Nel secondo capitolo abbiamo trattato quella che comunemente viene intesa come Cyber security, e cioè l’adozione di processi e tecnologie che consentono la protezione delle informazioni attraverso attività di prevenzione, rilevazione e risposta ad attacchi provenienti dal Cyberspace. Quello che cercheremo di capire adesso è quali sono le misure che sono state messe in atto dall’azienda per ridurre la vulnerabilità e rendere quantomeno difficile e costoso, per un attaccante, la violazione dei dati aziendali.
~ 106 ~
Inoltre, effettuando un confronto con i 15 controlli essenziali di cybersecurity proposti per le piccole/ medie imprese, contenuti nel “Cybersecurity Report 2016”, cercheremo di capire se è possibile fare di più di quanto è già stato fatto.
Abbiamo avuto la possibilità di sottoporre questa parte di questionario al consulente ICT esterno di cui l’azienda si avvale, il Sig. Guerrini Damiano, che oltre a confermare quanto già detto riguardo l’attacco subito, ha cercato di spiegare in modo semplice le misure di cybersecurity che sono state implementate. La N&B ha cominciato questa collaborazione proprio in sede di attacco informatico, poiché si è reso necessario l’intervento in azienda di detto consulente, su consiglio della Idea
Sistemi, per la risoluzione dei problemi conseguenti l’attacco.
Prima del 2012 non era presente nessun tipo di protezione: il fatto di operare “scollegati” dalla rete sembrava non rendere necessario neppure un comune antivirus installato sui pc adoperati, seppur offline. In seguito all’introduzione di Metodo, e quindi dal momento in cui la N&B ha iniziato ad interagire con la software house, sono state introdotte unicamente delle misure di base per l’utilizzo di internet, primi tra tutti firewall ed antivirus, ed alcune di quelle “standard” necessarie all’utilizzo del nuovo sistema ERP, come la previsione di un backup dei dati.
E’ dall’agosto del 2016 che sono state invece implementate sempre maggiori attività e tecnologie di prevenzione, reduci dagli effetti dell’attacco subito, seppur mitigati grazie all’intervento immediato del consulente ICT.
Innanzitutto è stata prevista una nuova protezione perimetrale, dato che l’antivirus ed il singolo firewall presenti in azienda sono stati sostituiti. E’ stato infatti introdotto un nuovo antivirus più potente e che permette inoltre al consulente di riuscire a vedere in remoto, e quindi da un proprio pc anche esterno all’azienda, quelle che sono le attività messe in atto, e quindi la correttezza e la frequenza delle scansioni, le minacce rilevate e quelle eventualmente contrastate. Per quanto riguarda i firewall45, ne sono stati introdotti due differenti di nuova generazione, ritenuti quindi più affidabili e
45 Firewall: componente di difesa perimetrale di una rete informatica. L’utilità del firewall è quella di fare da
barriera tra la rete esterna che comprende interamente Internet, e la rete interna, detta LAN (Local Area Network) che comprende una sezione più o meno grande di un insieme di computer host locali, filtrando tutto il traffico che tale rete scambia con l'esterno.
~ 107 ~
funzionali. Per consentire l’efficacia nel tempo di tali strumenti, però, è stato necessario prevedere anche un sistema di monitoraggio e quindi di aggiornamento di questi. Tale monitoraggio viene svolto giornalmente ed in prima battuta dai singoli dipendenti che utilizzano i sistemi, oltre che in maniera più approfondita, ma meno frequente, dal consulente ITC.
Altra misura di sicurezza messa in atto è stata quella di modificare l’esposizione del server46 aziendale alla rete esterna. Prima infatti il server era completamente esposto all’intera rete internet, con lo scopo principale di permetterne l’accesso in remoto ad esempio all’assistenza della Idea Sistemi per la risoluzione di eventuali problemi dovuti al gestionale. Adesso invece, proprio al fine di bloccare il più possibile gli accessi dall’esterno, è stata creata un’apposita rete vpn47 a cui deve collegarsi chiunque voglia accedere al server e quindi alla rete aziendale, assistenza inclusa.
A detta del Sig. Guerrini, in realtà, la principale e più importante misura di sicurezza che un’azienda possa avere è la presenza di diversi backup dei dati 48. Di fatti basti pensare come in seguito all’attacco subito e quindi alla criptazione dei dati aziendali, per l’azienda in questione sia stata di fondamentale importanza la presenza di un backup da cui recuperare la maggior parte dei dati bloccati.
E’ per questo motivo che l’azienda ha adesso non più un singolo backup archiviato all’interno del server fisico presente in azienda, ma più backup, di diverse tipologie e collocati in posti diversi. Inoltre a tal fine, ed in concomitanza con l’introduzione del nuovo sistema di archiviazione digitale “Knos” l’azienda ha acquistato un secondo server.
46 Server: è un componente o sottosistema informatico di elaborazione e gestione del traffico di informazioni che
fornisce, a livello logico e fisico, ad altre componenti (tipicamente chiamate clients cioè clienti) che ne fanno richiesta attraverso una rete di computer, all'interno di un sistema informatico o anche direttamente in locale su un computer. In altre parole si tratta di un computer (nel nostro caso) che fornisce i dati richiesti da altri elaboratori, facendo quindi da host per la trasmissione delle informazioni virtuali.
47 Rete VPN: Virtual private network: è una rete di telecomunicazioni privata, instaurata tra soggetti che
utilizzano, come tecnologia di trasporto, un protocollo di trasmissione pubblico e condiviso. In questo caso la vpn può essere vista come l'estensione a livello geografico di una rete locale privata aziendale sicura.
48 Backup: termine con il quale si indica la replicazione su un qualunque supporto di memorizzazione di materiale informativo archiviato nella memoria di massa dei computer, di qualsiasi tipo essi siano, al fine di prevenire la perdita definitiva dei dati in caso di eventi malevoli accidentali o intenzionali.
~ 108 ~
L’intento è stato quello da un lato di ampliare la memoria disponibile e quindi dedicabile al nuovo sistema, dall’altro avere un server di riserva in caso di danneggiamento anche fisico del principale. In fase di acquisto è stata valutata anche la possibilità di usufruire di un server in cloud, opzione momentaneamente scartata a causa della imprescindibile necessità di una connessione internet per il collegamento a detto server che però potrebbe ad esempio mancare in caso di problemi tecnici alla rete non dovuti all’azienda stessa.
Queste che abbiamo citato sono le tecnologie che sono state utilizzate per mettere in sicurezza l’azienda.
Ci rimane adesso da capire se il personale aziendale che utilizza tali strumenti in prima persona, è stato adeguatamente formato e renda quindi efficaci le misure previste. Tale formazione sarebbe infatti necessaria per limitare la capacità dell’eventuale attaccante di acquisire informazioni o di sfruttare il “fattore umano” come veicolo inconsapevole di software malevolo.
L’amministratore ha ammesso di non essersi particolarmente dedicato alla previsione di una formazione formale, né iniziale né di conseguenza periodica, sul tema del cyber risk e della sicurezza informatica.
Le poche informazioni che sono state date ai dipendenti sono state trasmesse in maniera informale ed unicamente alle persone coinvolte: quindi a coloro che si interfacciano giornalmente con la rete, perché ad esempio utilizzano i pc connessi e l’email, sono state fornite delle brevi linee guida ad esempio per riconoscere email sospette e per tenere costantemente sotto controllo l’aggiornamento dell’antivirus installato sul proprio pc. Per quanto riguarda invece i due dipendenti amministrativi che si interfacciano con l’assistenza della Idea Sistemi, e che quindi si occupano anche della gestione di tutta la parte dedicata alla connessione con i tablet aziendali e all’utilizzo dell’area ftp, la formazione è stata maggiore, seppur sempre limitata all’utilizzo ed al controllo dell’effettivo funzionamento delle tecnologie introdotte in azienda e del collegamento tra i vari hardware integrati a sistema.
~ 109 ~
A distanza di quasi un anno dall’attacco sembra che la cybersecurity sviluppata stia funzionando abbastanza correttamente: infatti, negli ultimi tre mesi, vi sono stati ulteriori tentativi di accesso che fortunatamente non sono andati del tutto a buon fine. Il primo è da supporre che fosse della stessa tipologia del precedente:
“il mese scorso ci è arrivata un email da parte dell’Enel, nel cui oggetto veniva richiesto il pagamento di una bolletta che non risultava pagata. Uno dei dipendenti mi ha fortunatamente chiamato in amministrazione per informarmi della cosa prima di aprire l’email; consapevole di essere con Enega da ormai 6 anni, non ne ho voluto sapere niente e l’ho fatta cestinare. Giorni dopo sono venuto a sapere che la stessa email era arrivata ad un mio socio di una mia agenzia immobiliare, che essendo invece abbonato con Enel ha aperto l’email e scoperto successivamente essere un virus che gli ha bloccato, analogamente a quanto successe a noi, il pc. “
Il secondo tentativo è stato invece un caso di Phishing: navigando su Internet, nel tentativo di collegarsi ad uno dei soliti siti utilizzati in azienda per alcune delle procedure da svolgere online, probabilmente si è stati indirizzati involontariamente in altri collegamenti. In seguito a ciò è partita una minaccia che ha cominciato a dare problemi al pc: prontamente il dipendente, reduce dall’attacco precedente, ha scollegato il cavo di rete del pc in questione ed ha subito contattato il consulente ITC. In questo caso l’antivirus ha correttamente svolto il proprio lavoro poiché è riuscito in parte e per quanto gli compete, ad evitare il blocco dei dati e l’accesso all’interno del sistema, segnalando immediatamente il problema alla postazione del consulente che è immediatamente intervenuto per la risoluzione del problema.
Ci siamo infine chiesti se la dirigenza dell’azienda pensa adesso di essere al sicuro da ulteriori tentativi di attacco e di aver fatto il possibile per la messa in sicurezza del proprio business:
“…in realtà continuo a non essere del tutto tranquillo, e penso che non lo sarò mai più completamente.
~ 110 ~
Sono sicuro invece che possano essere fatte ancora più cose per mettere in sicurezza l’azienda, e per quanto mi è possibile avrei intenzione di continuare su questa strada. Ad esempio adesso stiamo pensando di creare un’ulteriore rete vpn unicamente dedicata al collegamento con i tablet, per avere un controllo in più di quelli che sono gli accessi alla nostra rete aziendale, ma ne stiamo ancora valutando la convenienza e l’utilità.”.
Proviamo allora ad ipotizzare quali potrebbero essere ulteriori misure che l’azienda potrebbe mettere in atto, confrontando ciò che è stato fatto con l’elenco proposto dal
Cybersecurity Report 2016.
1) Inventario dispositivi e software: l’azienda non ha un vero e proprio
inventario formale né dei dispositivi utilizzati né di quelli che sono i dati e le informazioni più rilevanti e critiche del proprio business, anche se comunque dell’esistenza di questi sono informati e consapevoli sia i dipendenti che li utilizzano in prima persona sia il consulente ITC. Potrebbe allora essere fatto un passo in avanti con una formalizzazione scritta di tutti i dispositivi e software collegati in rete e con l’individuazione di un responsabile interno all’azienda che si occupi di controllare e tenere aggiornato tale inventario in modo da facilitare l’individuazione dei dispositivi e dei dati che debbano essere maggiormente protetti.
2) Governance: l’azienda risulta in regola per quanto riguarda
l’identificazione ed il rispetto delle leggi e dei regolamenti a cui deve attenersi a seconda dei dati trattati. L’aggiornamento a riguardo le è garantito, ancora una volta, grazie al supporto del consulente.
3) Protezione da Malware: come abbiamo visto, l’azienda dispone di due
~ 111 ~
4) Gestione password ed account: l’azienda utilizza, fin dall’introduzione
delle nuove tecnologie, account e password diversi per ogni utente. Sotto questo aspetto però potrebbe migliorare per quanto riguarda un cambiamento più frequente delle password utilizzate ed una complessità maggiore nella loro scelta. In più, sarebbe opportuno aumentare il livello di segretezza di queste anche tra i diversi utenti (non è raro che un utente sia a conoscenza della password di accesso di un altro).
5) Formazione e consapevolezza: in questo caso sarebbe opportuna l’introduzione di periodici corsi di formazione rivolti a tutti i dipendenti, per far sì che tutti siano a conoscenza dell’esistenza di queste diverse tipologie di minacce, anche coloro che hanno meno a che fare con la rete, affinchè non vengano messi in atto comportamenti involontari ma comunque rischiosi.
6) Protezione dei dati: l’azienda è in questo ambito abbastanza coperta grazie all’esistenza di diversi backup di dati conservati in modo sicuro e all’assistenza, all’evenienza, di tecnici esperti.
7) Protezione delle reti: l’esistenza di due firewall permette di ritenere la rete aziendale abbastanza sicura sotto questo punto di vista.
8) Prevenzione e mitigazione: come è successo al momento dell’attacco,
l’azienda ha subito informato gli esperti per provvedere alla risoluzione dei problemi. Volendo migliorare la gestione di eventuali incidenti, potrebbe essere previsto anche in questo caso, un responsabile interno che faciliti una più tempestiva individuazione di eventuali attacchi od anomalie.
~ 112 ~
CONCLUSIONI
Aver avuto la possibilità di analizzare un caso pratico ci ha permesso di capire “sul campo” l’importanza del tenere in considerazione questa nuova tipologia di rischio. Abbiamo visto come la maggior parte delle imprese sia a favore dell’introduzione nel proprio business di nuove tecnologie digitali, poiché appare chiaro quali siano i vantaggi che queste portano all’interno dei vari processi e, in maniera consequenziale, sui risultati di gestione. Quello che, però, non viene ancora abbastanza preso in considerazione riguarda gli svantaggi che queste potrebbero apportare, primo tra tutti il Cyber Risk: l’azienda trattata ne è un esempio.
Come abbiamo avuto modo di osservare, l’azienda ha avviato nel 2012 un vero e proprio processo di digitalizzazione, introducendo numerose innovazioni e tecnologie digitali che le hanno permesso di rimanere competitiva sul mercato e di raggiungere una maggiore efficienza ed un maggior controllo dei processi, che si sono tradotti in un aumento dei risultati di gestione. Al contempo però, questa non ha sviluppato un’adeguata cultura del rischio all’interno dell’organizzazione, non implementando quindi adeguate misure di cybersecurity necessarie a difendersi dal nuovo rischio a cui veniva esposta. In seguito al malware da cui è stata colpita, ha cominciato però a rendersi conto della pericolosità di tale rischio per la sua attività, iniziando a prendere adeguate misure di sicurezza per evitare che tale rischio si manifesti nuovamente. Il caso analizzato risulta in linea con quelli che sono i dati rilevati dal Rapporto Clusit 2016, che mostra come nell’ultimo anno siano cresciuti gli attacchi che possiamo ritenere più banali e quindi più facilmente attuabili, come ad esempio il Phishing o il Malware “semplice”, segno di come ancora sia troppo semplice ed evidentemente poco costoso per i criminali informatici avere accesso alle varie realtà aziendali a fini di Cybercrime, che si conferma anche nel 2016 come la prima causa di attacchi gravi a livello globale.
Possiamo allora supporre che come è avvenuto per questa piccola media impresa, allo stesso modo siano numerose le aziende di dimensioni ridotte che non sono abbastanza consapevoli o dell’esistenza stessa di tale rischio, o dell’impatto che questo potrebbe avere su di esse, nonostante siano numerosi i casi di cronaca che trattano l’argomento.
~ 113 ~
Il problema principale sta nell’errata associazione di una maggiore probabilità di attacco per quanto riguarda le imprese di maggiori dimensioni o di maggior fama e di ritenere invece improbabile l’attacco verso la propria piccola impresa.
In realtà sono numerosissimi i cyber criminali poco sofisticati che sono impegnati a generare i propri “margini” su grandissimi numeri, e mirano quindi alle aziende più deboli da un punto di vista di cybersecurity.
Sarebbe allora necessario aumentare l’informazione proprio verso questa tipologia di imprese, in modo da renderle consapevoli il più possibile, e prima che siano messe davanti l’evidenza di un attacco, dell’utilità di strumenti di cybersecurity, che sono ancora purtroppo visti come “costi inutili” piuttosto che come “costi necessari” ad evitare future e più disastrose conseguenze economiche per il proprio business.
~ 114 ~
APPENDICE
UNIVERSITÁ DI PISA
DIPARTIMENTO DI ECONOMIA E MANAGEMENT
Digital competences e Risk management:
La gestione strategica del Cyber Risk
OBIETTIVO
L’obiettivo del seguente questionario è quello di indagare se, all’interno di
alcune aziende di riferimento, via sia la consapevolezza dell’esistenza del
“Cyber risk”, al fine di comprendere se, e con quali modalità, questo viene
~ 115 ~
A- DATI GENERALI DELL'AZIENDA
a) Ragione sociale
b) Sede legale e sedi secondarie
c) Proprietà e forme societarie negli anni
d) Oggetto sociale/attività svolta
e) Settore di appartenenza
f) Fatturato annuo
g) Numero dipendenti
B- SETTORE DI APPARTENENZA
a) Descrizione del settore
~ 116 ~
c) Principali competitor
d) Andamento del settore
e) Posizionamento dell'azienda all'interno del settore
f) Grado di digitalizzazione del settore
C- ATTIVITA' OPERATIVA
~ 117 ~
D- EVOLUZIONE DIGITALE
sistema operativo, gestionale,nuovi collaboratori dopo inserimento del nuovo gestionale, come prendevano e gestivano gli ordini e come lo fanno ora, vantaggi del nuovo sistema (velocità, efficienza etc),
1) Pre digitalizzazione
a- Descrizione sintentica dei principali processi
ricezione, gestione ed evasione ordini
b - Strumenti utilizzati
c - Vantaggi (rispetto al post-digitalizzazione)
d - Svantaggi (rispetto al post-digitalizzazione)
~ 118 ~
2) Post digitalizzazione
a- Descrizione sintentica dei principali processi
ricezione, gestione ed evasione ordini
b - Strumenti utilizzati
c - Vantaggi (rispetto al post-digitalizzazione)
d - Svantaggi (rispetto al post-digitalizzazione)
~ 119 ~
E- CYBER RISK
1- Siete a conoscenza dell'esistenza del Cyber risk?
2- Se sì, sapreste darne una definizione?
3- Se sì, a cosa è dovuta questa vostra consapevolezza?
Formazione da parte di informatici/ tecnici in sede di digitalizzazione aziendale, esperienza sul campo in seguito ad attacchi informatici etc.
4- Avete subito attacchi informatici? Se sì: Descrizione dell'attacco
Tipologia di attacco, come si è manifestato, in che anno, in un periodo particolare per l'azienda (ferie, periodo che genera più fatturato…) etc.
~ 120 ~
a) Come è stato affrontato?
In che modo è stato risolto il problema, chi si è occupato della risoluzione
b) Quali sono state le conseguenze dell'attacco?
~ 121 ~
c) Erano presenti misure di sicurezza (Cyber security) prima dell'attacco?
Di che tipologia, da chi e perché erano state implementate
d) Sono state implementate nuove misure di protezione dopo l'attacco?
Cosa è cambiato in termini di sicurezza dopo l’attacco
e) Formazione del personale
Presenza di personale formato in tema di rischi informatici prima e dopo l'attacco subito, tipologia di formazione, sono previsti investimenti nella formazione periodica del personale.
~ 122 ~
f) Vi aspettavate di poter essere attaccati?Probabilità da 1 a 10
g) Pensate che possa ancora essere fatto qualcosa per migliorare la vostra sicurezza?
~ 123 ~
BIBLIOGRAFIA E SITOGRAFIA
• “Big Bang Disruption, l’era dell’innovazione devastante” Larry Downes, Paul Nunes, 2014
• “Il vantaggio competitivo “, Michael E.Porter, , Edizione di Comunità, Milano 1989. • “Il governo consapevole del rischio nelle imprese minori, verso una concezione
cognitiva di risk management” Fabio La Rosa Aracne editrice srl.
• “Introduzione al risk management“Milano Egea, Misani.
• “Il sistema di controllo interno nella prospettiva del risk management”, Giuseppe D’Onza, edizione Giuffre Editore.
• “Risk management news” ANRA, n° 40 agosto 2015.
• “Marketing Management”, Philip Kotler, Kevin L. Keller, Pearson, 2014 • www.theinnovationgroup.it/research-news/newsletter/il-parere-di-tig/digital- transformation-survey-2016-come-le-aziende-stanno-affrontando-il- cambiamento/?lang=it • www.ilsole24ore.com/art/tecnologie/2017-01-25/imprese-italiane-e-cybersicurezza- gestire-rischi-digitalizzazione-120723.shtml?uuid=AE4sfhH • www.cineas.it/lib/File/Executive%20Summary%20-%20Assiteca%20Osservatori.pdf • www.assiteca.it/ • www.digital4.biz/supplychain/supply-chain-trends/polimi-i-6-pilastri-dello-smart- manufacturing-dall-industrial-big-data-alla-stampa-3d-per-nl_43672157107.htm • www.sas.com/it_it/insights/big-data/what-is-big-data.html • www.zerounoweb.it/editoriali/il-chief-data-officer-cdo.html# • www.corrierecomunicazioni.it/digital/44683_analytics-in-rampa-di-lancio-un-terzo- delle-aziende-ha-il-data-scientist.htm • www.comefarea.it/internet-web-design/introduzione-al-cloud/ • www.theirm.org/knowledge-and-resources/thought-leadership/cyber-risk • www.coso.org • www.ipsoa.it/documents/impresa/rischi-dimpresa/quotidiano/2014/09/19/cyber-risk- management-come-difendersi-dai-rischi-informatici • www.assinews.it/07/2016/cyber-risk-rischio-informatico-le-coperture-