Nell’ultimo anno e mezzo (quello della pandemia) la parola resilienza - la capacità di un sistema di resistere a qualsiasi evento negativo e di tornare a funzionare come prima dello stesso - ha avuto una forte esposizione mediatica e sia stata declinata in diverse chiavi. Non ultima quella digitale, con l’emersione parallela del concetto di cyber resilience.
Su questa base, se ne deduce agilmente il significato: un insieme di attività mirate a far sì che un’azienda sopporti al meglio le conseguenze di un attacco informatico. Eventualità, quest’ultima, sempre meno remota: l’ultimo rapporto Clusit (ottobre 2021) sottolinea come in Europa gli attacchi siano passati da un +15% rilevato nel secondo semestre del 2020 al +45% del primo semestre dell’anno in corso, con una media mensile di attacchi gravi pari a 170 nel 2021. Un aumento esponenziale, cui corrispondono perdite economiche dai contorni preoccupanti: a livello globale sono pari a 6 trilioni di dollari per il 2021, e incidono ormai per una percentuale significativa del Prodotto Interno Lordo mondiale, con un tasso di peggioramento su base annua a due cifre e un valore che corrisponde al triplo del PIL italiano.
Se è quindi inevitabile parlare di cyber resilience, è però opportuno capire in cosa consista esattamente e quale sia lo stato di maturità delle aziende nel praticarla.
I cardini della Cyber Resilience
La gestione di un attacco informatico per limitarne l’impatto sul business si articola su tre pilastri: business continuity, crisis management, incident response. E’ dunque un tema che non coincide con la protezione e la detection. «Di cyber resilience si parla quando queste hanno fallito. E’ la risposta alla domanda: ora che ci hanno attaccati, cosa facciamo?». Così la spiega Lorenzo Bernini, Cybersecurity Manager per HWG, che specifica poi con un esempio quanti altri aspetti siano toccati dalle attività che traducono in pratica questa tipo specifico di resilienza: «Pensiamo al punto di crisis management. Non si tratta solo di sapere esattamente cosa i dipendenti debbano fare dopo un attacco, ma anche come l’azienda debba comunicare l’evento e a chi. Quindi come gestire la comunicazione con chi si occupa dell’ambito legale, come informare bene i dipendenti sui loro compiti, come far passare il messaggio all’esterno per far sì che il rilievo mediatico di un attacco non impatti eccessivamente sulla brand reputation».
Le attività di cyber resilience costituiscono un complesso insieme di punti, in cui conta anche la previsione dei possibili scenari di crisi. Il ransomware è un perfetto esempio per cogliere la portata di questi cambiamenti. «Lo si considera quando viene chiesto un riscatto per decrittare dei dati o per riaverli indietro dopo che sono stati sottratti - racconta Andrei Munteanu, R&D specialist per HWG -. Ma oltre a questo ci sono anche i casi di harassment, di molestie praticate dagli attaccanti ai dipendenti, che vengono contattati tramite canali esterni e minacciati per indurli a praticare comportamenti che danneggino l’azienda».
Un punto chiave: la maturità aziendale
Davanti a scenari potenzialmente inimmaginabili e a un aumento costante degli attacchi, è inevitabile chiedersi quale tipo di azienda possa fronteggiare il pericolo con un adeguato piano di cyber resilience. In altre parole, quale debba essere il grado di maturità che consenta lo spiegamento di misure efficaci per limitare i danni. «Credo che il grado debba essere elevato - prosegue Bernini -. Penso a un’azienda che abbia steso un piano dettagliato di business continuity, ma poi non lo abbia mai testato per mancanza di risorse. O penso anche alle startup. Al primo sguardo, la loro agilità strutturale può sembrare un vantaggio: asset limitati, poche persone impiegate, e quindi l’idea che servano meno sforzi per fare cyber resilience. Ma le startup hanno come preoccupazione principale lo sviluppo del business, non la sua protezione: di nuovo, mancherebbero risorse da dedicarvi».
La visione di Bernini è confermata dall’esperienza di HWG in Arabia Saudita, dove l’azienda sta lavorando su un progetto di cyber resilience con il maggior attore petrolchimico nazionale. Si tratta di un colosso compreso nelle prime 70 società al mondo secondo Forbes, con il quale HWG ha in corso sedici esercizi (cioè le simulazioni di un evento) con altrettante aziende ad esso affiliate. Dopo aver lavorato sulle aree Middle East e Africa, Europa, America, il prossimo passo sarà un esercizio di livello globale che coinvolgerà il management e il CEO. «Questo fa capire la portata della struttura dell’azienda con cui lavoriamo - dice Munteanu -. Dopotutto la decisione sugli investimenti in cyber resilience è strategica e proattiva, perché concerne il consolidamento e la crescita dei processi».
Il discorso torna quindi sul tema della maturità. «Tutte le aziende certificate ISO 27001 hanno un piano di business continuity e disaster recovery - conclude Bernini -. Ma quanto è avanzato? Fino a quale livello di gestione del piano di continuità i dipendenti sono stati formati? Queste domande hanno una risposta nel training, che è fondamentale: pensiamo ai Navy Seal, a quanto si allenano per una missione e a come sul campo agiscano in automatico. Ecco, durante un attacco informatico succede la stessa cosa: devi agire in automatico, non puoi permetterti di impiegare tempo a guardare i documenti e i piani. Il pensiero lo metti per l’azione, la teoria devi averla acquisita prima».