Il rapporto mette in evidenza le tendenze globali che impatteranno maggiormente l’operatività delle aziende nel corso di quest’anno. Le aziende metteranno in atto importanti cambiamenti strutturali per la gestione del cyber risk.
Si registrerà, a livello globale, un incremento delle polizze assicurative ‘stand alone’ per fronteggiare il cyber risk. I Chief Risk Officer assumeranno un ruolo più centrale nella gestione della cyber security. La sempre maggiore pressione normativa porterà alla richiesta di un’armonizzazione dei regolamenti in ambito cyber. Crescerà l’importanza dei sistemi di autenticazione multifattoriale per una maggiore sicurezza degli account
Secondo l’edizione 2018 del Cybersecurity Predictions Report realizzato dagli specialisti per le Cyber Solutions di AON – gruppo multinazionale specializzato nella consulenza dei rischi e delle risorse umane, nell’intermediazione assicurativa e riassicurativa – la crescente minaccia di attacchi cyber su ogni aspetto del business e la sua crescita in termini di ricorrenza e portata, costringerà le aziende a mettere in atto nuove misure per far fronte in modo “olistico” al rischio cyber, integrandole a pieno titolo nelle politiche di risk management.
Il Cybersecurity Predictions Report 2018 indica quali saranno i cambiamenti significativi, derivanti proprio dall’aumento dell’entità e dell’impatto degli attacchi cyber, associato alla maggiore responsabilità che le aziende sono chiamate ad assumere in ambito cyber security.
Di seguito, le principali evidenze di questa edizione del rapporto:
- Le aziende stipuleranno polizze assicurative ‘stand alone’, dal momento che i CdA e i dirigenti prenderanno maggiore coscienza delle loro responsabilità anche in ambito cyber
Quando i membri dei CdA e i dirigenti si troveranno a sperimentare direttamente l’impatto degli attacchi cyber, tra cui ad esempio una riduzione dei profitti, l’interruzione del business e azioni legali contro direttori e manager, le aziende ricorreranno sempre di più a polizze assicurative su misura contro il cyber risk, piuttosto che affidarsi a componenti silenti di altre polizze. Secondo i curatori del report, l’adozione di polizze cyber si estenderà inoltre ben al di là dei settori in cui venivano tradizionalmente stipulate – come quelli retail, finanziario e sanitario – e andrà a coinvolgere altri settori vulnerabili all’interruzione del business causata da problemi di tipo cyber, come quello manifatturiero, dei trasporti, utility e petrolifero.
- I Chief Risk Officer assumeranno un ruolo centrale nella gestione del cyber risk, che sarà sempre di più trattato come un rischio aziendale, dato che il mondo reale e quello digitale convergeranno
Dal momento che gli attacchi cyber evoluti generano conseguenze nel mondo reale, con un crescente impatto sulle attività delle aziende, i top manager saranno più consapevoli della rilevanza del cyber risk. AON prevede che nel 2018 i Chief Risk Officer (CRO) saranno coinvolti nella gestione delle problematiche cyber, lavorando a stretto contatto con i Chief Information Security Officer (CISO), per aiutare le organizzazioni a comprendere l’impatto del cyber risk sulle proprie attività.
- L’attenzione delle Autorità si sta allargando a dinamiche sempre più complesse, generando richieste di armonizzazione. L’Unione Europea chiede alle aziende internazionali di denunciare eventuali violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR); negli Stati Uniti gli aggregatori di big data verranno sottoposti a verifica
Nel 2018 le Autorità a livello internazionale, nazionale e locale applicheranno le normative esistenti in materia di cyber security in modo più severo e aumenteranno la pressione sulle aziende per far rispettare le regole, introducendone anche di nuove. Ci si attende che in futuro le autorità europee chiederanno conto alle più importanti aziende statunitensi e globali di eventuali violazioni del GDPR. Al di là dell’Atlantico, le aziende di ‘big data’ (sia chi si occupa della loro raccolta, che della loro vendita) saranno sottoposte a controlli in relazione alle modalità utilizzate per la raccolta, l’uso e la protezione dei dati. Sotto il peso di crescenti pressioni normative, le organizzazioni del settore chiederanno alle autorità di armonizzare le varie normative sulla cyber security.
- Gli hacker sono pronti ad attaccare i business attivi nell’ambito dell’Internet of Things (IoT), in particolare piccole e medie imprese che forniscono servizi ad aziende globali
Nel 2018 le aziende globali dovranno far fronte a maggiori complessità nell’ambito dell’uso dell’Internet of Things, riguardanti la gestione del rischio di terze parti. Il Report prevede che le grandi aziende saranno colpite e messe in difficoltà da attacchi diretti contro un loro piccolo fornitore o contractor, che prenderà di mira l’IoT per penetrare nelle loro reti. Questo rappresenterà un campanello di allarme, portando da una parte le corporate a rivedere il proprio approccio alla gestione del rischio di terze parti e, dall’altra, spingerà le piccole e medie imprese a implementare misure di sicurezza migliori, per non subire perdite del business.
- La violazione continua delle password e l’aggiramento dei sistemi di riconoscimento biometrico farà crescere l’importanza di sistemi di autenticazione multifattoriale
Al di là delle password, spiegano da AON, le aziende stanno introducendo nuovi metodi di autenticazione, dal riconoscimento facciale alle impronte digitali. Queste tecnologie sono tuttavia ancora vulnerabili e, per questa ragione, il Report di Aon prevede che una nuova ondata di aziende adotterà l’autenticazione multifattoriale per contrastare l’assalto alle password e gli attacchi contro i sistemi biometrici. Le persone dovranno quindi fornire molteplici informazioni al dispositivo di autenticazione. Si attende pertanto un crescente ricorso alla biometria comportamentale.
- I pirati informatici avranno come obiettivo le transazioni che usano i punti fedeltà come valuta, stimolando così la diffusione dell’uso di programmi ‘bug bounty’, ovvero programmi di ricompense promossi dalle aziende dedicati a chiunque rintracci e segnali le vulnerabilità dei sistemi o device
Aziende anche al di fuori del settore tecnologico, pubblico, automobilistico e dei servizi finanziari introdurranno piattaforme ‘bug bounty’ nei loro sistemi di sicurezza. Dal momento che i criminali puntano alle transazioni che utilizzano come valuta i punti fedeltà, i business che adottano programmi fedeltà che prevedono premi e ricompense – come le compagnie aeree, i venditori retail e le catene alberghiere – contribuiranno alla nuova ondata di adozioni di programmi ‘bug bounty’. Mano a mano che nuove aziende adotteranno questi programmi, verrà richiesto il supporto di esperti esterni, per evitare l’insorgere di nuovi rischi a causa di un’impropria configurazione dei programmi.
- Gli attacchi ransomware diventeranno più mirati; le criptovalute contribuiranno all’espansione dei ransomware
Nel 2018 gli autori di attacchi informatici che fanno uso di ransomware cambieranno le loro tattiche. Il Report indica che gli hacker, usando varie forme di malware “benigni” – come i software progettati per lanciare attacchi DDoS (Distributed Denial of Service – attacchi ai server delle società che rendono indisponibili per un certo lasso temporale servizi, dati o risorse di un’organizzazione) o per diffondere pubblicità su migliaia di sistemi – provocheranno forti ondate di attacchi ransomware. Mentre proseguiranno gli attacchi “a tappeto” per colpire più sistemi possibili, il Report stima anche un aumento di attacchi mirati ad aziende specifiche e volti ad esigere pagamenti ransomware proporzionali al valore degli asset criptati. Le criptovalute continueranno a sostenere lo sviluppo dei ransomware, nonostante una maggiore capacità delle forze dell’ordine di tracciare gli attacchi, ad esempio attraverso i portafogli bitcoin.
- L’‘insider risk’ minaccia le aziende, che sottostimano la loro vulnerabilità, mentre attacchi rilevanti passano completamente inosservati.
Nel 2017 le aziende non hanno investito abbastanza in strategie proattive volte a mitigare i rischi interni e nel 2018 questo fenomeno si ripeterà. Secondo il Report di AON, la carente formazione nell’ambito della sicurezza e dei controlli tecnici, uniti ai nuovi trend lavorativi (smart working, consulenti esterni, freelance), farà sì che la reale entità degli attacchi e dei problemi cyber provocati da lavoratori non saranno di dominio pubblico. Molte aziende continueranno a rispondere reattivamente agli incidenti “a porte chiuse” e resteranno inconsapevoli del reale costo e dell’impatto dell’‘insider risk’ sulla propria organizzazione.
“Nel 2017, gli autori degli attacchi informatici hanno creato importanti danni utilizzando diverse leve, dal phishing che ha influenzato le campagne elettorali, ai ‘ransomware cryptoworms’ che si sono infiltrati nei sistemi su scala globale – ha affermato Jason J. Hogg, CEO di AON Cyber Solutions –. Nel 2018 le aziende saranno sempre più esposte al rischio cyber, considerato il maggiore uso delle tecnologie e il crescente valore degli asset immateriali. Sarà perciò necessario adottare un approccio integrato alla cyber security, sia nell’ambito della cultura aziendale che delle politiche di risk management, che renda possibile valutare e mitigare il rischio in tutte le funzioni aziendali”.
“In Italia, la maggior parte delle aziende sono consapevoli dell’impatto degli attacchi cyber sul business, ma sono ancora poche quelle virtuose che hanno già adottato strategie adeguate per la valutazione del rischio e del trasferimento al mercato assicurativo – ha commentato Enrico Vanin, CEO di AON Italia e AON Hewitt Risk & Consulting –. Il GDPR, che entrerà in vigore a maggio, con le sue implicazioni sulla responsabilità della protezione dei dati, sarà lo strumento che in una certa misura imporrà alle aziende di valutare la propria vulnerabilità e di definire l’adozione di una politica condivisa di cyber risk management. Dall’altro lato, il mercato assicurativo è chiamato a rispondere alle nuove esigenze, sviluppando nuovi prodotti e soluzioni”.