Affronteremo in questo articolo il tema del rischio nel cyber spazio e lo faremo da diversi punti di vista.
Quando si parla di come affrontare tali rischi si pensa subito alla cyber security quale disciplina per affrontarli, ma è davvero corretto?
Iniziamo con una considerazione: la definizione di cybersecurity è tutt’altro che univoca e condivisa.
Secondo l’European Council – Council of the European Union la cybersecurity “includes the activities necessary to protect network and information systems, the users ofsuch systems, and other persons affected by cyber threats”, ma differenti definizioni si ritrovano ad esempio nelle normative emesse dal resto del mondo.
Al riguardo il Financial Stability Board, nell’ottobre del 2017 ha pubblicato il Summary Report on Financial Sector Cybersecurity Regulations, Guidance and Supervisory Practices, nel quale sono riportate le definizioni citate nella seguente tabella:
Argentina.
“A cycle composed by 5 related and integrated information security processes: awareness, access control, integrity and register, control and monitoring, incident management”. China. “Using of technology and management to ensure the usability, confidentiality, intactness and non-repudiation of information during collection, transit, exchange and storage. Cybersecurity includes internet security, system security and content security, which covers all levels of security, i.e. physical circumstances, internet, mainframe system, desktop system, data, application, storage, disaster backup, security management and personnel”. Hong Kong. “The ability to protect or defend against cyber attacks, which refer to attacks that target an institution’s IT systems and networks with an aim to disrupt, disable, destroy or maliciously control an IT system/network, to destroy the integrity of the institution’s data, or to steal information from it”. India. “Measures, tools and processes that are intended to prevent cyber-attacks and improve cyber resilience. Cyber Resilience is an organization’s ability to prepare and respond to a cyber attack and to continue operation during, and recover from, a cyber attack”. Italy. “The set of controls and organizational measures and means (human, technical, etc.) used to protect information systems assets and communication networks against all non-physical attacks, irrespectively of the attack being initiated through a physical or logical security breach”. Saudi Arabia. “The collection of tools, policies, security concepts, security safeguards, guidelines, risk management approaches, actions, training, best practices, assurance, and technologies that can be used to protect the member organization’s information assets against internal and external threats”. |
I rischi del cyber spazio sono primariamente quelli legati alle architetture ed alle applicazioni ICT che costituiscono l’infrastruttura su cui lo stesso si basa.
Al riguardo va considerato che i rischi legati al mondo ICT non sono solo quelli legati alla sicurezza (e alcune delle precedenti definizioni vanno in questa direzione) e di questo ne dà un buon esempio EBA, nella sua pubblicazione: Orientamenti sulla valutazione dei rischi relativi alle tecnologie dell’informazione e della comunicazione (Information and Communication Technology – ICT) a norma del processo di revisione e valutazione prudenziale (SREP)) (EBA/GL/2017/05).
Il documento riporta, ad esempio, le seguenti categorie di rischi legati all’ICT:
➤ Rischio di disponibilità e continuità ICT
Il rischio che le prestazioni e la disponibilità dei sistemi e dei dati ICT siano influenzati negativamente, incluso il rischio di incapacità di ripristinare tempestivamente i servizi dell’ente a causa di un guasto delle componenti ICT hardware o software; debolezze nella gestione dei sistemi ICT; o qualsiasi altro evento: ”
- Inadeguata gestione della capacità
- Guasti dei sistemi ICT
- Inadeguatezza dei piani di ripristino in caso di disastro e della continuità dei sistemi ICT
- Attacchi informatici dirompenti e distruttivi
➤ Rischio di sicurezza ICT
Il rischio di accesso non autorizzato ai sistemi e ai dati dei sistemi ICT dell’ente, dall’interno o dall’esterno (ad esempio nel caso di attacchi informatici):
- Attacchi informatici e altri attacchi esterni ICT
- Insufficiente sicurezza interna delle ICT
- Insufficiente sicurezza fisica ICT
- Rischio relativo ai cambiamenti ICT
➤ Rischi relativi ai cambiamenti ICT
Il rischio derivante dall’incapacità dell’ente di gestire i cambiamenti dei sistemi ICT in modo tempestivo e controllato, in particolare per quanto concerne programmi di modifica complessi e di grandi dimensioni:
- Controlli inadeguati rispetto a cambiamenti dei sistemi ICT e sviluppo di ICT”
- Architettura ICT inadeguata
- Gestione inadeguata del ciclo di vita e delle patch
- Rischio di integrità dei dati ICT
➤ Rischi di integrità dei dati ICT
Il rischio che i dati archiviati ed elaborati dai sistemi ICT siano incompleti, inesatti o incoerenti nei vari sistemi, in seguito, ad esempio, a controlli ICT carenti o assenti durante le varie fasi del ciclo di vita dei dati ICT (vale a dire, progettazione dell’architettura dei dati, costruzione del modello e/o dei dizionari di dati, verifica degli inserimenti dei dati, controllo delle estrazioni, dei trasferimenti e delle elaborazioni dei dati, inclusi i risultati forniti), tali da compromettere la capacità di un ente di fornire servizi e di produrre le informazioni finanziarie e relative alla gestione (del rischio) in modo corretto e tempestivo:
- Trattamento o gestione inadeguati dei dati ICT “
- Controlli di validazione dei dati progettati in modo inadeguato per i sistemi ICT
- Modifiche dei dati non adeguatamente controllate nei sistemi ICT in produzione
- Architettura di dati, flussi di dati, modelli di dati o dizionari di dati progettati e/o gestiti in modo inadeguato
➤ Rischio di esternalizzazione ICT
Il rischio che il ricorso a una terza parte o a un’altra entità del gruppo (esternalizzazione intra-gruppo), per la fornitura di sistemi ICT o servizi connessi incida negativamente sulle prestazioni e sulla gestione del rischio dell’ente:
- Resilienza insufficiente di servizi di terzi o di altri enti del gruppo
- Organizzazione inadeguata dell’esternalizzazione
- Insufficiente sicurezza di terzi o altri enti del gruppo
Che i rischi ICT non siano solo quelli legati alla sicurezza appare chiaro anche in base alle definizioni degli incidenti in ambito ICT; ad esempio, sempre EBA, nel suo documento Orientamenti dell’ABE sulla gestione dei rischi relativi alle tecnologie dell’informazione e della comunicazione (Information and Communication Technology – ICT) e di sicurezza ne dà la seguente definizione:
➤ Incidente operativo o di sicurezza
“Singolo evento o serie di eventi collegati, non pianificati dall’istituto finanziario, che ha, o probabilmente avrà, un impatto negativo sull’integrità, la disponibilità, la riservatezza, e/o l’autenticità dei servizi.”
La definizione evidenzia chiaramente che gli incidenti ICT possono essere sia operativi sia di sicurezza.
Ancor più incisiva è inoltre la definizione di ITIL 3 che definisce un incidente come:
“Un’interruzione non pianificata di un servizio IT o una riduzione della qualità di un servizio IT. Anche il malfunzionamento di un elemento della configurazione che non ha ancora impattato un servizio viene considerato un incident. Per esempio il malfunzionamento di un disco in un set di dischi mirrorati che ben evidenzia come anche la riduzione della qualità di un servizio debba essere considerata un incidente ICT. Al riguardo, ad esempio, è sufficiente considerare come l’allungamento dei tempi di risposta di un portale di e-commerce possa renderlo non fruibile e portare un utente/cliente ad abbandonare il sito.
Ulteriori considerazioni possono essere fatte in merito al fatto che l’immaterialità del cyber space è basata su strutture fisiche; di fatto qualunque asset immateriale necessità per la sua esistenza di un asset materiale che lo supporti, fosse anche la mente di una persona fisica.
Ecco quindi che fra i rischi che interessano l’immateriale cyber space troviamo tutti quelli che possono impattare fisicamente l’infrastruttura che lo supportano.
È importante avere una chiara visione di tutti gli aspetti sopra citati in quanto una esaustiva valutazione dei rischi non può ignorarli; una classica analisi dei rischi che prenda in considerazione solo aspetti quali l’integrità, la disponibilità e la riservatezza è fortemente deficitaria.
Prendiamo ora in considerazione un ulteriore punto di vista; quali sono gli ambiti che possono subire conseguenze da un incidente al cyber spazio secondo quanto fin qui illustrato?
Il primo e più intuitivo è sicuramente quello che interessa gli asset aziendali ed i servizi dell’azienda ad esso collegati.
Ma ci sono anche altri ambiti da considerare; ad esempio i rischi di soggetti terzi rispetto all’azienda, in particolare i rischi per i diritti e le libertà delle persone fisiche e dei soggetti di cui l’azienda tratta i dati ai sensi della normativa privacy.
In termini aziendali, tali rischi si possono tradurre in rischio risarcitorio e rischio sanzionatorio nel caso che un incidente comporti ad esempio una violazione dei dati personali. Per questo specifico ambito quindi è possibile considerare due diversi tipi di approccio: uno dal punto di vista del soggetto che può subire un danno e un altro dal punto di vista delle conseguenze per l’azienda derivate dal precedente.
Un ulteriore ambito da considerare riguarda i rischi, sempre più rilevanti, così detti di terza e quarta parte, cioè quelli derivanti dal ricorso a fornitori terzi (fornitori o sub fornitori), molto spesso tramite soluzioni cloud.
La valutazione del rischio aziendale complessivo deve quindi prendere in considerazione tutti questi ambiti perché solo una valutazione esaustiva potrà consentire una corretta valutazione dei costi/benefici delle misure tecniche ed organizzative messe in atto per fronteggiare il rischio.
In sintesi quindi, quando si parla di rischi del cyber spazio è necessario avere una visione molto più ampia di quanto si è soliti affrontare in termini di cyber security.
Autore: Giancarlo Butti