In un'intervista il Dr. Christophe Hauert spiega quali sono i rischi maggiori per le imprese in caso di un attacco informatico, perché un certificato di cibersicurezza rappresenta un valore aggiunto e quale ruolo gioca nell’ecosistema digitale il settore assicurativo.
Signor Hauer, lei è segretario generale dell’associazione di utilità pubblica Cyber-Safe. Quale motivazione personale la spinge a impegnarsi nella cibersicurezza?
Il mio lavoro di dottorato in scienze politiche verteva sul tema delle norme internazionali. Spiegava come vengono create le norme e come vengono adottate dal mercato. Ciò che mi interessava era costruire un ponte tra la tecnologia e le questioni sociali. La cibersicurezza si presta bene allo scopo, perché oltre all'aspetto tecnologico implica anche gli aspetti sociali e organizzativi. Il mio contributo è mettere a disposizione le mie conoscenze sulle norme.
Nel 2018 abbiamo fondato l’associazione con il marchio Cyber-Safe allo scopo di aiutare le PMI ad aumentare la loro ciber-resilienza. Due i motivi che hanno portato a questa decisione: in primo luogo, per noi era chiaro che la cibersicurezza è importante per tutte le organizzazioni, anche per le piccole imprese, che spesso lavorano con fornitori di servizi IT e non di rado si presentano problemi di fiducia. Le imprese sono riluttanti ad accettare le raccomandazioni dei fornitori di servizi IT, perché credono che questi vogliano innanzitutto vendere qualcosa. Perciò abbiamo pensato che ci volesse un fornitore terzo senza interessi commerciali: una persona che fornisca solo consulenza per colmare le lacune nella competenza.
In secondo luogo, i costi sono spesso elevati e le fatture a 5 cifre le PMI non vogliono e non possono permettersele. Inoltre, spesso manca la consapevolezza del rischio; pertanto, ci siamo chiesti come riuscire a proporre qualcosa di serio a circa CHF 5’000 che considerasse tutti gli aspetti. L’idea era di ricorrere al principio di Pareto, ossia di ottenere l’80% di effetto con il 20% di onere.
Nell’intervista: Christophe Hauert , segretario generale dell’associazione di utilità pubblica Cyber-Safe
A tutto ciò si aggiunge il fatto che la sicurezza informatica purtroppo non fa ancora parte della competitività delle PMI. Vogliamo che questo cambi. Siamo convinti che per le PMI siano necessari degli incentivi economici affinché ci sia un valore aggiunto. Le imprese investono nella sicurezza informatica anche per conquistare la fiducia della loro clientela.
«La sicurezza informatica purtroppo non fa ancora parte della competitività delle PMI.»
È una sfida guadagnarsi la fiducia sul mercato. Per quanto riguarda la sicurezza informatica, la parte più difficile è convincere le imprese, e in particolare le PMI, che questo tema è importante per loro. È per questo che per la sicurezza informatica abbiamo scelto un approccio partecipativo: non volevamo collaborare solo con degli specialisti IT, che probabilmente avrebbero sviluppato una Rolls-Royce, quindi abbiamo coinvolto gli utenti, ovvero le PMI, per discutere degli approcci pragmatici. In questo modo, i requisiti degli specialisti sono anche attuabili.
Qual è la sua visione in merito al marchio Cyber-Safe?
Vogliamo costruire un ecosistema perché da soli non ce la possiamo fare. Dobbiamo collaborare. Un incentivo economico, ad esempio, potrebbe essere quello di fornire alle PMI con il marchio un'assicurazione cyber più conveniente, oppure fare in modo che ricevano più facilmente dei mandati dal settore pubblico. Deve esserci sempre anche un valore aggiunto. Tra l’altro, il marchio dovrebbe interessare anche le banche se concedono dei prestiti alle PMI. L’obiettivo è che il maggior numero possibile di compagnie assicurative che offrono assicurazioni cyber riconosca il marchio. Ci auguriamo che anche le associazioni professionali e le camere di commercio affrontino il tema. La sicurezza informatica dovrebbe diventare uno standard.
Quali sono i maggiori pericoli per le PMI?
Qui entra in gioco l’analisi dei rischi. I tre principali pericoli sono: confidentiality (confidenzialità), integrity (integrità) e availability (disponibilità). Chiedo a ogni PMI per quanto tempo potrebbe lavorare senza l’accesso ai dati. Quali sarebbero i costi se di punto in bianco tutti i dati fossero pubblici e accessibili a tutti? Una fuga o perdita di dati avrebbe un impatto sul fatturato? I pericoli maggiori sono la violazione della confidenzialità o la perdita di dati.
Perché le PMI sono vittime di attacchi informatici?
Il crimine informatico è un crimine di massa: gli hacker prendono di mira tutti e colpiscono chi clicca. È sbagliato pensare: i miei dati non hanno valore. A questo proposito occorre fare una distinzione: c'è un valore attribuito ai dati nella darknet e un valore attribuito all'impresa stessa se i dati non sono più disponibili e devono essere ripristinati. Un'offerta va sempre confrontata con i possibili costi: diventa allora chiaro che forse non è poi così elevata e che si tratta di un investimento intelligente.
«La domanda non è se un’impresa verrà colpita da un attacco informatico, bensì quando».
Come possono effettivamente proteggersi le PMI? Perché la prevenzione è così importante?
All’inizio del processo vogliamo sapere quante persone non potrebbero più lavorare in caso di interruzione e a quanti franchi ammonterebbero i danni. Questo lo capiscono tutti: la sicurezza informatica non serve all'IT, bensì agli affari. Un'interruzione significa un rischio operativo.
La sicurezza informativa non è un progetto puntuale, è una responsabilità dei piani alti. Sono necessarie chiare attribuzioni delle responsabilità e costanti controlli della qualità. Si dovrebbe sempre iniziare con un’analisi dei rischi e porsi le seguenti domande: come ci proteggiamo? A quale assicurazione o a quali servizi ricorriamo? In altre parole, di quale protezione di base abbiamo bisogno e con quale rischio possiamo convivere? Solo in seguito, vengono prese delle misure. Bisogna vederla come un’analisi costi-benefici.
La prevenzione è una piccola spesa che vale la pena sostenere. È importante agire sia sulla probabilità sia sull'impatto dei rischi informatici. Ad esempio, una campagna di sensibilizzazione sul phishing dovrebbe ridurre la probabilità di cliccare su un link dannoso. Una buona sicurezza dei dati, invece, dovrebbe mitigare l’impatto di un incidente informatico. In questo modo le aziende sono protette meglio, la probabilità di un guasto informatico è più bassa e, in caso di incidente, possono anche aspettarsi meno danni.
Qual è il ruolo delle assicurazioni nella prevenzione?
Gli assicuratori sono attori importanti nell’ecosistema digitale. Spesso riscontriamo dei malintesi, perché si pensa: o scelgo un certificato cyber o scelgo un'assicurazione. Questo, però, è sbagliato, perché queste due misure sono complementari. Le misure di prevenzione sono infatti sempre necessarie e rappresentano un prerequisito per l'assicurazione. Le condizioni delle assicurazioni cyber sono un’importante leva per aumentare le buone pratiche da parte della clientela. A questo proposito gli assicuratori offrono varie prestazioni complementari, come l’incident response o un team per la gestione delle crisi. Gli assicuratori sono importanti anche perché affrontano il tema dei rischi informatici con le PMI e, poiché spesso hanno una pluriennale esperienza nel contatto con la clientela, questo risulta loro più facile.
«La cibersicurezza nelle imprese è competenza dei piani alti e dovrebbe diventare uno standard»
Perché serve una certificazione per la resilienza informatica? Quali sono i vantaggi?
Uno dei vantaggi della certificazione per la resilienza informatica è che le aziende trasformano la gestione responsabile dei rischi informatici in un elemento della loro competitività. Le PMI sanno a che punto sono e cosa devono fare, e un certificato assicura che le misure di protezione di base sono state effettivamente attuate. Ovviamente, anche con un certificato cyber rimane un rischio residuo, ma senza marchio non c’è valore aggiunto.
Sul mercato vengono offerti diversi certificati cyber in varie categorie di prezzo. Ad esempio, una certificazione secondo la norma ISO 27001 (sistema di gestione della sicurezza delle informazioni) spesso costa diverse decine di migliaia di franchi. Ecco perché siamo un'associazione di pubblica utilità e permettiamo di usufruire di una protezione pagando fatture perlopiù a quattro cifre. Abbiamo già implementato 250 organizzazioni, per la maggior parte PMI e Comuni.
In tutta onestà, signor Hauert, personalmente si è mai fatto ingannare dalle e-mail di phishing?
No, o almeno non che io sappia (ride). Noi stessi creiamo le nostre e-mail di phishing, quindi sono sensibilizzato alla problematica. Probabilmente è per questo che non ci sono cascato, ma sono sempre stato fin troppo prudente. In caso di dubbi, è consigliabile non cliccare sul link e contattare il mittente su un altro canale per verificare il contenuto della mail.
Sulla persona:
Christophe Hauert (1978) ha conseguito un dottorato in scienze politiche presso l’Università di Losanna. La sua tesi di dottorato verte sulla standardizzazione internazionale dal punto di vista dell'economia politica e sul ruolo dei consumatori nel riconoscimento e nell'adozione delle norme ISO. Attualmente è ricercatore senior presso l'Università di Losanna e segretario generale del marchio svizzero per la sicurezza informatica, il marchio Cyber-Safe, creato da e per le PMI e i Comuni al fine di renderli più sicuri e resilienti.
