GDPR – SICUREZZA INFORMATICA E REPUTAZIONE

29 Ottobre 2018

Nell’ultimo anno, anche grazie ad alcuni casi eclatanti, il tema della sicurezza informatica è parzialmente uscito dall’ambito  dei soli addetti ai lavori.

Nonostante questo, esistono situazioni di assoluto scetticismo, in particolar modo di quegli imprenditori della piccola/media impresa (ma non solo) che sottovalutano l’argomento privacy.

La domanda è chiaramente mal posta. Non bisogna chiedersi se i dati siano a rischio attacco informatico, ma piuttosto quando lo saranno! Quando avverrà questo attacco.

Per lo più si ritiene che i propri dati siano di scarsa rilevanza ed in ogni caso facilmente recuperabili in caso di perdita. Il punto è un altro e va affrontato sforzandosi di pensare nella nuova ottica del GDPR: la protezione dei dati del cliente, per il cliente stesso, deve essere proattiva, progettata a monte e subito.

---

Sicurezza informatica e motivazioni di un attacco

Agli occhi di un potenziale hacker malevolo la nostra azienda è un potenziale bersaglio che sicuramente maneggia dati in qualche misura sensibili e molto probabilmente non ha gli strumenti per recuperare i dati oggetto di manomissione.

L’obiettivo non sono i dati veri e propri, ma l’eventuale capitale che sia possibile estorcere dal furto dei medesimi. Ecco quindi individuata la motivazione alla base della maggior parte degli attacchi informatici.

Chi esegue l’attacco nei confronti dell’azienda bersaglio cerca di applicare il modello di business del minimo sforzo con il massimo del risultato: il danno digitale recuperabile a fronte di un riscatto.

Si prendano come esempio gli introiti generati dai ransomware, detti anche “virus da riscatto”.  Miliardi di euro guadagnati sulle spalle di aziende inermi dimostrano come questo semplice attacco funzioni benissimo.

Il ladro genera un attacco sapendo che se chi lo subisce può anche solo sperare di recuperare i dati pagherà per riaverli.

In questi termini, il GDPR ha scatenato una sensibilizzazione in termini di protezione dei dati che – fortunatamente – sta rendendo la vita difficile a questo tipo specifico di attacco.

---

Sicurezza informatica e reputazione

E’ veramente poco chiaro come in questo momento storico si possa pensare “A chi vuoi che possa interessare attaccarci?”. Il solo impatto del GDPR dovrebbe spronare le aziende a modificare punto di vista e modalità operative interne per rafforzare la propria sicurezza informatica e proteggere in ogni modo possibile i dati.

Nessuno pare far caso al danno di immagine. Che l’azienda, dopo aver subito un attacco, sia poi riuscita a recuperare i dati e a mettere nuovamente a regime il proprio sistema IT (bonifica da virus, e simili..), ha una certa importanza. Ma quell’azienda si è mostrata vulnerabile (in tutti i sensi possibili) e munita di una scarsa sicurezza informatica.

Gli occhi di clienti, fornitori e tutte le altre figure che ruotano attorno a quell’azienda che ha subito un attacco informatico non arginato, soccombendo ad esso, inizierebbero a squadrarla dall’alto verso il basso.

Quei soggetti perderebbero la fiducia e ragionerebbero sul continuare ad avere rapporti con l’azienda in questione.

Esiste quindi la seria probabilità che l’attività economica risulti permanentemente danneggiata a causa della cattiva reputazione generata da un attacco informatico. E, in realtà, dall’essere poco sensibili alle linee guida del GDPR. Quindi al “A chi vuoi che possa interessare attaccarci?”.

Giusto per fare un esempio: chi, seguendo un minimo la scena IT e gli eventi degli ultimi anni, andrebbe spontaneamente a farsi curare in tutta serenità in uno degli ospedali che nella primavera del 2017 furono letteralmente investiti dal ransomware Wannacry?

Le ripercussioni indirette sono ingenti rispetto ai costi diretti che bisognerebbe sopportare a causa di un attacco informatico o, sicuramente, alla gestione della sicurezza informatica interna atta a prevenire tali eventi catastrofici.