Le nuove frontiere del cyber risk, 07/09/2017 di Michele Iaselli

A partire dagli anni novanta, con la nascita e conseguente diffusione di Internet le nuove tecnologie hanno assunto un ruolo sempre più preponderante modificando i rapporti sociali ed individuali, con notevoli ripercussioni in ogni ambito della nostra vita sociale.

Con il passar del tempo, Internet è diventato uno strumento di comunicazione di massa, indispensabile nella vita di tutti i giorni, si pensi alle numerose operazioni che compiamo regolarmente utilizzando il Web, quali inviare una candidatura online tramite un form, condividere dei contenuti sui social, acquistare un viaggio o eseguire un’operazione bancaria, ma rappresenta anche un’opportunità inestimabile per lo sviluppo economico delle imprese, come delle istituzioni scientifiche e pubbliche.

La rivoluzione digitale sta dunque portando molti benefici a società, imprese, studi professionali ma, come spesso accade, bisogna considerare anche il rovescio della medaglia. Difatti, accanto agli innumerevoli benefici, l’uso incontrollato di Internet può comportare una quantità notevole di insidie e problematiche che rientrano nell’ambito di quel fenomeno definito cyber risk “rischio informatico (o ICT)”.

In termini metodologici, secondo le linee guida internazionali, storicamente sono classificate 5 grandi famiglie di rischio: rischi operativi, rischi finanziari, rischi strategici, rischi organizzativi, rischi di pianificazione aziendale e di reporting.

Il cyber risk ha una caratteristica peculiare in quanto può indifferentemente abbracciare ciascuna delle cinque famiglie di rischio citate e considerarsi come una nuova tipologia di macro-rischio determinata dall’evoluzione tecnologica.

Più precisamente, il rischio informatico può essere definito come il rischio di danni economici (rischi diretti) e di reputazione (rischi indiretti) derivanti dall’uso della tecnologia, intendendosi con ciò sia i rischi impliciti nella tecnologia (i cosiddetti rischi di natura endogena) che i rischi derivanti dall’automazione, attraverso l’uso della tecnologia, di processi operativi aziendali (i cosiddetti rischi di natura esogena).

I rischi di natura endogena sono:

Naturali: incendi, calamità naturali, inondazioni, terremoti.
Finanziari: variazione dei prezzi e dei costi, inflazione.
Strategici: concorrenza, progressi scientifici, innovazioni tecnologiche.
Errori umani: modifica e cancellazione dei dati, manomissione volontaria dei dati.
I rischi di natura esogena, o di natura operativa sono i rischi connessi alle strutture informatiche che compongono i sistemi. Essi sono:
Danneggiamento di hardware e software.
Errori nell’esecuzione delle operazioni nei sistemi.
Malfunzionamento dei sistemi.
Programmi indesiderati.
Tali rischi possono verificarsi a causa dei cosiddetti programmi “virus” destinati ad alterare od impedire il funzionamento dei sistemi informatici. Ma vi sono anche le truffe informatiche, la pedopornografia, il cyberbullismo, i ricatti a sfondo sessuale derivanti da video chat on line e solo una piena consapevolezza del concetto di sicurezza informatica può davvero metterci al riparo da sgradevoli sorprese.

Ogni giorno vengono compiuti migliaia di attacchi informatici attraverso le tecniche più varie e termini come malware, ransomware, trojan horse, account cracking, phishing, 0-dayvulnerability sono diventati parte del vocabolario anche per i non esperti.

J. Edgar Hoover, capo dell’FBI (Federal Bureau of Investigation) moltissimi anni fa affermava: “L’unico computer a prova di hacker è quello spento, non collegato ad Internet e chiuso a chiave in una cassaforte”. Appena viene riacceso diventa potenzialmente vulnerabile e può essere attaccato, ad esempio durante l’installazione di eventuali aggiornamenti al sistema operativo.

Per evitare attacchi informatici, o almeno per limitarne le conseguenze, è necessario adottare delle contromisure; i calcolatori e le reti di telecomunicazione necessitano di protezione anche se come in qualsiasi ambiente la sicurezza assoluta non è concretamente realizzabile.

Il modo per proteggersi è imparare a riconoscere le origini del rischio. Gli strumenti di difesa informatica sono molteplici, si pensi antivirus, antispyware, blocco popup, firewall ecc., ma tuttavia non sempre si rivelano efficienti, in quanto esistono codici malevoli in grado di aggirare facilmente le difese, anche con l’inconsapevole complicità degli stessi utenti.

Di recente si sta assistendo alla nascita di una nuova modalità di prevenzione del rischio informatico: il Trusted Computing.

L’espressione inglese Trusted Computing (TC, letteralmente informatica fidata o calcolo fidato) si riferisce ad una tecnologia nascente, con l’obiettivo dichiarato di rendere dispositivi come computer o telefoni cellulari più sicuri mediante l’uso di opportuni hardware o software.

Il TC si basa sull’uso della crittografia. Dunque l’obiettivo del TC non è quello di introdurre nuovi strumenti software per fronteggiare i rischi ed attacchi connessi a sistemi informatici ed a reti di telecomunicazioni, ma bensì di costruire sistemi hardware o software non abilitati a determinate funzioni in grado di comprometterne la sicurezza, nonché il controllo attraverso Internet, del rispetto delle limitazioni di funzionalità da parte degli utenti dei sistemi.

Un altro aspetto di notevole importanza del rischio informatico e di interesse per gli studi professionali su cui dobbiamo soffermare la nostra attenzione è il risk management.

Il risk management (gestione del rischio) è quel processo attraverso il quale si misura o si stima il rischio e successivamente si sviluppano le strategie per fronteggiarlo.

La gestione del rischio, così come descritto nella Convenzione Interbancaria per i problemi dell’Automazione (CIPA) nel rapporto sul rischio informatico si articola in diverse fasi:

Identificazione del rischio;
Individuazione delle minacce;
Individuazione dei danni che possono derivare dal concretizzarsi delle minacce e la loro valutazione;
Identificazione delle possibili contromisure per contrastare le minacce arrecate alle risorse informatiche.
Diverse sono le modalità di gestione del rischio. A seconda del livello di rischio che un soggetto sia esso un’azienda, persona o ente ritiene accettabile si distinguono:

Evitare: si modificano i processi produttivi, modalità di gestione ed amministrazione con lo scopo di eliminare il rischio.
Trasferire il rischio ad un altro soggetto: il trasferimento del rischio avviene nei confronti di assicurazioni, partner e si tratta principalmente di rischi economici perché più facilmente quantificabili.
Mitigare: consiste nel ridurre, attraverso processi di controllo e verifica, la probabilità del verificarsi del rischio o nel limitarne la gravità delle conseguenze nel caso in cui si verifichino.
Accettare: ossia assumersi il rischio ed i relativi costi.

2017-09-09T15:14:32+00:00 9 Settembre, 2017|Press|