo per le aziende di almeno 6,3 miliardi di dollari solo per le richieste di riscatto.
L’introduzione del Gdpr, inoltre, ha rivoluzionato obblighi e adempimenti in concomitanza con la vastissima famiglia che rientra nella definizione di “data breach” – che va dalla perdita di dispositivi semplici come una penna usb fino alla interruzione dei servizi e alla diffusione (leak) di dati aziendali – portando come necessità “ex lege” la comunicazione sia ai soggetti coinvolti sia alle Autorità garante, introducendo praticamente l’obbligo di auto-denuncia. Come conseguenza diretta di questa nuova configurazione normativa e sanzionatoria, i sistemi di attacco messi in campo dai criminali informatici sono cambiati: se ciò che spaventa di più le aziende non è più l’interruzione dei servizi ma le possibili sanzioni, anche gli attaccanti iniziano a fare leva proprio su questo punto.
Come? Le modalità che si notano in tutti i più grandi gruppi organizzati prevedono più passaggi: gli hacker iniziano ad attaccare la “rete” del soggetto bersaglio, creando “rumore” per coprire il vero obiettivo; attraverso operazioni di hacking o di ingegneria sociale, durante la confusione gli attaccanti si inseriscono nel sistema e iniziano le operazioni; le operazioni “cifrano” tutti i dati con una chiave ottenibile solo dietro riscatto, che in genere per i grandi gruppi ammonta a svariati milioni di euro.
Se questa modalità era quella seguita dai “ransomware” sino a qualche anno fa, ora si aggiungono altri passaggi “reputazionali”: “esfiltrazione” dei dati e caricamento su server remoti; pubblicazione centellinata di parte di questi per convincere il bersaglio a pagare il riscatto per non vedere diffusi i dati; prima pubblicazione con dati non soggetti a Gdpr, per mostrare che si ha la capacità “offensiva” reputazionale lasciando ancora possibilità di recupero della situazione con il pagamento del riscatto; la pubblicazione avviene su siti web pubblici e conosciuti dei singoli “gruppi”, come fossero rockstar, dove gli addetti ai lavori controllano chi sono i nuovi bersagli direttamente nel momento della prima richiesta; in caso di mancato pagamento del riscatto segue diffusione del materiale.
Talvolta sono direttamente gli attaccanti a contattare la stampa mandando in preview i dati per arrecare il massimo danno. Obiettivo è più ledere la reputazione che la business continuity, con l’estensione in pubblica piazza della insicurezza aziendale, la perdita di fiducia di mercato e consumatori e l’intervento del regolatore. In uno scenario in cui un attacco o un data breach diventa sempre più probabile, soprattutto per le aziende più esposte, la comunicazione non può in alcun modo pensare sia possibile ignorare il problema demandando le operazioni a It o Risk: è necessario conoscere come e cosa serve per intervenire efficacemente e soprattutto le best practice di risposta su tutti i livelli.
Si può articolare l’impegno di comunicazione in quattro differenti fasi. Prima dell’attacco devo predisporre misure adeguate e “template” per essere in grado di elaborare una risposta entro le tempistiche richieste dal regolatore. Diventa poi indispensabile poter dimostrare a posteriori che ho assunto tutti i comportamenti per prevenire l’insorgenza dei problemi, comunicando per esempio le certificazioni di sicurezza di cui mi sono dotato e le azioni di “awareness” che sono state effettuate su dipendenti, collaboratori, partner, sempre più spesso veicolo di “ingresso” delle effrazioni digitali. Una volta scoperto l’attacco, è necessario predisporre comunicazione al Garante, in concerto con i legali, meglio se avvalorata da una analisi di parte terza sul possibile impatto.
Nel giro di poche ore (24/36) l’informazione diverrà con ogni probabilità di dominio pubblico, quindi meglio usare termini vaghi (“non si conosce ancora la precisa portata”) e soprattutto non mentire sull’entità della fuga di informazioni (“non sono stati sottratti dati di XXX”) poiché, non solamente queste affermazioni saranno a breve probabilmente invalidate proprio dall’ “ufficio stampa” degli attaccanti, ma soprattutto perché costituiscono evidenza anche con le autorità di informazioni mendaci al mercato, soprattutto visto che si deve considerare che il Garante e le autorità avranno a disposizione le stesse comunicazioni – con datazione certa – che sono arrivate come richiesta di riscatto.
Ottima norma è, in questo momento, attivare un servizio di monitoraggio della rete che possa pescare anche in Deep Web e Dark Web, da società specializzate, per trovare le informazioni anche quando sono presenti solamente all’interno di reti non pubbliche (come spesso avviene). Nella fase di contrattazione e decisione occorre, anzitutto, tener conto che non esiste alcuna garanzia che il pagamento risolva la problematica e che gli attaccanti non decidano di divulgare comunque i contenuti. In secondo luogo, il pagamento può costituire a tutti gli effetti ipotesi di reato in molte giurisdizioni, non “salvando”, peraltro, dagli obblighi di segnalazione al Garante. Non solo quello: in molte parti del mondo sono stati aperti da Interpol e realtà assimilabili procedimenti internazionali con l’ipotesi di reato (soggetta a 231) di finanziamento al terrorismo, poiché molti dei gruppi attaccanti sono considerati tali e/o hanno legami con gruppi di tale tipologia.
Durante la contrattazione saranno via via diffusi contenuti ed è necessario preparare una comunicazione coordinata da distribuire non solo agli stakeholder, ma alle persone nell’organizzazione che dovranno gestire le domande. Saranno necessari sicuramente un documento di domande e risposte a uso interno e uno a uso di policy social media, oltre che l’inizio della predisposizione di un sito web dedicato e/o una sezione dedicata del sito principale a cui rimandare per informazioni.
All’uscita dei dati, nel momento in cui tutti o buona parte divengono di dominio pubblico, è necessario predisporre il sito web dedicato a cui rimandare gli utenti e numeri, mail, contatti dedicati per poter rispondere con puntualità a dipendenti, fornitori, partner, clienti su come si intende gestire la situazione e per avere un dettaglio dei dati trafugati che li coinvolgono direttamente. Sul sito web vengono raccolte inoltre le informazioni successive sullo stato di ripristino e lo stato dei lavori e delle indagini.
In uno scenario dalla complessità crescente, quale è il ruolo della direzione comunicazione? Se pensiamo agli ultimi casi che la cronaca ha raccontato sui media come Leonardo, Apofruit e l’Agenzia Europea del Farmaco, è evidente che la direzione comunicazione ha un ruolo fondamentale in termini di gestione reputazionale ed è del tutto palese che parole chiave come “cybersecurity” con tutte le sue derivazioni come ad esempio phishing o ransomware oramai diventano un linguaggio che non attiene più alla sfera “tecnica informatica” ma anche a quella emozionale, con tutte le conseguenze del caso. La prima del tutto evidente è che il tema ha preso una connotazione negativa per cui la velocità con cui, sul fronte giornalistico, i problemi di sicurezza informatica delle imprese e degli enti governativi si diffondono è pervasiva.
Per questo motivo, soprattutto per le aziende quotate e la loro “brand safety”, il tema diventa strategico considerando la portata del danno che eventuali informazioni magari non verificate sono in grado di fare. La quantità di “esperti” che, inoltre, aggiungono informazioni e soprattutto commenti magari fuorvianti sui singoli casi aziendali è in crescita; questo per una direzione comunicazione significa ulteriore complessità da gestire in termini di mappatura. Tra gli esperti vi sono poi alcuni giornalisti che iniziano a presidiare ed approfondire le tematiche legate alla security non solo scrivendo articoli o inchieste ma producendo rubriche o newsletter dedicate al tema.
C’è insomma un nuovo e importante tema all’ordine del giorno dei dipartimenti comunicazione delle aziende che attiene all’ambito della comunicazione corporate; se è vero che è un argomento che sempre più difficilmente possiamo inquadrare come un asset positivo da raccontare è altrettanto chiaro che non possa diventare una partita da giocare sempre ed esclusivamente in difesa.
Lorenza Pigozzi. Adjunct Professor LUISS Business School