Safer Internet Day: crescono il rischio informatico e le insidie sul web
7 febbraio 2012, quello di quest’anno è il nono “Safer Internet Day”, ovvero la Giornata per la Sicurezza di Internet, evento organizzato nell’ambito di Insafe, l’iniziativa della Commissione Europea per incrementare il livello di consapevolezza dei problemi di sicurezza legati a Internet.
I dati elaborati da Microsoft riguardo all’Indice di sicurezza (Computing Safety Index – MCSI), dimostrano che l’Italia è piuttosto indietro dal punto di vista della protezione dei propri sistemi e dati. In una scala predefinita da 1 a 100, il punteggio medio dei 27 Paesi è stato pari a 44. L’Italia ha ottenuto un punteggio medio di 39, posizionandosi terzultima, solo dopo Bosnia (36) e Montenegro (38). I paesi più sicuri risultano invece la Slovacchia (56) e la Finlandia (50).
Il problema della sicurezza riguarda gli utenti privati, ma anche le aziende e il settore pubblico, sempre più legati all’utilizzo di piattaforme informatiche e all’archiviazione di dati ed informazioni in versione digitale. Anche il mondo finanziario e delle banche è ogni giorno più esposto a rischi di questo genere, ma in Italia, in questi settori, non ci si è ancora adeguati.
Dalla ricerca risulta che nel nostro paese solo il 2% degli utenti che naviga su web ha la vera consapevolezza dei rischi della rete e informazioni adeguate per potersi proteggere. Oltre il 70% dispone di una protezione online di base, ma poi non possiede le competenze per difendersi dalle minacce sempre più sofisticate rappresentate dalla cybercriminalità, come il phishing o il furto di identità. Anche se numerosi utenti utilizzano firewall, software antivirus e password più complesse, spesso non dispongono di informazioni sufficienti su mezzi e strumenti che contribuiscono a difendersi dalle minacce e, dunque, un numero enorme di utenti italiani sono potenzialmente vulnerabili.
Se l’Italia risulta indietro rispetto ad altri paesi per quanto riguarda il fronte degli utenti privati, la situazione non è migliore sul fronte del settore pubblico e delle aziende che sono sempre più esposte a questo tipo di rischi. Negli ultimi anni le attività aziendali sono sempre più dipendenti dall’utilizzo del supporto informatico e dall’archiviazione di dati ed informazioni in versione digitale, aumentando così anche i rischi e le perdite economiche che ne conseguono.
I rischi informatici possono scaturire dalle azioni dolose da parte di terzi o di terroristi, da errori degli stessi dipendenti, da azioni informatiche che costituiscono violazione della privacy, da eventi naturali come l’effetto provocato da un fulmine, da attacchi di hackers, da carenze nelle procedure di controllo, generate da alterazioni casuali o dolose, o da errori umani, dalla copia al commercio di dati.
Un modo per proteggersi dai danni informatici e dalle conseguenti perdite economiche che ne derivano è rappresentato dalle polizze assicurative che però, ad oggi, non sono diffuse su larga scala. Le aziende che si sono dotate di un’assicurazione sono cresciute a partire dalla fine degli anni ‘90, quando il timore del “millennium bug” aveva fatto presagire gravi perdite alle aziende. In anni più recenti, sono subentrati altri fattori che le hanno portate a stipulare assicurazioni, in particolar modo il fatto che gli “hackers” sono diventati molto più consapevoli del valore dei dati informatici, potenziale fonte di notevole guadagno se venduti a terzi.
Infine, con la sempre maggiore penetrazione del cloud computing, si prospettano nuove sfide derivanti dal fatto che i dati vengono affidati a soggetti terzi, il che comporta dei rischi di protezione aggiuntivi.
Il panorama delle polizze assicurative per quanto riguarda il rischio informatico è piuttosto variegato ed ACE Group è attualmente uno dei più importanti gruppi assicurativi e riassicurativi a livello mondiale che si distingue particolarmente in questo settore. La sua polizza Data Flow, ad esempio, è un prodotto studiato appositamente per tutte le società ad alta informatizzazione/automazione come banche, società finanziarie, di servizi informatici, pubblica amministrazione, ecc., e che si caratterizza per la presenza di garanzie quali cybercrime, virus, perdite economiche ed altre specifiche legate alle singole attività.
Questa compagnia ricorda costantemente le accortezze principali che servirebbero per difendersi dagli attacchi informatici: l’aggiornamento dei propri sistemi informatici, l’adozione di sistemi di prevenzione aggiornati e controllo frodi, i controlli interni, i controlli esterni tramite società di revisione, l’adozione di un codice etico e di condotta, l’adozione di sistemi di rotazione di staff, la raccolta di denunce anonima e, infine, una corretta formazione sulla prevenzione.
La crescita del cloud computing negli ultimi anni rappresenta un potenziale enorme per le aziende, ma allo stesso tempo pone rischi non trascurabili in termini di sicurezza dati. Il cliente cede al provider del cloud il controllo su tutta una serie di aspetti che possono minare la sicurezza dei dati. Inoltre, la separazione delle operazioni di archiviazione, memorizzazione e flusso dati, gestite da soggetti di volta in volta differenti, può essere fonte di errori e causare ingenti perdite di dati, così come è difficile controllane concretamente il processo di gestione. In breve, il fatto che “la nuvola” sia fuori dal controllo materiale del soggetto che ad essa si affida aumenta i rischi.
Lo scorso aprile, il servizio di cloud computing di Amazon in Virginia, ha fatto registrare un downtime che ha causato perdite enormi ad alcune delle compagnie che se ne servivano, come Hootsuite e FourSquare, e a cui non si è riusciti a rimediare prima di 4 giorni.
Molto spesso i pericoli di sicurezza dei dati possono derivare anche da cause accidentali. Per esempio i dipendenti dell’azienda, che utilizzano il loro computer possono essere fonte di rischio: se il dipendente di un’azienda invia un’e-mail contenente un virus, il ricevente potrebbe trovarsi a fare i conti con perdita di dati e conseguentemente perdita finanziaria e rivendicare un risarcimento.
In altri casi, invece, si verificano attacchi intenzionali ai sistemi informatici da parte di hacker professionisti, come è accaduto a Sony che, lo scorso ottobre, ha visto violati 93mila account di PlayStation Network e di altri servizi d’intrattenimento online. Qualche mese prima, ad aprile, oltre 100 milioni di account di PlayStation Network, erano già stati attaccati da hacker con il conseguente blocco di questi account per circa un mese.
E basta pensare che nel 2009 in Italia il 19% delle aziende ha riscontrato almeno un caso di frode, secondo dati di Price WaterhoseCoopers.
In Italia uno dei casi a cui si è dato rilievo per la portata delle conseguenze è stato l’incendio che ha danneggiato lo scorso aprile il server Aruba. A seguito di questo evento, molti siti che ad esso si appoggiavano sono stati bloccati e di conseguenza anche i servizi di posta elettronica. L’azienda ha dichiarato di non aver subito danni al server e che non si sono verificate perdite di dati, ma senza dubbio il blackout ha causato ingenti danni a coloro che utilizzavano i servizi di Aruba che hanno dovuto bloccare le loro attività per diverse ore.
Questo esempio è utile per capire che i rischi informatici possono essere di tipo materiale, cioè danni quantificabili dovuti a guasti di macchinari, a incendi, sabotaggi, furti di hardware e loro componenti, e immateriali quali per esempio gli alti costi derivanti dall’interruzione di attività. Un caso eclatante si è verificato lo scorso 10 ottobre con il blocco del traffico mail e web per milioni di possessori di Blackberry in Europa, Africa e Medio Oriente, dovuto ad un blackout generale che ha colpito i server della Research In Motion, l’azienda canadese produttrice dello smartphone.
Questo tipo di danni (le perdite di profitto, le spese straordinarie, derivanti, ad esempio, da un calo di reputazione ed immagine e in alcuni casi anche perdite patrimoniali), se non sono coperti dalle assicurazioni, vanno solitamente a gravare sul bilancio delle aziende.
