Secondo l’edizione 2018 del Cybersecurity Predictions Report realizzato dagli specialisti per le Cyber Solutions di Aon, la crescente minaccia di attacchi cyber su ogni aspetto del business e la sua crescita in termini di ricorrenza e portata, costringerà le aziende a mettere in atto nuove misure per far fronte in modo “olistico” al rischio cyber, integrandole a pieno titolo nelle politiche di risk management.
Il Cybersecurity Predictions Report 2018 indica quali saranno i cambiamenti significativi, derivanti proprio dall’aumento dell’entità e dell’impatto degli attacchi cyber, associato alla maggiore responsabilità che le aziende sono chiamate ad assumere in ambito cyber security.
Principali highlights del “Cybersecurity Predictions Report 2018”:
- Le aziende stipuleranno polizze assicurative ‘stand alone’, dal momento che i Consigli di Amministrazione e i dirigenti prenderanno maggiore coscienza delle loro responsabilità anche in ambito cyber.
Quando i membri dei Consigli di Amministrazione e i dirigenti si troveranno a sperimentare direttamente l’impatto degli attacchi cyber, tra cui ad esempio una riduzione dei profitti, l’interruzione del business e azioni legali contro direttori e manager, le aziende ricorreranno sempre di più a polizze assicurative su misura contro il cyber risk, piuttosto che affidarsi a componenti silenti di altre polizze. Inoltre, l’adozione di polizze cyber si estenderà ben al di là dei settori in cui venivano tradizionalmente stipulate – come quelli retail, finanziario e sanitario – e andrà a coinvolgere altri settori vulnerabili all’interruzione del business causata da problemi di tipo cyber, come quello manifatturiero, dei trasporti, utility e petrolifero.
- I Chief Risk Officer assumeranno un ruolo centrale nella gestione del cyber risk, che sarà sempre di più trattato come un rischio aziendale, dato che il mondo reale e quello digitale convergeranno.
Dal momento che gli attacchi cyber evoluti generano conseguenze nel mondo reale, con un crescente impatto sulle attività delle aziende, i top manager saranno più consapevoli della rilevanza del cyber risk. Si prevede che nel 2018 i CRO saranno coinvolti nella gestione delle problematiche cyber, lavorando a stretto contatto con i Chief Information Security Officer (CISO), per aiutare le organizzazioni a comprendere l’impatto del cyber risk sul business.
- L’attenzione delle Autorità si sta allargando a dinamiche sempre più complesse, generando richieste di armonizzazione. L’Unione Europea chiede alle aziende internazionali di denunciare eventuali violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR); negli Stati Uniti gli aggregatori di big data verranno sottoposti a verifica.
Nel 2018 le Autorità a livello internazionale, nazionale e locale applicheranno le normative esistenti in materia di cyber security in modo più severo e aumenteranno la pressione sulle aziende per far rispettare le regole, introducendone anche di nuove. Ci si attende che in futuro le autorità europee chiederanno conto alle più importanti aziende statunitensi e globali di eventuali violazioni del GDPR. Al di là dell’Atlantico, le aziende di ‘big data’ (sia chi si occupa della loro raccolta, che della loro vendita) saranno sottoposte a controlli in relazione alle modalità utilizzate per la raccolta, l’uso e la protezione dei dati. Sotto il peso di crescenti pressioni normative, le organizzazioni del settore chiederanno alle autorità di armonizzare le varie normative sulla cyber security.
- Gli hacker sono pronti ad attaccare i business attivi nell’ambito dell’Internet of Things (IoT), in particolare piccole e medie imprese che forniscono servizi ad aziende globali.
Nel 2018 le aziende globali dovranno far fronte a maggiori complessità nell’ambito dell’uso dell’Internet of Things, riguardanti la gestione del rischio di terze parti. Il Report prevede che le grandi aziende saranno colpite e messe in difficoltà da attacchi diretti contro un loro piccolo fornitore o contractor, che prenderà di mira l’IoT per penetrare nelle loro reti. Questo rappresenterà un campanello di allarme, portando da una parte le corporate a rivedere il proprio approccio alla gestione del rischio di terze parti e, dall’altra, spingerà le piccole e medie imprese a implementare misure di sicurezza migliori, per non subire perdite del business.
- La violazione continua delle password e l’aggiramento dei sistemi di riconoscimento biometrico farà crescere l’importanza di sistemi di autenticazione multifattoriale.
Al di là delle password, le aziende stanno introducendo nuovi metodi di autenticazione – dal riconoscimento facciale alle impronte digitali. Tuttavia queste tecnologie sono ancora vulnerabili e, per questa ragione, il Report di Aon prevede che una nuova ondata di aziende adotterà l’autenticazione multifattoriale per contrastare l’assalto alle password e gli attacchi contro i sistemi biometrici. Le persone dovranno quindi fornire molteplici informazioni al dispositivo di autenticazione. Si attende pertanto un crescente ricorso alla biometria comportamentale.
- I pirati informatici avranno come obiettivo le transazioni che usano i punti fedeltà come valuta, stimolando così la diffusione dell’uso di programmi ‘bug bounty’, ovvero programmi di ricompense promossi dalle aziende dedicati a chiunque rintracci e segnali le vulnerabilità dei sistemi o device.
Aziende anche al di fuori del settore tecnologico, pubblico, automobilistico e dei servizi finanziari introdurranno piattaforme ‘bug bounty’ nei loro sistemi di sicurezza. Dal momento che i criminali puntano alle transazioni che utilizzano come valuta i punti fedeltà, i business che adottano programmi fedeltà che prevedono premi e ricompense – come le compagnie aeree, i venditori retail e le catene alberghiere – contribuiranno alla nuova ondata di adozioni di programmi ‘bug bounty’. Mano a mano che nuove aziende adotteranno questi programmi, verrà richiesto il supporto di esperti esterni, per evitare l’insorgere di nuovi rischi a causa di un’impropria configurazione dei programmi.
- Gli attacchi ransomware diventeranno più mirati; le criptovalute contribuiranno all’espansione dei ransomware.
Nel 2018 gli autori di attacchi informatici che fanno uso di ransomware cambieranno le loro tattiche. Il Report indica che gli hacker, usando varie forme di malware “benigni” – come i software progettati per lanciare attacchi DDoS (Distributed Denial of Service – attacchi ai server delle società che rendono indisponibili per un certo lasso temporale servizi, dati o risorse di un’organizzazione) o per diffondere pubblicità su migliaia di sistemi – provocheranno forti ondate di attacchi ransomware. Mentre proseguiranno gli attacchi “a tappeto” per colpire più sistemi possibili, il Report stima anche un aumento di attacchi mirati ad aziende specifiche e volti ad esigere pagamenti ransomware proporzionali al valore degli asset criptati. Le criptovalute continueranno a sostenere lo sviluppo dei ransomware, nonostante una maggiore capacità delle forze dell’ordine di tracciare gli attacchi, ad esempio attraverso i portafogli bitcoin.
- L’‘insider risk’ minaccia le aziende, che sottostimano la loro vulnerabilità, mentre attacchi rilevanti passano completamente inosservati.
Nel 2017 le aziende non hanno investito abbastanza in strategie proattive volte a mitigare i rischi interni e nel 2018 questo fenomeno si ripeterà. Secondo il Report di Aon, la carente formazione nell’ambito della sicurezza e dei controlli tecnici, uniti ai nuovi trend lavorativi (smart working, consulenti esterni, freelance), farà sì che la reale entità degli attacchi e dei problemi cyber provocati da lavoratori non saranno di dominio pubblico. Molte aziende continueranno a rispondere reattivamente agli incidenti “a porte chiuse” e resteranno inconsapevoli del reale costo e dell’impatto dell’insider risk’ sulla propria organizzazione.
Jason J. Hogg, CEO di Aon Cyber Solutions ha dichiarato “Nel 2017, gli autori degli attacchi informatici hanno creato importanti danni utilizzando diverse leve, dal phishing che ha influenzato le campagne elettorali, ai ‘ransomware cryptoworms’ che si sono infiltrati nei sistemi su scala globale. Nel 2018 le aziende saranno sempre più esposte al rischio cyber, considerato il maggiore uso delle tecnologie e il crescente valore degli asset immateriali. Sarà perciò necessario adottare un approccio integrato alla cyber security, sia nell’ambito della cultura aziendale che delle politiche di risk management, che renda possibile valutare e mitigare il rischio in tutte le funzioni aziendali”.
Enrico Vanin, CEO di Aon S.p.A. e Aon Hewitt Risk&Consulting ha commentato: “In Italia, la maggior parte delle aziende sono consapevoli dell’impatto degli attacchi cyber sul business, ma sono ancora poche quelle virtuose che hanno già adottato strategie adeguate per la valutazione del rischio e del trasferimento al mercato assicurativo. Il GDPR, che entrerà in vigore a maggio, con le sue implicazioni sulla responsabilità della protezione dei dati, sarà lo strumento che in una certa misura imporrà alle aziende di valutare la propria vulnerabilità e di definire l’adozione di una politica condivisa di cyber risk management. Dall’altro lato, il mercato assicurativo è chiamato a rispondere alle nuove esigenze, sviluppando nuovi prodotti e soluzioni”.
