Ogni settimana in Svizzera si verificano centinaia di ciberattacchi: questi almeno i casi segnalati. Per aumentare la ciber-resilienza a lungo termine, le aziende hanno bisogno non solo di misure di protezione efficienti, ma anche di una chiara strategia.
Lo scorso autunno, degli hacker sono riusciti ad accedere alla banca dati di Medibank, la più grande compagnia di assicurazione sanitaria australiana. Durante l’attacco sono state rubate informazioni sensibili su milioni di clienti. Dopo che Medibank si è rifiutata di pagare il riscatto chiesto, gli autori hanno iniziato a pubblicare i dati sensibili sul darknet. In seguito all’attacco, il corso in borsa è crollato e per diversi giorni è stato necessario sospendere le attività. «Il top management e il Consiglio di Amministrazione hanno avuto difficoltà a dare spiegazioni, semplicemente perché non erano preparati a qualcosa di simile», afferma Gabor Jaimes, Incaricato assicurazione cose, cyber e rischi naturali presso l’ASA. Gli attacchi come questi non si verificano però solo dall’altra parte del mondo: a novembre 2022, ad esempio, anche il fornitore svizzero di software Winbiz è stato vittima di un ciberattacco. Di conseguenza, ben circa 50’000 clienti Winbiz sono rimasti per settimane senza cloud hosting o software di fatturazione, contabilità e gestione salariale.
«Navigare senza backup dei dati, firewall o password sicure è un atteggiamento negligente.»
Nel mirino può esserci qualsiasi azienda
La lista è lunga: dopotutto non passa giorno senza la notizia di un grave ciberattacco da qualche parte. «Casi come Winbiz o Medibank dovrebbero essere un campanello d’allarme per tutte le aziende svizzere», sottolinea dunque Gabor Jaimes. Per lui è chiaro: «Ogni azienda è una potenziale vittima d’attacco». A maggior ragione, dunque, per Jaimes è sorprendente che molte aziende abbiano ancora tanto da recuperare in termini di prevenzione e standard di sicurezza. Jaimes fa un paragone con il traffico stradale: «In passato la gente viaggiava senza cinture di sicurezza né airbag, ora siamo più consapevoli». Nell’ambito informatico non è molto diverso: «Per quanto possa apparire impegnativo, navigare senza backup dei dati, firewall o password sicure è un atteggiamento negligente».
Una maggiore trasparenza potrebbe giovare molto
È però anche vero che negli ultimi anni il tema della cibersicurezza è stato sempre più al centro dell’attenzione in Svizzera. Almeno questo è quanto sottolinea Florian Schütz, responsabile del Centro nazionale per la cibersicurezza (NCSC). Per lui la crescente attenzione è positiva: «la maggiore consapevolezza e copertura mediatica hanno fatto sì che molte aziende vittime di un ciberattacco siano oggi più propense a renderlo pubblico». Tuttavia, ci sono ancora aziende che lo tengono nascosto. «Questo approccio dovrebbe cambiare», sottolinea Schütz. Infatti, più gli attacchi vengono documentati in modo trasparente e il modo di agire degli autori viene registrato, meglio possono essere avvertite le altre potenziali vittime. «Una maggiore trasparenza potrebbe giovare molto a questo settore», ne è persuaso Schütz.
Pervengono circa 700 segnalazioni a settimana
L’NCSC riceve attualmente circa 700 segnalazioni a settimana, un numero che Schütz ritiene elevato. Al momento sono particolarmente frequenti i tentativi di frode e gli attacchi ransomware. Le presunte e-mail minatorie provenienti dalle autorità penali, le cosiddette e-mail di fake extortion, rappresentano circa un terzo delle segnalazioni ricevute dall’NCSC. «Il movente della maggior parte dei cibercriminali è, e probabilmente rimarrà anche in futuro, quello di ottenere il maggior profitto possibile con il minor sforzo», spiega Schütz. «Pertanto, gli attacchi non sono destinati a una particolare istituzione, azienda, persona o a un determinato settore. Gli autori degli attacchi sono piuttosto alla ricerca di vulnerabilità di cui abusare per i propri scopi».
«Con le giuste misure di protezione è possibile evitare molti ciberattacchi.»
Secondo il delegato federale alla cibersicurezza, anche le compagnie di assicurazione possono svolgere un ruolo importante nell’ambito della cibersicurezza. «Un’assicurazione è uno strumento valido», afferma Schütz, ma aggiunge: «Non protegge però dai danni reputazionali». Nell’ambito della cibersicurezza, la domanda principale non dovrebbe quindi essere come un’azienda possa assicurarsi al meglio contro i ciberattacchi, ma come possa proteggersi al meglio contro i ciberattacchi. «Le assicurazioni possono essere d’aiuto nell’individuazione dei rischi e garantire che le aziende attuino una protezione di base». Florian Schütz ritiene che le compagnie di assicurazione abbiano un dovere anche in termini di prevenzione: «Con le giuste misure di protezione è possibile evitare molti ciberattacchi».
Ai piani alti manca il personale specializzato in IT
Florian Schütz si augura che in futuro nella direzione delle imprese ci siano più persone formate in questo ambito. «A livello dirigenziale sono assolutamente necessari collaboratori con una formazione specializzata in informatica». La Svizzera ha abbastanza talenti e specialisti, «ma ne vediamo ancora pochi nelle direzioni delle imprese». Per le aziende è importante che la direzione sia consapevole dei ciberpericoli, che prenda le misure organizzative e tecniche più importanti e che utilizzi i relativi mezzi. «La cibersicurezza spetta ai piani alti!»
Anche Maya Bundt, membro del Consiglio di Amministrazione della Baloise, mette in evidenza questo aspetto. Possiede un dottorato in scienze ambientali e da molti anni si occupa di ciber-rischi, ma anche di soluzioni assicurative in questo settore. Secondo Bundt, tuttavia, non sono solo le direzioni operative a doversi occupare del tema. «L’argomento dei ciber-rischi è all’ordine del giorno anche per i Consigli di Amministrazione». Per Maya Bundt la questione è chiara: «È imperativo che oggi le aziende determinino anche strategicamente come aumentare la loro ciber-resilienza a lungo termine». Infine, ritiene indubbio che l’argomento rimarrà attuale anche in futuro.
Osservazione:
Con il modulo di segnalazione dell’NCSC è possibile registrare e notificare gli attacchi informatici.
