Nel corso del 2023, si stima che il mercato del cybercrime arriverà a valere circa 8 trilioni di dollari, cioè come dire la terza economia mondiale dopo Stati Uniti (che ha un PIL di circa 23 trilioni di dollari) e la Cina (che si attesta sui 18 trilioni). Con numeri di questa portata, pare davvero anacronistico e poco credibile continuare a credere che il nostro Ente prima o poi non verrà attaccato. Mettendo insieme i dati del cybercrime in crescita e le statistiche degli attacchi rivolti alle Pubbliche Amministrazioni, il conto è presto fatto: se non è ancora successo, possiamo essere ragionevolmente sicuri che succederà nei prossimi anni.
Non possiamo farci trovare impreparati.
I numeri di un fenomeno sempre più esteso
Proviamo a dare qualche altro numero interessante: il popolo di Internet, cioè il numero di persone o aziende o Enti che hanno almeno un proprio dato personale salvato in rete, è di circa 6 miliardi di soggetti, ovvero il 75% della popolazione mondiale, numero destinato ad arrivare a 7,5 miliardi nel 2030.
Il valore economico dei dati personali immessi nella rete è molto variabile, partendo dai più bassi (un indirizzo email, ad esempio, che essendo facile da reperire è poco appetibile) ai più elevati, tra cui vanno segnalati senza ombra di dubbio i dati sanitari, motivo per cui durante la pandemia il cybercrime ha avuto un’impennata di “fatturato” senza precedenti nelle ultime due decadi.
I costi per le vittime (aziende pubbliche e private) di un attacco cyber sono esorbitanti: nel 2021 la media di costo per azienda di un attacco informatico di successo è stata 4,24 milioni di dollari (Fonte: Ponemon Insitute) ed è interessante notare che la media del danno non è direttamente proporzionale con il numero dei dipendenti dell’ente: le realtà piccole e medie subiscono in proporzione un danno 7-8 volte più elevato rispetto a realtà più grandi.
>> L’ARCHIVIO COMPLETO DELLA RUBRICA I MARTEDI’ DELLA CYBERSECURITY.
Come difendersi?
Fortunatamente la percezione del problema sta cominciando a cambiare, grazie anche a casi eccellenti che ottengono gli onori della cronaca, come il caso del data breach della Regione Lazio e gli attacchi ai Comuni di Rho e Brescia, per citarne solo alcuni, e si comincia a capire il fatto che il cybercrime è un fenomeno che riguarda tutti, dai pesci grossi a quelli piccoli. Altrettanto fortunatamente non siamo obbligati a rimanere in timorosa attesa di essere attaccati, senza poter fare nulla per difenderci: al contrario, si possono porre in essere una serie di strategie mirate fondamentali per la costruzione di un buon piano di mitigazione del rischio, che, se correttamente implementate all’interno del nostro Comune possono veramente fare la differenza tra un attacco di successo ed uno che viene rimandato al mittente. E porre in essere poche e semplici regole di buon senso costituisce un’opportunità non solo sulla strada della digitalizzazione della Pubblica Amministrazione, di cui sempre più si parla, ma soprattutto verso una maggior efficienza dei servizi da offrire ai cittadini.
Ecco quindi sei semplici suggerimenti e strategie per ridurre la possibilità che si verifichi un attacco cyber ed altresì per abbassare l’entità dei suoi impatti economici.
- Cambiare atteggiamento: chiunque, anche il nostro Ente, può essere la prossima vittima ed il nemico numero uno dell’innovazione e della difesa è la mentalità “abbiamo sempre fatto così”. Se si è sempre fatto in un modo, allora è il momento migliore per cambiare. Non si tratta di fare allarmismo o di fomentare teorie del complotto; più semplicemente di prendere coscienza di un problema oggettivo, riconoscendo l’esistenza di un rischio e porre in essere le misure per cercare di minimizzarlo.
- Effettuare un cybersecurity assessment, ovvero una analisi approfondita, una fotografia della situazione di partenza per verificare il livello di sicurezza informatica del nostro Comune. L’assessment (di cui abbiamo già parlato nelle settimane passate), che costituisce un vero e proprio check-up dell’Ente, consentirà di capire quali sono le principali vulnerabilità, qual è il fattore di rischio attuale e quali sono le aree che richiedono un intervento immediato.
- Redigere un mitigation plan adeguato: individuare tutte le azioni necessarie per riportare il livello di rischio ad un livello accettabile, a livello economico prima di tutto, è la vera chiave di volta della nostra strategia di sicurezza informatica. E se pensiamo che costi troppo caro effettuare interventi risolutivi, ricordiamoci sempre che non fare niente è senza dubbio la scelta che ci costerà più cara (in termini di rischio, di danno economico e di sanzioni).
- Formazione, formazione, formazione: non solo per nuove leve assunte, ma anche per i dipendenti storici del Comune, una formazione adeguata, efficiente e continua, con momenti di approfondimento specifico sui vari tipi di minacce e sui modi per riconoscerle, è la nostra arma migliore nell’arsenale delle contro misure contro gli attacchi informatici.
- Investimenti software e hardware mirati, in corrispondenza degli assessment continui, da svolgersi almeno una volta all’anno.
- Assicurazione sui rischi cyber: anche stipulare una assicurazione di questo genere può essere una scelta importante per la riduzione non tanto del rischio, quanto del danno economico conseguente. Tuttavia, non bisogna cadere nella trappola di pensare che l’assicurazione copra tutto e risolva ogni problema. Anche in campo cyber, maggiore è il rischio, maggiore sarà il premio da pagare, pertanto l’impatto economico finanziario potrebbe essere di notevole entità. Si tratta di una misura da tenere in considerazione solo dopo che sono state poste in essere tutte le altre misure di protezione, tra le quali, e non verrà mai sottolineato abbastanza, la prima e la più importante fra tutte è la formazione del personale.
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.
Scrivi un commento
Accedi per poter inserire un commento