Il monito di Ferruccio de Bortoli sui cyber-attacchi: “L’innovazione non si accompagna a un’adeguata cultura dei rischi”

Share

Ferruccio de Bortoli

La sindrome di Peter Pan si adatta perfettamente a un fenomeno del quale abbiamo già parlato su L’Economia del 24 novembre scorso. In tema di sicurezza digitale la reazione prevalente si può riassumere così: un misto di entusiasmo e ingenuità. Non solo dei singoli ma anche delle aziende. L’innovazione non si accompagna a un’adeguata cultura dei rischi. Insomma, si stenta a diventare adulti digitali. Non è una questione di investimenti, in alcuni casi vistosamente inadeguati. Ma di consapevolezza della centralità di formazione e prevenzione. Resiste nelle piccole e medie imprese un’idea fisica della sicurezza, come se i recinti aziendali si estendessero alla Rete. La sproporzione fra attacchi e difesa è totalmente sottovalutata. Gli hacker violano profili e banche dati con poche migliaia di euro. Per proteggersi non bastano a volte sistemi e software milionari. Si leggono le cronache del Russiagate o dello scandalo Facebook Cambridge Analytica come se facessero parte della letteratura di genere. Romanzi avvincenti ma distanti. Le tecniche di intrusione più sofisticate non sono un’esclusiva delle partite planetarie. Anche nelle minuscole pieghe delle lunghe catene internazionali del valore vengono custodite informazioni di estrema importanza. Gli anelli deboli non sanno di esserlo. Un puntino nell’universo del business può essere una preziosa fenditura in architetture complesse. I dati sanitari personali sono ricercatissimi. Nel caso Wannacry, nel maggio dello scorso anno, i sistemi di otto ospedali inglesi, non aggiornati né sufficientemente protetti, sono stati bloccati e spiati per tre giorni.

Il World Economic Forum ha messo la pirateria informatica tra i cinque grandi rischi globali dell’economia. Soprattutto con la diffusione dei pagamenti digitali e dell’Internet delle cose. Si calcola che nel 2020 vi saranno oltre 200 miliardi di sensori sparsi negli uffici e nelle case. Sapranno tutto di noi. Gli utenti fisici, circa 5 miliardi, a quel punto saranno una netta minoranza. I danni del cybercrime nel mondo si sono quintuplicati in breve tempo. Erano stimati 100 miliardi nel 2011, avrebbero raggiunto i 500 lo scorso anno. Il dato italiano è intorno ai 10 miliardi e si calcola abbia coinvolto un milione di persone. «Io rimango sempre stupita — spiega Nunzia Ciardi, direttore della Polizia postale — dal fatto che sfugga, anche a persone molto attrezzate culturalmente, lo stretto legame tra tutela della sfera personale, sicurezza nazionale e competitività del sistema Italia. Viviamo una colpevole leggerezza, aziendale e personale. Ci si dimentica spesso il vecchio adagio che dice: quando una cosa è gratuita il prezzo sei tu. Facilità e comodità spesso si traducono in costosa sprovvedutezza».

Alcuni esempi possono chiarire la vastità del fenomeno. Una truffa assai diffusa: un hacker entra nel sistema di posta elettronica di una piccola azienda, poco protetto e gestito da personale non qualificato, e si impossessa dei dati personali di un cliente a cui manda una fattura con l’Iban bancario falsato. È accaduto a un privato per i lavori di ristrutturazione della casa. Ha dato 30 mila euro al malvivente, ma l’azienda non rinuncerà al corrispettivo. Di chi è la colpa? La giurisprudenza è incerta. «Quando la segnalazione è tempestiva noi riusciamo a bloccare i conti — spiega Ciardi — ma se passa troppo tempo, se le somme sono già state spacchettate o messe sui cosiddetti money mule, addio. Se poi l’Iban è estero..». Esiste, e dà buoni risultati, la piattaforma Of 2 Cen nella quale la polizia, con la collaborazione delle banche, raccoglie tutti gli indirizzi truffaldini. Le «foto segnaletiche» dei pirati della Rete. Ma dovrebbe essere estesa almeno a livello europeo. Per ora, all’analoga piattaforma Eu Of 2 Cen partecipano oltre all’Italia, solo Francia, Spagna e Ungheria.

Un’altra tipologia di truffe aziendali è quella del finto amministratore delegato o del manager di livello. Il truffatore manda una mail al sottoposto aziendale con potere di spesa e gli spiega (a volte usando nomignoli, si carpisce anche il linguaggio usuale di lavoro) di essere all’estero e di avere la necessità di fare un pagamento urgente. È accaduto negli uffici di Bruxelles di Confindustria. E si ripete con una certa facilità. In un caso, rimasto sconosciuto alle cronache, il dirigente truffato ha emesso un bonifico da sei milioni di euro. «Mi sento in dovere — dice il direttore della polizia postale — di lanciare un serio allarme sulla razzia di dati e sull’uso che ne può fare la concorrenza o, peggio, la malavita organizzata. Esiste un vero e proprio commercio clandestino dei profili personali e aziendali». Un’iniziativa positiva di contrasto al fenomeno è il prossimo allargamento, a livello regionale, del Cnaipic, il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche. Ma ci si accorge che l’area dei soggetti aggredibili tende ad allargarsi a dismisura. I segreti industriali vengono violati risalendo le catene produttive, partendo dal più piccolo dei fornitori. Non c’è solo il furto dei dati, con le tecniche del phishing (pesca a strascico con mail false) o del ransomware (ti blocco e ti chiedo un riscatto). Emergono ultimamente incursioni nei cicli produttivi a danno della qualità (macchine fuori tolleranza) oppure lo spionaggio attraverso sonde software. Danneggiamenti o furti di proprietà intellettuale difficilmente riconoscibili. Il 98% degli attacchi sfrutta tecniche già conosciute. Il 50% delle aziende al mondo di avvale di un Soc (Security Operations Center) a livello globale in grado di ridurre i rischi e conoscere le nuove modalità di attacco. In Italia meno del 20%. La spesa media delle imprese per la sicurezza informatica è intorno al 6% del budget di information tecnology. In Italia è l’1,5%.

«C’è molto da fare — spiega l’amministratore delegato di Hewlett Packard Enterprise Italia Stefano Venturi — bisogna investire di più ma soprattutto far crescere la cultura della sicurezza e promuovere la condivisione dei rischi». Sì perché può sembrare paradossale nell’epoca della privacy inesistente in Rete che sia così diffusa l’omertà digitale. Ci si vergogna degli attacchi subiti, ledono l’immagine aziendale, e si crede di ridurre i costi tacendo. In realtà si diventa complici degli aggressori.

Ferruccio de Bortoli, L’Economia del Corriere della Sera

Share
Share