Cyber attacchi, lo studio alza le difese in cinque mosse
Oltre ai dati sensibili è in gioco la reputazione Vintiadis (Kroll): decisive governance e formazione nello studio
Con i dati sensibili è a rischio la reputazione stessa dell’attività professionale.
Prevenzione, formazione, governance e consapevolezza del livello di rischio che si vuole raggiungere. Sono queste le contromisure basilari da adottare per rafforzare le difese perimetrali dell’attività professionale. Che può essere messa sotto scacco da phishing, email truffa sui rimborsi fiscali, falsi messaggi provenienti da sedicenti avvocati (che, per esempio, chiedono l’esecuzione di una sentenza emessa al termine di un procedimento civile) e “frode dell’amministratore delegato”. Qui si fa leva sulla conoscenza della gerarchia aziendale e il rapporto di sudditanza con i vertici aziendali: il falso ad “ordina” di fare uno o più bonifici annullando la regola della doppia verifica.
Per non parlare degli attacchi con ransomware che, per esempio, non risparmiano nemmeno geometri e farmacisti, o la sottrazione di informazioni sensibili da parte dei dipendenti infedeli. Per finire, come è avvenuto la scorsa settimana, con l’interruzione dei servizi informatici degli uffici giudiziari dei distretti di corte d’Appello e il probabile furto delle credenziali della posta certificata gestita da Telecom. Ecco il dark side della quotidianità che rischia di togliere il sonno ai professionisti spesso impreparati sul fronte data breach e sicurezza.
«Le norme del Gdpr si dovranno confrontare con l’interpretazione che del testo darà il Garante della privacy perché non sono ancora chiari i criteri utilizzati nella valutazione dei casi di data breach - avverte Enrico Maria Mancuso, equity partner dello studio Pedersoli e responsabile del dipartimento di Diritto penale dell’economia , a margine di un incontro a porte chiuse sulla materia -. C’è poi una grande difficoltà ad accertare e tracciare questo tipo di reati». Alla prova dei fatti e nonostante gli obblighi imposti dal Gdpr, dopo la scoperta dell’attacco si rischia di cadere nell’errore di tacere il furto dei dati per timore del danno reputazionale. Ammettere la violazione potrebbe significare riconoscere uno scarso livello di sicurezza dello studio perché «se è accaduto una volta può succedere ancora» rimarca Mancuso.
Un altro nodo è l’adozione di policy che non rendano difficile la vita a professionisti e collaboratori. «Il problema è la governance - rimarca Marianna Vintiadis, Managing director responsabile Business Intelligence & Investigations Emea di Kroll, società leader nella prevenzione e risposta ai rischi -. Si deve lavorare sulla formazione, continua e coinvolgente, per evitare frodi e attacchi che sfruttano le cattive abitudini». La manager ogni settimana riceve almeno una segnalazione di frode e il bottino supera sempre il milione.
Non è un caso che le minacce cyber nel mondo siano al quinto posto, guadagnando tre posizioni, nella top ten del «Regional risks for doing business report», appena realizzato dal World economic forum in collaborazione con Marsh & McLennan e Zurich, su un campione di oltre 12mila executive in 140 paesi interrogati su quali sono i principali rischi per il business nel corso dei prossimi dieci anni.
Rischi e minacce sono note da tempo. Anche per questo Marianna Vintiadis e Enrico Maria Mancuso propongono cinque regole da seguire per essere compliance nella gestione dei dati:
1. Adottare sistemi di criptatura dei server e dei device;
2. Imporre l’adozione di password alfanumeriche sufficientemente complesse e cambiarle periodicamente;
3. Prevedere il sistematico backup dei dati e delle caselle di posta elettronica;
4. Prevedere sistemi di autenticazione dei singoli account tramite la verifica “a due passaggi”;
5 . Adottare sistemi in grado di monitorare continuativamente e segnalare l’eventuale trasferimento di ingenti quantità di dati.
MARIANNA VINTIADIS Managing director e responsabile di Kroll Sud Europa