In tempi in cui attacchi informatici mirati o sbatadatezza di utenti che abboccano a mail di phishing sono in aumento, aziende ed enti rischiano di pagare più volte lo scotto della disorganizzazione o sottovalutazione dei problemi.
Le situazioni più pericolose sono quelle in cui non vengono adeguatamente protetti i sistemi utilizzati per svolgere l’attività quotidiana, esponendo la struttura informatica a possibili azioni di hacker dilettanti o di smanettoni che violano sistemi di terzi per soddisfazione personale; salendo di livello arrivano le organizzazioni strutturate che hackerano i sistemi per chiedere riscatti o rivendere i dati esfiltrati o che riescono ad accedere a gestionali e mail, cambiando gli estremi dei conti bancari o inducendo l’utente a disporre pagamenti (solitamente bonifici istantanei) su conti esteri.
Quando ciò accade, arriva la prima serie di problemi da affrontare per arginare o risolvere l’incidente: interventi di tecnici specializzati, supporto legale, disagi per gli utenti, incertezza ed apprensione per i vertici con elevati costi diretti ed indiretti.
Nella seconda fase della gestione dell’incidente si materializzano le altre norme a corollario, principalmente privacy (data breach da gestire secondo le regole del GDPR) e, in alcuni casi, notifica degli incidenti allo CSIRT (per chi è sottoposto a NIS2): attività da gestire con tempistiche stringenti (24 ore per lo CSIRT e 72 ore per il Garante privacy), dove molto spesso l’incidente è ancora in corso o non è stato completamente risolto, lasciando quindi ampi margini di incertezza e di incompletezza nelle informazioni da trasmettere agli destinatari delle notifiche (ACN e Garante privacy). Ovviamente, se questi passaggi non vengono correttamente gestiti, si espone l’organizzazione a rischi di ispezioni e di sanzioni anche elevate.
Solo a questo punto si prende completamente coscienza di cosa si doveva fare o sarebbe stato utile fare e parte la caccia al colpevole.
Purtroppo, a meno di dolo da parte di qualche soggetto a vari livelli inserito nella gestione dei dati o dei processi, la colpa ricade nei soggetti apicali di aziende ed enti che non hanno sollecitato i collaboratori nell’impostazione di sistemi adeguati di protezione o non hanno dato seguito a richieste di miglioramento della sicurezza o investimenti per tenere aggiornato il parco informatico; in alcuni casi, una buona assicurazione contro cyber rischi è un investimento che aiuta e protegge nel momento del bisogno.
Per contro, anche chi si muove per tempo ed adotta sistemi di protezione perimetrale, alert automatici, intelligenza artificiale e monitoraggio del deep web per verificare se informazioni aziendali, password ed altri dati siano accessibili o in vendita, rischia un effetto boomerang se non valuta correttamente l’impatto di tali sistemi di protezione e logging delle attività rispetto allo Statuto dei Lavoratori (L. 300/70) o al decreto “trasparenza” (D. Lgs. 104/2022), per citare solo i principali.
Il quadro che emerge è quindi decisamente complesso, che non dovrebbe prescindere da un approccio preventivo e multidisciplinare, per contemperare le necessità di continuità aziendale o mantenimento in efficienza dell’ente con l’adozione di tecnologie di protezione adeguate ed aggiornate, nel rispetto dei diritti di lavoratori ed utenti.
Per un supporto sugli adempimenti legati al Reg. UE 2016/679 – GDPR e NIS2 in occasione dell’introduzione o dell’aggiornamento dei sistemi di sicurezza, i nostri uffici sono a disposizione.
Altri articoli
