Abbiamo visto come la trasformazione dell’azienda in seguito all’introduzione di nuovi software e nuovi hardware collegati tra di loro abbia portato numerosi vantaggi in termini di efficacia, efficienza e velocità nei vari processi aziendali. Quello su cui non ci siamo soffermati, però, è il contemporaneo accrescimento di determinati rischi che precedentemente non erano ritenuti rilevanti, primo tra tutti il c.d. Cyber Risk. Il primo obiettivo che mi sono posta in sede di intervista è stato quella di capire quanto e se la dirigenza fosse a conoscenza dell’esistenza di questa tipologia di rischio.
~ 92 ~
Premettendo che l’azienda ha subito un attacco informatico rilevante nell’anno 2016, ho rivolto alcune domande all’amministrazione per capire come è cambiata la consapevolezza e la visione di tale rischio ante e post attacco.
A detta dell’amministratore il concetto di rischio informatico non risultava essere completamente nuovo ai suoi occhi, se non altro per il fatto di averne sempre sentito parlare, ma non essendo mai stata toccata in prima persona la sua azienda o altre sue attività, prima dell’anno 2016, non gli conferiva l’importanza dovuta.
In risposta alla richiesta di dare una sua definizione di Cyber Risk, ovvero di rischio informatico, il Sig. Nesti ha affermato:
“Il Cyber Risk è il pericolo immane, enorme, immenso che dei criminali entrino all’interno della tua rete aziendale non per rubare i tuoi dati, ma per bloccarteli e chiederti successivamente un riscatto per renderli di nuovo disponibili”.
Il fatto che venga data una definizione che possiamo considerare “parziale” di quello che realmente può essere definito Rischio Cyber, è da supporre come derivante dall’esperienza pregressa e recente dell’attacco subito, piuttosto che da una personale ricerca di informazioni o di interessamento sul tema generico. Non vengono infatti menzionate altre possibili manifestazioni di tale rischio di pari, o in alcuni casi anche maggiori, ricadute sull’azienda; si pensi ad esempio al furto dei dati aziendali, sia finalizzato alla sottrazione di informazioni fondanti per l’azienda (come potrebbero essere, nel caso specifico, particolari politiche di prezzo applicate ad alcuni clienti strategici), sia riguardante i dati sensibili, quali informazioni su carte di credito o dati personali dei clienti contenuti nel database.
“…dopo aver subito l’attacco ovviamente mi sono documentato
maggiormente e, domandando, mi sono reso conto di non essere stato il solo a subirlo: anche altri 4 miei conoscenti, con aziende in settori differenti, hanno subito lo stesso attacco.”
~ 93 ~
Tale aggiunta da parte dell’intervistato ci fa capire che la sua concezione di questo rischio è inoltre rafforzata da un confronto tra imprenditori, per i quali parlare di rischio informatico significa, ad oggi, parlare proprio e solo di questo.
Da queste prime riflessioni potremmo allora ipotizzare che non vi sia stata, in sede di digitalizzazione dell’azienda avvenuta come detto nell’anno 2012, una sufficiente informazione e formazione, da parte degli addetti che si sono occupati ad esempio dell’implementazione del sistema informatico e del nuovo ERM, sui possibili e nuovi rischi connessi all’evoluzione digitale.
Ma cerchiamo allora di capire quale sia stato l’attacco subito e come si sia manifestato. “E’ successo l’anno scorso nel mese di Agosto. Ad uno dei pc
dell’amministrazione, quello adibito alla ricezione delle Pec, è arrivata una notifica di non accettazione di invio di una di queste. Quotidianamente inviamo numerose email certificate, quindi era plausibile che una di queste non fosse stata inviata correttamente, ecco perché, come al solito, un nostro dipendente amministrativo ha aperto tale notifica per capire quale fosse l’email da dover rimandare. Nel giro di pochi minuti il pc ha cominciato a dare problemi che si sono “trasmessi” anche ad altre postazioni: non riuscivamo più ad accedere ai dati presenti in una cartella condivisa tra i diversi computer ed il gestionale (al tempo Metodo Evolus) procedeva in modo rallentato, fino a che ad un certo punto è apparsa sul pc in questione una schermata nera con varie scritte. Subito ci siamo messi in contatto con i nostri referenti della Idea Sistemi (che hanno quotidianamente sott’occhio il nostro server e ci supportano nell’utilizzo di Metodo) i quali hanno subito individuato la presenza di un virus all’interno del sistema”.
E’ così che viene descritta da parte dell’amministratore la manifestazione dell’attacco informatico subito, ovvero una finta notifica di Pec che una volta aperta ha “infettato” gran parte del sistema.
~ 94 ~
“…inoltre, successivamente, abbiamo ricevuto una richiesta di riscatto in bitcoin, per un valore di circa 2500 € che credevo fossero necessari per far sì che i dati (che pensavo avessero rubato) non fossero divulgati, ad esempio, ai nostri competitor. Solo dopo ho scoperto invece che il pagamento veniva richiesto per rendere nuovamente disponibili i dati che ci avevano criptato.”
Queste riportate sono solo alcune delle informazioni che l’amministratore ha fornito in merito, grazie alle quali possiamo ipotizzare di quale tipologia di attacco si è trattato. In base a quanto detto sembrerebbe infatti il diffondersi di un particolare tipo di ransomware detto Cryptolocker: questo appartiene a quella famiglia di malware che si installano con lo scopo di estorcere un importo in denaro sotto forma di riscatto, impedendo con forme diverse l’utilizzo del computer; non a caso viene definito comunemente “virus del riscatto”.
Nella maggior parte dei casi, il malware si diffonde attraverso un allegato ad un'email fraudolenta, ma non è raro che non sia nemmeno necessaria la presenza di tale allegato poiché può essere direttamente contenuto all’interno del corpo dell’email stessa (come è avvenuto in questo caso). Ma vi sono anche altre modalità di diffusione: spesso si inocula nel sistema attraverso pagine web infette, mentre in casi più rari entra in un computer sfruttando una connessione di desktop remoto protetta da una password troppo semplice.41
Qualsiasi sia la modalità d'infezione, il danno provocato è molto simile, ovvero vengono crittografati allo stesso tempo:
1. I file utente degli hard disk del computer: le estensioni dei files variano a seconda della tipologia di virus, ma sono comunque colpite le estensioni più diffuse come: .doc,.docx,.xls, .xlsx, .pdf, .jpg, .mdb, .pst;
2. I file presenti in hard disk o pennette usb connesse al computer al momento dell'infezione o successivamente ad essa;
3. I file dell'utente presenti in cartelle di rete condivise con altri computer.
~ 95 ~
I file criptati dal virus vengono parzialmente riscritti con un codice di crittografia la cui chiave è univoca, segreta e diversa per ogni computer infettato e rende quindi impossibile aprire, leggere o modificare tali file. Gli unici a conoscere la chiave necessaria per decriptare sono i creatori del virus.
“…è stato necessario l’intervento di un consulente informatico, il Sig.
Guerrini Damiano, tutt’ora nostro collaboratore esterno, che prontamente ci ha assistito, prima telefonicamente e successivamente di persona in azienda: inizialmente ci ha fatto scollegare i cavi di rete in modo da far sì che il virus non si espandesse altrove e non arrivasse quindi al server, cosa che fortunatamente non è successa. In seguito è riuscito a rendere nuovamente operativi almeno due dei computer che erano stati “infettati”, mettendo in “stand-by” il server e permettendoci di riprendere in piccola parte la nostra attività lavorativa.”
Sulla base di quanto è stato raccontato, per la risoluzione del problema l’azienda sarebbe anche stata disposta a pagare il riscatto, poiché l’aver infettato il sistema informatico ha creato degli immensi disagi immediati, dovuti all’interruzione completa del lavoro in tutte le funzioni aziendali. Il rischio sarebbe stato però in quel caso che, una volta emesso il pagamento, i criminali informatici non procedessero comunque a decriptare i dati e non li rendessero quindi nuovamente disponibili. Una soluzione temporanea sarebbe potuta essere quella di tornare momentaneamente ai vecchi sistemi cartacei, ma questo si sarebbe rivelato poi controproducente una volta risolto il problema e liberato il sistema ERM, poiché l’adozione dei vecchi metodi non avrebbe assicurato, in seguito del successivo reinserimento a sistema, la correttezza ad esempio delle giacenze di magazzino o delle rilevazioni contabili.
Ecco perché l’intervento del consulente informatico è stato essenziale: con le prime indicazioni date agli impiegati amministrativi è riuscito a contenere l’espansione del malware, evitando, come già detto, che giungesse all’unico server aziendale. Successivamente, è riuscito a rimettere in funzione alcuni dei pc che erano stati infettati, in modo da poter permettere una momentanea ripresa delle attività operative.
~ 96 ~
Infine, nei giorni successivi, è riuscito a risolvere completamente il problema, anche grazie al ripristino della maggior parte dei dati aziendali da un backup. Fortunatamente, i dati che non è stato possibile recuperare erano dati relativamente “vecchi” e quindi non di fondamentale importanza per il funzionamento dell’azienda. L’aver subito questo attacco ha reso la dirigenza dell’impresa maggiormente consapevole ed attenta ai rischi che possono manifestarsi in seguito all’adozione di innovazioni tecnologiche connesse in rete: per avere un’evidenza della differente importanza data al rischio cyber, prima e dopo averlo toccato con mano, utilizzeremo una delle tecniche di tipo qualitativo di valutazione del rischio più utilizzate, ovvero la
matrice probabilità/impatto.
Detta anche matrice di significatività, si tratta di uno strumento costituito combinando la probabilità di manifestazione degli eventi con l’impatto che gli stessi potrebbero avere su grandezze economico-finanziarie dell’azienda, permettendo di capire il livello di esposizione al rischio considerato: l’esposizione sarà tanto più elevata quanto maggiore sarà la probabilità di manifestazione del rischio e quanto più grave sarà l’impatto sull’azienda.
Trattandosi di una tecnica qualitativa, la valutazione della probabilità e dell’impatto non si basa su strumenti matematico statistici, ma si basa esclusivamente sul giudizio soggettivo delle persone che in azienda hanno le competenze necessarie per esprimerlo, e quindi sull’esperienza, la conoscenza, le percezioni e l’analisi sviluppata da queste.
Per questo motivo, entrambe le variabili sono individuate utilizzando delle scale di giudizio descrittive, come ad esempio quelle indicate nelle seguenti figure:
Probabilità
1: raro Accade solo in circostanze eccezionali
2: basso E’ improbabile che accada
3: medio Può accadere in un certo numero di casi
4: probabile Avviene in buona parte dei casi
~ 97 ~
Impatto
1: trascurabile Effetti economici trascurabili per l’azienda considerata 2: basso Effetti economici piuttosto bassi per l’azienda considerata
3: medio Effetti economici moderatamente elevati per l’azienda
considerata
4: alto Effetti economici molto elevati per l’azienda considerata 5: catastrofico Effetti economici disastrosi per l’azienda considerata
Figura 21: Scale descrittive per la valutazione della probabilità e dell’impatto
Il fatto di non basarsi su strumenti matematici e quindi su serie storiche fa sì che le tecniche qualitative, matrice inclusa, siano soggette ad un elevato margine d’errore, poiché sulla valutazione influisce anche un “aspetto psicologico”: ad esempio, si tendono tendenzialmente a sovrastimare nella probabilità gli eventi più recenti, ovvero quelli che si ricordano meglio. Ecco perché, per rendere l’esercizio di valutazione meno discrezionale, possono essere utilizzati dei driver, ovvero dei criteri che permettono di ridurre la soggettività della valutazione.
Una volta stimate le due variabili, viene “compilata” la matrice così composta:
- La variabile presente sull’asse delle ascisse è la probabilità di accadimento dell’evento rischioso;
- La variabile collocata sull’asse delle ordinate è l’impatto che il manifestarsi dell’evento avrebbe sull’azienda;
- I punti di incontro fra le due dimensioni definiscono combinazioni di probabilità/impatto, a fronte dei quali corrisponde un giudizio, cioè un risk rating.
~ 98 ~
Impatto Catastrofico 5 Alto 4 Medio 3 Basso 2 Trascurabile 1 1 Raro 2 Basso 3 Medio 4 Probabile 5 Molto probabile ProbabilitàSolitamente questo strumento viene utilizzato per la valutazione qualitativa di diverse tipologie di rischio: questo significa che ogni rischio individuato nell’azienda viene “inserito” all’interno della matrice, che fornisce quindi una rappresentazione sintetica di tutte le tipologie individuate e del corrispondente livello di esposizione al rischio stesso. L’ampiezza delle diverse aree colorate varia a seconda del Risk Appetite 42
42 Risk Appetite: è la soglia di rischio accettabile entro cui deve muoversi la gestione di un’azienda, poiché si
tratta dell’ammontare di rischio che il soggetto economico è disposto ad assumersi. Il Risk appetite condiziona la definizione della strategia aziendale: questo significa che se questo è alto, l’azienda sceglierà una strategia più rischiosa, più aggressiva.
Eventi che hanno una probabilità bassa di manifestarsi ed un impatto contenuto
Eventi che hanno:
- o una probabilità bassa ma un impatto abbastanza elevato - o una probabilità elevata ma un impatto per lo più
trascurabile
Eventi che hanno un’alta probabilità di manifestarsi ed un impatto alto se non addirittura catastrofico
~ 99 ~
aziendale: più questo è elevato, più aumenta la dimensione dell’area di tolleranza, ovvero l’area verde, e minore sarà ampia l’area rossa.
Sulla base di questa matrice, saranno poi scelte le più opportune azioni di risk
response per gestire ogni tipologia di rischio, e saranno quindi intraprese strategie
volte ad:
- Accettare il rischio, per quelli inclusi all’area verde;
- Condividere o ridurre il rischio, per quelli appartenenti alle aree gialla e arancione;
- Evitare il rischio, per tutti quelli considerati gravi e quindi presenti nell’area rossa.
Nel nostro caso, invece, andremo ad utilizzare la matrice considerando il solo Cyber risk, facendo un confronto temporale per capire dove questo era posizionato, a detta della direzione, prima dell’attacco e dove invece viene collocato successivamente. In sede di intervista è stato chiesto all’amministratore se prima di subire l’attacco avesse mai pensato di poter essere una potenziale “vittima”; in questo modo abbiamo cercato di capire che valore attribuisse in passato alla probabilità di essere attaccato43.
“Prima dell’acquisto del nuovo gestionale utilizzavamo strumenti informatici non connessi in rete quindi ovviamente non mi sono mai posto il problema. Successivamente invece mi rendo conto di averlo sottovalutato: essendo un piccola/media azienda a conduzione familiare non avrei mai pensato di poter essere preso di mira per un attacco del genere. Non era mai successo e mai avrei pensato succedesse”
43 In primo luogo cerchiamo di capire il posizionamento del Cyber Risk all’interno della matrice
precedentemente all’attacco avvenuto nel 2016, quindi è come se ipotizzassimo che la valutazione della probabilità e dell’impatto, in questo primo momento, sia stata fatta in uno degli anni precedenti il 2016. Successivamente paragoneremo poi una valutazione sempre riferita agli anni precedenti il 2016, ma fatta con la nuova consapevolezza di adesso, pensando quindi al passato.
~ 100 ~
Basandosi, in particolare, sulla precedente risposta, abbiamo ritenuto significativo scegliere come driver per la valutazione della probabilità la “frequenza dell’esperienza
pregressa”, che considera quante volte l’evento si è verificato in passato ed “il numero di dispositivi e sistemi utilizzati connessi in rete”, attribuendo un punteggio da 1 a 5 ad
entrambi e facendo poi una media. Ne risulterà che più volte il rischio si è manifestato in passato e più dispositivi sono utilizzati in rete, maggiore sarà la probabilità che il cyber risk si manifesti.
Come spiegato in nota, supponiamo che la valutazione della probabilità sia stata fatta, ad esempio, nell’anno 2015, ovvero nell’anno precedente l’attacco.
Otteniamo allora le seguenti scale descrittive di probabilità:
Probabilità Driver: Frequenza dell’esperienza pregressa
1: raro L’evento non si è mai verificato
2: basso L’evento si è verificato da 1 a 3 volte
3: medio L’evento si è verificato da 4 a 6 volte
4: probabile L’evento si è verificato da 7 a 10 volte 5: molto probabile L’evento si è verificato da 11 a 15 volte
Probabilità Driver: Utilizzo di dispositivi connessi in rete
1: raro Nessun dispositivo utilizzato è connesso alla rete
2: basso Pochi dispositivi utilizzati sono connessi alla rete
3: medio La metà dei dispositivi utilizzati sono connessi alla rete
4: probabile La maggior parte dei dispositivi utilizzati sono connessi alla rete
5: molto probabile Tutti i dispositivi utilizzati sono connessi alla rete
~ 101 ~
Sulla base di quanto ci è stato detto nell’intervista, possiamo attribuire un punteggio pari ad 1 ad entrambi i driver, dato che:
- In passato non c’è mai stato un attacco informatico; - Nessun dispositivo utilizzato è connesso alla rete.
Facendo la media, otteniamo una probabilità di manifestazione del rischio Cyber pari ad 1, ciò significa che la sua manifestazione veniva considerata rara.
Per quanto riguarda invece la valutazione dell’impatto, abbiamo scelto altri due diversi
driver. L’amministratore ha dichiarato che la conseguenza più grave per l’azienda di
un attacco cyber riguarderebbe il “fermo lavoro”, ovvero il fatto che un eventuale blocco dei sistemi e dispositivi collegati in rete comporterebbe un’interruzione completa del lavoro. Ecco perché abbiamo scelto come primo driver il “numero di
ordini non evasi” e come secondo driver la “quantità di operazioni aziendali interrotte” dal manifestarsi di un attacco cyber. Avremo allora le seguenti scale:
Impatto Driver: Numero di ordini non evasi
1: trascurabile Tutti gli ordini possono essere evasi
2: basso La maggior parte degli ordini possono essere evasi
3: medio La metà degli ordini possono essere evasi
4: alto Pochi ordini possono essere evasi
5: catastrofico Nessun ordine può essere evaso
Impatto Driver: Quantità di operazioni aziendali interrotte
1: trascurabile Nessuna operazione viene interrotta
2: basso Poche operazioni vengono interrotte
3: medio La metà delle operazioni vengono interrotte
4: alto La maggior parte delle operazioni vengono interrotte
5: catastrofico Tutte le operazioni vengono interrotte
~ 102 ~
In base alla risposta precedente, possiamo attribuire anche in questo caso punteggio 1 ad entrambi i driver, consapevoli che addirittura l’amministratore, proiettato al 2015, non avrebbe neppure dato una valutazione dell’impatto, ritenendo del tutto improbabile la manifestazione del rischio in questione. Ad ogni modo, supponendo comunque la possibilità di attacco, tutti gli ordini sarebbero comunque stati evasi, dato l’inutilizzo di strumenti digitali e connessi in rete, ed allo stesso modo nessuna operazione sarebbe stata interrotta.
Il rischio cyber, quindi, se fosse stato collocato nella matrice nell’anno 2015, sarebbe stato collocato tra i rischi improbabili e di basso impatto, ovvero nell’area verde (Figura 18).
Effettuando invece lo stesso tipo di analisi adesso, e quindi valutando la probabilità e l’impatto, sempre utilizzando gli stessi driver, ma in seguito alla manifestazione del rischio e quindi successivamente all’attacco informatico, otteniamo un risultato diverso:
Punteggio attribuito alla probabilità = 3
- Driver: Frequenza dell’esperienza pregressa = 2, poiché l’evento si è manifestato una volta.
- Driver: Utilizzo di dispositivi connessi in rete = 4, dato che la maggior parte dei dispositivi sono, dal 2012, connessi alla rete.
Punteggio attribuito all’impatto = 4.5
- Driver: Numero di ordini non evasi = 5, poiché con i sistemi bloccati, nessun ordine potrebbe ora essere evaso.
- Driver: Quantità di operazioni aziendali interrotte = 4, dato che la maggior parte delle operazioni sarebbe interrotta.
~ 103 ~
Impatto Catastrofico 5 Post attacco Alto 4 Medio 3 Basso 2 Trascurabile 1 Ante attacco 1 Raro 2 Basso 3 Medio 4 Probabile 5 Molto probabile ProbabilitàNotiamo quindi come sia cambiata la concezione di questo rischio in seguito all’attacco subito: se prima era un rischio che non veniva nemmeno considerato, adesso l’azienda ne è “terrorizzata”, per usare le parole della dirigenza, poiché si è
“resa conto di come uno dei più banali e semplici attacchi informatici, a detta del consulente, possa mettere in ginocchio un’azienda paralizzandone completamente l’operatività”.
E’ interessante inoltre sottolineare come, sulla base della nuova concezione di tale rischio, l’imprenditore abbia rivalutato a posteriori l’esposizione al rischio negli anni successivi al 2012 ma precedenti l’attacco.
“Ripensando al passato mi rendo conto adesso che sarebbe stato inevitabile un attacco, poiché abbiamo sì adottato nuove tecnologie, nuovi hardware ed abbiamo cominciato a sfruttare tutti i vantaggi offerti dal collegamento alla rete, ma non ci siamo preoccupati d far evolvere allo stesso modo la sicurezza, prevedendo unicamente le misure strettamente indispensabili”