Le aziende italiane e liguri devono sempre più organizzarsi per difendersi dagli attacchi informatici. Nel primo semestre del 2017 si è registrato a livello mondiale un aumento dell’8,35% dell’industria del crimine informatico rispetto alla seconda metà dello scorso anno.

È quanto emerso dall’incontro avente come tema “Sicurezza e CyberCrime”, organizzato da Federmanager/Asdai Liguria (Associazione sindacale dirigenti aziende industriali della Liguria) al Circolo Unificato dell’Esercito di Genova. Si è trattato del secondo appuntamento della serie di “Aperitivo 4.0” che hanno come obiettivo condividere le informazioni e le conoscenze su Industria 4.0 e che Federmanager/Asdai Liguria organizzerà fino a primavera inoltrata nell’ambito del progetto “Manager 4.0”.

Il tema della sicurezza informatica è strettamente legato al capoluogo ligure dato che Genova è candidata a diventare il Competence Center nazionale per la Cybersecurity previsto dal piano governativo “Industria 4.0”.

Dopo che Rodolfo Zunino dell’Università di Genova ha illustrato lo stato dell’arte del cyber crime evidenziando i diversi aspetti degli attacchi interni ed esterni (i più diffusi) alle imprese, Danilo Massa, Cyber Security Tech Unit manager di AizoOn, ha analizzato il rapporto Clusit sulla sicurezza Ict illustrando i significativi dati dei primi sei mesi del 2017.

Da gennaio a giugno sono stati 571 gli attacchi gravi di dominio pubblico (ovvero attacchi che hanno avuto un impatto significativo per le vittime, in termini di danno economico, reputazione e diffusione di dati sensibili): questo semestre è stato il peggiore di sempre, confermando il trend di crescita dal 2011 ad oggi.

Scendendo nel dettaglio dell’analisi dei dati, risulta che i criminali colpiscono le loro vittime nel 75% dei casi con l’obiettivo di estorcere denaro. In aumento anche i crimini riferibili allo spionaggio industriale (68 casi pari al +126%). In calo (con 46 casi) le pratiche del cosiddetto hacktivism che racchiude le pratiche di mailbombing (intasamento delle caselle di posta), di attacchi ai server o ai siti aziendali e l’installazione di virus e malware. Infine, si sono registrati 30 casi di information warfare, vale a dire la collaborazione tra gruppi cyber criminali e gruppi terroristici o paramilitari finalizzata all’estorsione per ragioni politiche ed economiche a danno di Istituzioni, pubbliche amministrazioni, aziende e infrastrutture critiche. La crescita maggiore di attacchi si registra verso la categoria dei cosiddetti multiple targets (+253%) quando cioè lo stesso attaccante prende di mira numerose organizzazioni appartenenti a categorie differenti. Seguono i settori ricerca/educazione (+138%), infrastrutture critiche (+23%) e settore bancario e finanziario (+12%), in crescita (+16%) i crimini informatici verso la categoria Ricettività (hotel, ristoranti, ecc). Gli attacchi sferrati con malware il 36% del totale, in crescita dell’86% rispetto al secondo semestre 2016.

 È il settore governativo a mantenere il primo posto assoluto nell’elenco delle vittime, con un quinto degli attacchi (19%), insieme alla categoria multiple targets (19%). Segue la categoria intrattenimento/notizie (12%), poi ricerca/educazione (9%), servizi/cloud online (9%) e settore bancario e finanziario (8%). A livello geografico, sono in aumento gli attacchi verso realtà basate in Europa (19%) anche se il maggior numero di casi si sono registrati nel continente americano (47%).

Per contrastare tutti i pericoli informatici l’Unione Europea ha varato il regolamento generale sulla protezione dei dati (Gdpr, General data protection regulation, Regolamento Ue 2016/679) con cui si intende rafforzare e rendere più omogenea la protezione dei dati personali dei cittadini: esso è entrato in vigore il 25 maggio 2016 ma inizierà ad avere efficacia il 25 maggio 2018.

Il Regolamento, formato da 99 articoli, introduce alcuni principi innovativi quali: diritto all’oblio (ottenere la cancellazione dei dati personali che lo riguardano), portabilità dei dati (ricevere in un formato strutturato di uso comune i dati personali che lo riguardano), responsabilità del titolare (adesione ai codici di condotta oppure ad un meccanismo di certificazione, l’obbligo di tenere un registro delle attività di trattamento svolte sotto la propria responsabilità e di mettere in campo misure tecniche ed organizzative adeguate in grado di assicurare un opportuno livello di sicurezza quale la cifratura dei dati personali). Numerosi sono gli obblighi: il titolare deve comunicare entro 72 ore all’autorità di controllo competente (Garante privacy) eventuali casi di violazioni di dati personali, le pubbliche amministrazioni e tutte le organizzazioni che trattano su larga scala dati sensibili e/o giudiziari devono istituire una figura professionale con una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati.

Chi non metterà in pratica il regolamento incorrerà in pesanti sanzioni fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente (Art. 83).

«Cosa porterà l’adozione di questo regolamento? Sicuramente – ha spiegato Roberto Obialero, della Risk& Compliance Delivery Unit di AizoOn – un rafforzamento dei diritti degli interessati con maggiore fiducia dei consumatori ed un ulteriore sviluppo delle attività e dei servizi B2C. Avremo la fine della deregulation sulla protezione dei dati da parte delle organizzazioni, la valorizzazione di business dei dati personali, finalmente una normativa unica sul territorio europeo, un maggior livello di maturità nella protezione dei dati e, infine, nuove opportunità di lavoro con la creazione di nuove professionalità».

LASCIA UNA RISPOSTA

Please enter your comment!
Please enter your name here