Cerca
Close this search box.

Smart working e rischio hacker

Con il Covid-19 le aziende italiane hanno compreso che essere ‘digitali’ non è una scelta, ma un obbligo. Tuttavia lo smart working, la disattenzione dei Cio, degli It manager o dei singoli dipendenti, offre agli hacker l’opportunità di inserirsi nelle reti aziendali, rubare dati e/o creare danni.

Ad essere a rischio non sono solo le pmi italiane ma anche le grandi aziende private e quelle pubbliche.

“Il rischio che si sta palesando, con sempre maggior intensità, è che dipendenti distratti, magari sotto stress, che hanno protocolli di sicurezza non aggiornati, possano essere la backdoor per hacker di vario genere”, spiega Giovanni Casto , AD di Softlab Group e Presidente di Softlab Spa. “Non è solo la singola azienda a essere in pericolo: la crescente complessità dei servizi e delle filiere di produzione implica che l’intero ecosistema di un’azienda debba essere messo in sicurezza. Un singolo anello debole della catena mette in pericolo tutti gli altri. È un fenomeno che coinvolge tutte le risorse umane, sia quelle interne all’azienda sia quelle esterne, come consulenti e fornitori. Un fenomeno che richiede profili professionali specifici e definiti”.

Una visione simile la condivide anche Laura di Raimondo, direttore generale di AssTel-Telecomunicazioni: “La Filiera delle TLC è un osservatorio in grado di intercettare i cambiamenti con anni di anticipo, per guidare la trasformazione digitale è sempre più importante investire nella formazione continua del capitale umano da impegnare nelle imprese del futuro. La trasformazione delle competenze in ottica di digitalizzazione del lavoro; l’investimento nella crescita della produttività e nelle persone sono essenziali per rispondere alle innovazioni prodotte dalla quarta rivoluzione industriale. Per tradurre questo in fatti nell’ambito del rinnovo del Ccnl Tlc abbiamo inserito 26 nuovi profili professionali e previsto il superamento dei profili più obsoleti rivisitando complessivamente il sistema di classificazione del personale legato ai processi di trasformazione digitale. Pertanto, il tema delle competenze digitali rappresenta una delle sfide prioritarie per aumentare la competitività del nostro sistema e accrescere la qualità del mercato del lavoro. In questo processo, la formazione dentro e fuori le aziende ricopre un ruolo centrale per riqualificare e riconvertire durante tutto l’arco della vita il bagaglio culturale dei lavoratori”, conclude Di Raimondo.

Strategie di hacking per smart working

La filiera dei fornitori, unita alla ‘distrazione e stress’ da smart working, rappresenta una magnifica opportunità per hackers di entrare nel mondo di un’azienda, anche di grandi dimensioni. Oggi si vive in un ecosistema interconnesso. Le grandi realtà, all’inizio della crisi, avevano già iniziato un percorso di digitalizzazione e remotizzazione dei loro dipendenti (definendo prassi operative, fornendo loro device portatili, etc..). Per le pmi la situazione era differente: medie e piccole aziende di filiera erano totalmente o parzialmente sprovviste di pratiche per lavorare da remoto e hanno dovuto improvvisare. “Molte aziende, le pmi in particolare, all’inizio dell’emergenza per compensare la carenza di devices adatti al lavoro da casa hanno adottato la politica del Byod (Bring You Own Device, che tradotto in maniera semplificata significa ‘usa il tuo computer’, Nda)”, spiega Casto. “Una strategia con vantaggi comprensibili: riduzione dei costi di manutenzione e risparmio sull’acquisto di nuovi device aziendali. A questo vantaggio si aggiunge l’abitudine dei dipendenti ad usare il loro device personale anche dopo gli orari di ufficio. Questo implica una maggior disponibilità dei dipendenti a ricevere/replicare a comunicazioni di lavoro oltre l’orario di ufficio. Molte Pmi hanno preferito mantenere questa soluzione per risparmiare sui costi, integrando qualche soluzione di sicurezza come antivirus regalati ai dipendenti o l’integrazione in un VPN. Se tuttavia il device personale resta scoperto, l’intera filiera di aziende in cui la Pmi è integrata è a rischio”, aggiunge Casto. “Una pratica soluzione al fenomeno Byod, che dovrebbe essere già diffusa presso Cio e It delle aziende che partecipano a una filiera, è il Tprm (Third party risk management). Il concetto è semplice e inizia da dove termina la riflessione sul Byod. La crescente integrazione di fornitori in un unico ecosistema porta alla necessità che le prassi di sicurezza siano condivise e applicate lungo l’intera filiera di fornitori che dialogano, digitalmente, tra di loro. In pratica ogni azienda di filiera, ancor più la grande azienda, dovrebbe attivare pratiche e standard di sicurezza digitale e implementarle con forza in tutta la sua catena. Per chiarire questo passaggio usiamo la similitudine della deep due diligence e del Csr spiegato in passato in queste pagine: dove ai fornitori è richiesto uno standard di trasparenza e regole condivise su processi di produzione e approvvigionamento.

I nuovi rischi per gli smartworker

A confermare questo scenario di seri rischi per gli smartworker arrivano le analisi recenti (2020) di differenti enti e organizzazioni pubbliche. ENISA (European Union Agency for Cybersecurity) mantiene attivo un osservatorio sul rischio di attacchi cybernetici, specialmente ora con lo smartworking. La BIS (Bank for International Settlements) ha di recente diramato un’analisi sul rischio di attacchi alle aziende, e relativit dipendenti, operanti nel settore finanziario. ECSO (European Cybersecurity Organization) ha pubblicato dicembre 2020 un analisi sugli scenari e i rischi connessi per dipendenti pubblici e privati, con le differenti iniziative che aziende private e organizzazioni statali hanno intrapreso per contenere il rischio di attacchi, specialmente tenendo presente lo scenario smartworking. Sul tema ramsomware (software che bloccano i dati di un computer e poi richiedono un riscatto per liberarli) vi sono un numero crescente di analisi sulle recenti evoluzioni dello scenario “riscatto”.

I costi di un attacco? Milioni di euro

Rendicontare con precisione i danni cagionati da un attacco informatico non è sempre facile. Il conteggio può essere suddiviso in 3 gruppi: danni diretti, indiretti e di immagine. Quelli diretti sono semplici da comprendere: furto di dati, danneggiamento a strutture fisiche o digitali. I danni indiretti corrispondono a tutti gli eventi economici che vengono cagionati ‘indirettamente’ dalla azienda vittima al resto del suo ecosistema e a se stessa. A questi si aggiungono le eventuali multe che possono essere comminate dalle istituzioni. “Le recenti evoluzioni in materia di trattamento e conservazione dei dati personali, generalmente riconosciute nel nuovo Gdpr, prevedono pesanti sanzioni per le aziende private o pubbliche che disperdono o si rendono involontari dispersori di dati. Esiste un motore di ricerca che permette di monitorare queste sanzioni, ma i crescenti rischi di infiltrazione di hacker, che sfruttano le falle generate dal sistema di lavoro remoto, comportano un ulteriore aggravio e un danno economico, sotto forma di multe, per le aziende impreparate”, conclude Casto. Il terzo tipo di danno è, entro certi limiti, più complesso da rendicontare. Il concetto di immagine, o brand, di un azienda è un fattore su cui lavorano principalmente le grandi aziende quotate in borsa o conosciute presso il pubblico consumer. Difficile che un azienda di filiera che produce bulloni possa avere un danno di immagine importante, se hackerata. Molto più rilevante se l’azienda ‘capo fila’ che produce motori per aereo, rischia di pagare per i danni ricevui da uno dei suoi fornitori. Quando la catena di Hotel Marriot è stata multata per una pessima gestione dei dati dei suoi clienti (a seguito di un attacco di hacker) la multa comminata è stata definita in 18 milioni di sterline. Tuttavia il danno finale, che riguarda anche l’immagine del gruppo, la fiducia che essa implica potrebbe costare molto di più. Una analisi dell’epoca riportava un rischio di perdita di valore di azioni fino al 5% e una perdita di clienti quantificabile entro il 7%. Considerando i volumi di traffico e i valori di borsa del gruppo, le cifre/percentuali in discussione sono decisamente superiori alla multa comminata. Non è ancora dato sapere in che proporzione i dipendenti ora remotizzati resteranno in modalità smartworking. Le cifre, a seconda della nazione e delle industrie, variano dal 20% al 40% di dipendenti in parte o totalmente remotizzati. Ma solo considerando i paesi Ocse, si parla di milioni di persone che, se non correttamente digitalizzate, rischiano di diventare vettori di contagio digitale e backdoor inconsapevoli per criminali informatici.

ABBIAMO UN'OFFERTA PER TE

€2 per 1 mese di Fortune

Oltre 100 articoli in anteprima di business ed economia ogni mese

Approfittane ora per ottenere in esclusiva:

Fortune è un marchio Fortune Media IP Limited usato sotto licenza.