Attacchi in aumento del 38%. A colpire sono i dipendenti
Pagina a cura di Federico Unnia
Il cyber-crime, ovvero il crimine informatico, costituisce uno dei tre maggiori pericoli avvertiti dalle imprese, assieme a tutela della concorrenza, furto di dati e know how e la minaccia terroristica. Ma nella maggior parte dei casi, più che la condotta illecita da parte di terzi, il nemico si nasconde all’interno.
Ed è rappresentata da un mix di comportamenti scorretti (consapevoli o meno) da parte dei propri dipendenti, sempre più a contatto con mole di informazioni sofisticate e complesse, strumenti di comunicazione e connessione sempre più integrati tra di loro.
È il dato che emerge dallo studio Cyber-security – the threat from within, realizzato a livello internazionale dallo studio legale Allen & Overy, che mette a confronto, partendo dai più recenti dati sulla dimensione della cyber-security, l’efficacia della disciplina vigente nei principali paesi: Stati Uniti, Hong Kong, Germania, Inghilterra, Francia, Italia, Belgio e Olanda.
Il dato che emerge è l’importanza che assume il controllo più efficace all’interno dell’organizzazione aziendale. Tanto le grandi multinazionali, storicamente più sensibili e attente al problema, quanto le Pmi, vivono con preoccupazione la minaccia informatica che può derivare da condotte quali il phishing (l’accreditamento presso terzi utilizzando dati personali acquisiti a insaputa di un altro soggetto) o lo spywire (software che raccolgono ed elaborano dati a insaputa dei legittimi titolari).
Il fenomeno.
Secondo le stime del Global state of innovation security survey 2016, realizzato da PwC su 10 mila top manager di 127 paesi (oltre 500 dei quali operanti in Italia), in collaborazione con CIO e CSO, alla base dello studio di Allen & Overy, gli attacchi alla sicurezza informatica delle imprese sono stati 43 milioni, in crescita nel 2015 del 38% rispetto all’anno prima. Per fronteggiare questo fenomeno, c’è stato un incremento degli investimenti (+24%), inferiore di molto al dato specifico italiano (+66%). Secondo l’indagine, l’origine del crimine informatico è da ricercare soprattutto dentro l’azienda. Considerati sia i casi in cui il crimine informatico è perpetrato intenzionalmente sia quelli in cui avviene accidentalmente: nel 36% si tratta di dipendenti mentre il 18% sono fornitori che collaborano con l’azienda. Il 59% dei manager interpellato dichiara che la cyber-security è una significativa priorità per i senior manager della propria struttura. A fronte di questo, il rapporto evidenzia anche che il 26% dei senior manager dichiara di non aver intrapreso alcun intervento né strategia concreta per ridurre questo rischio potenziale.
La minaccia dall’interno. Circa il 26% delle violazioni nel 2015 sono state causate dalla criminalità organizzata, un ulteriore 5% da hacker non professionisti, ma corrisponde appunto al 36% la percentuale riferita a dipendenti o collaboratori. Di queste violazioni, il 10% è risultata intenzionale, imputabile a un dipendente scontento o a una spia industriale che ha scaricato i dati più importanti su un telefono cellulare o una chiavetta Usb. Il resto (26%) sono risultate accidentali. Secondo il rapporto, i dipendenti attuali (34%) o quelli che hanno lavorato in passato nell’azienda (29%) rimangono la prima fonte di minacce alla sicurezza. In rapida crescita invece gli incidenti attribuiti ad appaltatori e altri partner commerciali, passati dal 18% del 2014 al 22% nel 2015. Gli attacchi possono essere sventati da meccanismi di difesa tecnici ed è importante che le aziende aggiornino continuamente i sistemi. L’evidenza è che la maggior parte delle violazioni sono causate da errore umano (i dipendenti che non spengono i computer correttamente, smarriscono computer portatili o smartphone, inviano informazioni confidenziali via e-mail private, utilizzando password deboli e codici, cliccando su link e-mail).
Se si guarda poi a come affrontare la minaccia informatica, dallo studio emergono tre tipologie di società. Ci sono aziende relativamente mature (spesso, di grandi dimensioni, multinazionali) con significativi team di sicurezza It in-house, che sono sempre più in grado di proteggere in modo efficace contro gli attacchi esterni. Poi ci sono le aziende più piccole che si appoggiano a fornitori di servizi It e ritengono così, erroneamente, che la responsabilità per la sicurezza informatica sia stata affidata all’esterno e non sia più una loro preoccupazione. Infine, ci sono tutta una serie di piccole imprese che restano «completamente negligenti» rispetto alla questione.
La disciplina. Non esiste una disciplina giuslavoristica specifica in materia di cyber-security in Italia (se non a livello di difesa militare nazionale) e quindi il tema principale è comprendere quali siano i poteri e i limiti del datore di lavoro di contrastare il fenomeno sul luogo di lavoro. «Pertanto, da un lato, ai sensi dell’art. 4 dello statuto dei lavoratori (come di recente riformato dal Jobs Act), il datore di lavoro può controllare e monitorare il corretto utilizzo degli strumenti aziendali assegnati al lavoratore (pc, laptop, telefono cellulare ecc.) ma dall’altro vigono ancora dei limiti per quanto attiene alla protezione dei dati personali, materia peraltro soggetta a ulteriore cambiamento, in vista dell’entrata in vigore del regolamento privacy nel 2018», spiega Livio Bossotto, dello studio legale Allen & Overy.
Contratti e prassi. I paesi più all’avanguardia risultano essere soprattutto quelli di matrice anglosassone, ove la tendenza è quella di utilizzare contratti di lavoro più complessi e il cui contenuto tende a coprire ogni area del rapporto con il dipendente e di dotarsi di policy molto efficaci e vincolanti le quali vengono aggiornate nel tempo e con il mutare del panorama tecnologico globale.
«In Italia c’è spesso la tendenza a trascurare l’importanza del testo del contratto di lavoro individuale così come anche del contenuto di tutti i documenti informativi a corredo del contratto individuale. Quindi i documenti informativi non sono di per sé di ostacolo ma anzi dovrebbero costituire un punto di riflessione e un’opportunità per le imprese per disciplinare materie, come per esempio cyber-security, che non hanno una disciplina legale», spiega Bossotto.
Resta la fiducia. Nonostante il quadro problematico che emerge dalla ricerca, le imprese restano tendenzialmente fiduciose sul come sapranno gestire e affrontare la crescente minaccia alla cyber-security. Il 54% del campione interpellato ritiene di essere al riparo, essendosi dotata di una figura specifica che tratti il tema della cyber-security (il c.d. chief information security officer); il 52% ha adottato e implementerà standard di sicurezza e controllo per tutti i fornitori esterni; il 49% ha condotto monitoraggi e valutazioni dei rischi aziendali; il 48% monitora periodicamente la propria sicurezza e il 29% ha adottato una strategia di gestione della sicurezza aziendale globale.
© Riproduzione riservata
Fonte:
