La domanda non è se accadrà, ma quando. E le conseguenze dipendono anche dalle capacità di gestire la crisi. Si potrebbe riassumere così il tema degli attacchi informatici, una minaccia che riguarda tutti: singole persone, aziende pubbliche e private, governi. E che oggi, a causa del conflitto in Ucraina, è diventata più grave.
Il “fattore” guerra
“La guerra cibernetica non è iniziata ieri, ma la tensione internazionale causata dall’attuale scenario geo-politico acuisce il rischio e aumenta la frequenza degli attacchi informatici – dice Damiano Taurino, a capo dell’area droni e mobilità aerea avanzata in Deep Blue ed esperto di sicurezza informatica – è ormai chiaro che, parallelamente alla guerra combattuta sul campo, è in atto una cyberwar diretta a colpire infrastrutture critiche come aeroporti e ferrovie, centrali energetiche ma pure acquedotti, catene di produzione e distribuzione di medicinali e cibo”.
Nel corso del Cyber Europe 2022, un programma biennale coordinato da ENISA (Agenzia europea per la cybersicurezza) per rafforzare i meccanismi di gestione dei cyberattacchi da parte dei paesi europei, il direttore esecutivo dell’Agenzia Juhan Lepassaar ha ammonito gli stati membri a non abbassare la guardia. Dallo scoppio della guerra Russia-Ucraina, ENISA ha contato circa 300 cyberattacchi (qui un report accurato del Parlamento Europeo), 100 dei quali spillover, cioè con ripercussioni su paesi terzi. E sebbene nessun episodio abbia avuto disastrose conseguenze – con l’eccezione dell’attacco alla rete satellitare Viasat che ha messo fuori uso le connessioni internet via satellite in Ucraina con effetti che si sono fatti sentire anche nel resto d’Europa – la guerra non è finita e persiste il rischio di un’escalation, anche nella portata, degli incidenti informatici.
Siamo tutti potenziali vittime del cyber crime
“La guerra è un fattore di rischio ma i criminali informatici sono attivi anche in tempo di pace, principalmente nel campo dello spionaggio e del controspionaggio industriale, bloccando servizi, rubando o divulgando dati sensibili con l’obiettivo di minare la credibilità di un ente o un’azienda oppure di chiedere un riscatto (nel 2021, gli oltre 2.000 attacchi informatici gravi registrati, più 10% rispetto al 2020, globalmente hanno causato 6 trilioni di dollari di danni ad aziende e provati, ndr.)”.
Un cyber crime organizzato a cui si affiancano “cani sciolti” che prendono di mira le persone comuni, con truffe on-line o campagne di phishing per esempio. “È importante far passare un messaggio, ovvero che siamo tutti potenziali vittime di un cyber attacco: singole persone, pubblica amministrazione, governi, grosse utility, industrie e aziende, queste ultime sia per motivi politici, per esempio indebolire il settore produttivo di un paese, sia per motivi economici, per un tornaconto personale”.
Se siamo tutti potenziali bersagli, una cultura di base della cybersicurezza, il più possibile diffusa, aiuterebbe ad abbassare i rischi. “A rendere possibile un attacco informatico non sono solo vulnerabilità tecniche: il 70-95% delle violazioni di cybersecurity dipende da un errore umano. Ed è quindi sul fattore umano che bisogna intervenire (ne abbiamo parlato qui, ndr.): informando i cittadini, formando manager e dipendenti, riorganizzando gli impianti organizzativi e procedurali”, spiega Taurino ricordando il recente incidente dell’hackeraggio del profilo Twitter del Ministero della transizione ecologica (non il primo in verità), a riprova, per alcuni, della necessità di formare chi ricopre cariche pubbliche sul tema della cybersicurezza.
È vero però che ci sono anche problemi di competenze: le aziende faticano a trovare figure professionali in questo campo (in Italia mancherebbero oltre 90.000 esperti di cybersicurezza, nel mondo quasi 3 milioni). “Inoltre, avere un sistema IT sempre aggiornato e in linea con i requisiti di sicurezza è costoso e non vede un ritorno immediato dell’investimento. Per questo spesso si preferisce ‘tappare i buchi’ (anche stipulando assicurazioni, ne abbiamo parlato qui, ndr.) piuttosto che agire in modo pro-attivo, proiettivo”.
Se il rischio zero non esiste, meglio avere pronto un piano per gestire la crisi
Cultura, competenze, responsabilità. Sono parole chiave nel contrasto al cyber crime. Detto questo, è bene ricordarlo, il rischio zero non esiste, per una serie di cause oggettive. Iniziando dal modello del sistema economico capitalista globalizzato: lunghe catene di fornitura e quindi innumerevoli passaggi che diventano possibili vulnerabilità, punti di attacco. “La causa principe però è che oramai qualsiasi cosa è connessa a internet, il rischio è insito nel sistema. Senza contare che oggi sferrare un attacco è facile e poco costoso: prima il pirata informatico doveva scriversi il programma di hackeraggio mirato alla specifica persona o azienda da colpire, mentre ora sul dark web ci sono a prezzi ridicoli tool già sviluppati per impattare su vulnerabilità non note o poco note”.
Se è vero che prima o poi tocca a tutti, è bene essere preparati. Non solo “tecnicamente”, per risolvere la violazione nel minor tempo possibile, ma anche dal punto di vista della comunicazione, interna ed esterna. Serve cioè un piano di comunicazione della crisi pronto all’uso (ne abbiamo parlato anche qui), ne va della reputazione di un’azienda o di un ente.
“Quando chiedo alle aziende se hanno un piano di comunicazione dell’emergenza – dice Giorgio Sestili, a capo dell’area marketing e comunicazione in Deep Blue – tipicamente la risposta che ottengo è no (più di una sensazione personale: un sondaggio del 2016 condotto dal MIT Technology Review Custom rivelava che il 44% dei 225 manager intervistati ammetteva di non avere un piano di gestione delle crisi informatiche, il 15% non lo sapeva, ndr.). Da qui è nata l’idea di affiancare al servizio di formazione e consulenza in cyber security e Fattori Umani che già forniamo alle aziende anche un servizio di comunicazione della crisi (la prima edizione si è tenuta all’interno del corso di alta formazione sulla cyber security organizzato dal Centro studi STASA in collaborazione con Deep Blue, ndr.). Il nostro punto di forza è unire competenze verticali, diversificate e molto approfondite su specifici settori come aviazione, industria o energia, a competenze trasversali sulla comunicazione del rischio”.
Come costruire un piano della comunicazione del rischio informatico
La parola d’ordine è pianificazione: non è possibile gestire la comunicazione di un attacco informatico improvvisando. “Bisogna lavorare in anticipo e per un’azienda ci sono due possibilità: se è grande e possiede un solido dipartimento di comunicazione, si formano le persone che lavorano al suo interno; altrimenti, si fa formazione al personale top management affiancandogli un consulente in comunicazione del rischio qualora si verifichi una crisi informatica”.
A prescindere dal tipo di organizzazione aziendale, la stesura di un piano di comunicazione della crisi parte dall’individuazione dei possibili scenari: di cosa si occupa l’azienda? Che tipo di business ha? Lavora con clienti esterni? Possiede dati sensibili degli utenti? “Bisogna costruire l’identikit dell’azienda o dell’ente per capire che tipo di attacco potrebbe subire e quali potrebbero essere le conseguenze e sulla base dei diversi scenari si procede col preparare un piano di comunicazione, una strategia in cui si identificano i possibili stakeholder, cioè il target a cui parlare, e si definiscono i messaggi e i canali più appropriati per comunicare”.
Un incidente informatico va prima di tutto comunicato all’interno, ai dipendenti, per evitare fughe di notizie. “Sarebbe bene avere delle procedure interne o un sistema automatizzato che, nel caso di un attacco, invii un messaggio di allerta a tutti i dipendenti con precise linee guida sui comportamenti da seguire, per esempio non parlarne in pubblico. Poi si passa alla comunicazione esterna, che può vedere diversi attori coinvolti in base al tipo di azienda e del tipo di attacco: partner commerciali, clienti finali, politici o amministratori locali, cittadini, mass media”.
I messaggi chiave da lanciare, definiti in anticipo, sono semplici: “Sappiamo cosa è successo, stiamo lavorando sui seguenti problemi e cercando una soluzione, stiamo affrontando la situazione seriamente, ci scusiamo per l’incidente, vi daremo più informazioni appena possibile” (un buon esempio è la comunicazione di UBER, colpita pochi giorni fa da un attacco informatico). “Nel frattempo si mettono in piedi tutti quei meccanismi organizzativi di raccolta delle informazioni, anche tecniche, per individuare il varco di accesso, capire se c’è una fuga di dati sensibili e calibrare i successivi messaggi”, dice Sestili ricordando che è importante anche individuare in anticipo un portavoce della comunicazione: una figura empatica, assolutamente trasparente, che usi un linguaggio il più possibile comprensibile anche ai non esperti.
“Infine, nella fase post-crisi, è importantissimo produrre materiale di analisi e racconto di quanto accaduto (d’altra parte, il GDPR obbliga chiunque tratti dati personali a produrre report pubblici in caso di data breach, ndr.) per condividere le esperienze e le lezioni apprese dentro e fuori l’organizzazione così da innalzare il livello di sicurezza – conclude Sestili – solo allora si possono prevedere iniziative promozionali, di marketing per clienti e partner come risarcimenti, promozioni, regali”.
Insomma, la prevenzione del cyber crime è una faccenda complessa, ma l’approccio è oramai codificato: formazione e sensibilizzazione per portare un livello di cultura della sicurezza informatica elevato all’interno della propria organizzazione; azione tempestiva e trasparente nel momento della crisi con l’attuazione del piano di comunicazione realizzato; condivisione dell’accaduto per migliorare i sistemi interni di cyber sicurezza e scongiurare nuovi attacchi; ricostruzione della fiducia dei propri clienti, partner, stakeholder.
