MAGGIOLI EDITORE - La Gazzetta degli Enti Locali

MAGGIOLI EDITORE - La Gazzetta degli Enti Locali

Cybersecurity e bilancio dell’Ente locale
DPO in pillole/ Data protection e cybersecurity: quale impatto economico hanno gli attacchi informatici alla PA?

di LUISA DI GIACOMO*

Occuparsi della cybersecurity all’interno di un Ente locale non riguarda solamente la sicurezza dei dati e delle informazioni, la continuità del lavoro dell’Ente stesso e l’adempimento alle prescrizioni del GDPR sulla protezione dei dati: il tema è molto più ampio ed incide in maniera significativa sul bilancio dell’Ente stesso. Se è vero che l’Ente locale, per sua natura, non ha problematiche relative alla reputazione in termini di marketing (perdita di clienti e fornitori e danno di immagine), perché le pubbliche amministrazioni svolgono attività istituzionale, è altresì vero che anche gli Enti hanno un bilancio da fare quadrare e che l’impatto economico e finanziario di un attacco informatico andato a buon fine può incidere in maniera dirompente (e negativa, ovvio) sulla chiusura del bilancio stesso.
La rete rappresenta la porta principale attraverso cui eventuali minacce possono introdursi e causare danni ed è fondamentale che gli Enti locali comprendano che non si può più ignorare questo problema.
Un noto spot degli anni ’80 dichiarava al mondo che “prevenire è meglio che curare” e mai come nel caso della sicurezza informatica slogan appare più adatto. Non si potrà mai azzerare del tutto il rischio, ma investire risorse finanziarie in un buon piano di prevenzione (che comprenda consulenza, investimenti in hardware e software dedicati e formazione del personale) costerà sempre infinitamente di meno che dover fare i conti con il costo di un data breach.
In questo articolo analizzeremo l’impatto complessivo degli attacchi cyber sul bilancio dell’Ente e forniremo indicazioni di protezione per difendersi dalle varie minacce.

Introduzione e tipologie di attacchi informatici

Abbiamo già avuto modo, in questa rubrica, di parlare degli attacchi informatici e dei vari tipi e forme sotto cui si presentano. Si tratta, parlando in generale, di tentativi dolosi di interrompere, danneggiare o ottenere un accesso non autorizzato a sistemi, reti o dispositivi informatici altrui. Quando il tentativo ha successo, si verifica quello che viene comunemente definito data breach, ossia una fuga di dati.
Esistono vari tipi di attacchi informatici, che possono compromettere l’operatività dell’Ente ed essere classificati in diverse categorie, tra cui gli attacchi di social engineering, gli attacchi di malware e gli attacchi denial-of-service.
Gli attacchi di social engineering consistono nel manipolare le persone affinché divulghino informazioni sensibili, come le credenziali di accesso o i dati della carta di credito. Questi attacchi possono assumere varie forme, tra cui phishing, spear-phishing e pretexting.
Gli attacchi malware comportano l’uso di software dannoso per ottenere un accesso non autorizzato a sistemi o reti informatiche. Questi attacchi possono assumere la forma di virus, worm, Trojan o ransomware.
Infine, un attacco denial-of-service è un tentativo di sovraccaricare di traffico un sito web o una rete, rendendolo di fatto inutilizzabile.

L’impatto degli attacchi informatici sul bilancio dell’Ente

L’onere finanziario di un attacco informatico può essere dirompente, con costi che vanno dalle spese legali, ai costi per ripristinare i sistemi, alle sanzioni che in alcuni casi possono essere veramente elevatissime, senza contare la problematica del danno erariale che potrebbe essere attribuito direttamente agli amministratori dell’Ente, che dunque potrebbero trovarsi a dover rispondere di tasca propria.
Secondo il Cost of a Data Breach Report di IBM, il costo medio di un breach è aumentato del 13% dal 2020 al 2022 ed ora è di circa 3,86 milioni di dollari: questo non vuol dire, ovviamente, che un Ente locale si troverebbe a pagare una cifra simile in caso di attacco di successo, ma è un numero che dà un’idea del fenomeno e che spiega anche per quale motivo il cybercrime sia oggi la terza potenza mondiale per “fatturato” (se così si può dire) dopo Stati Uniti e Cina, con un giro d’affari complessivo (a livello mondiale) che si aggira intorno agli 8 miliardi di dollari.
Dal momento che si dice che ciascuna organizzazione, pubblica o privata che sia, si divide sostanzialmente in due grandi categorie, quelle che hanno già subito un attacco di successo e quelle che non lo hanno ancora subito, è chiaro che non si tratta più di una eventualità.
La domanda non è se accadrà, ma quando accadrà.
E siccome di certezze nella vita ce ne sono poche, appare consolante, in qualche misura, che almeno questa si possa aggiungere alle altre che abbiamo: dal momento che siamo sicuri che il nostro Ente prima o poi sarà vittima di un attacco informatico, tutto quello che dobbiamo fare è prepararci al meglio per affrontarlo.

Prevenire è meglio che curare

La prevenzione degli attacchi informatici dovrebbe essere una priorità assoluta per gli Enti locali. Non solo perché la digitalizzazione delle PA è ormai diventata un argomento da cui non si può prescindere. Non solo perché il PIAO lo prevede e il PNRR lo prevede e tutti ne parlano: ma perché, nella pratica, si tratta di una vera e propria azione concreta per la sopravvivenza stessa dell’Ente, in termini operativi ed economici.
Nessun amministratore pubblico può più permettersi di ignorare il problema, ma la buona notizia è che ci sono diverse cose che si possono fare, azioni da spiegare sul campo e non tutte sono eccessivamente onerose, per lo meno non quanto costerebbe fronteggiare un attacco di successo.

Ecco un brevissimo vademecum per le diverse misure che gli Enti possono adottare per implementare una solida politica di sicurezza informatica:

Effettuare il backup dei dati, cioè l’operazione di salvataggio su un qualunque supporto, dei dati archiviati su un dispositivo per prevenirne la perdita: in molti casi rappresenta l’unica soluzione percorribile per recuperare i dati dopo un incidente. Attenzione perché un solo backup non è sufficiente, occorre rispettare il principio della ridondanza: un buon metodo è quello di applicare la “3, 2, 1 backup strategy” ovvero tre copie di ogni dato che si vuole conservare, due copie on site su sistemi di archiviazione diversi, una copia off site su sito remoto.
La backup strategy rientra nel più generale disaster recovery plan che ogni azienda dovrebbe predisporre preventivamente per far fronte a qualsiasi tipo di attacco (ma anche di incidente) informatico. Ogni organizzazione dovrebbe chiedersi quali e quanti dati può permettersi di perdere e per quanto tempo, senza che questo crei un danno irreversibile.
L’applicazione del principio del minimo privilegio: gli account con privilegi amministrativi dovrebbero essere limitati e concessi solamente agli amministratori di sistema, mentre a tutti gli altri dovrebbero essere assegnati account con privilegi ridotti. Questo perché gli attaccanti acquisiranno i privilegi dell’account attaccato e se questi saranno account con privilegi limitati, anche l’attaccante sarà limitato nella sua azione, viceversa potrebbe acquisire privilegi dell’amministratore di sistemi e creare danni molto maggiori. Il principio dell’Ente dove “tutti vedono tutto perché si è sempre fatto così” non solo non è una buona strategia di cybersecurity, ma non è una buona strategia di lavoro in generale.
L’aggiornamento costante dei sistemi operativi, con esclusione dei sistemi fuori supporto e l’acquisto di una minima suite di software di protezione (firewall, un antivirus di buon livello installato su ogni macchina, antispam, antiphishing, antitracking). A proposito dell’antitracking, ricordiamo che dai tracker online provengono la maggior parte delle minacce presenti in rete e che la maggioranza dei suddetti tracker si trova su siti apparentemente insospettabili, ad esempio quelli di notizie e attualità.
La formazione dei dipendenti, essenziale per prevenire gli attacchi informatici. Questa formazione dovrebbe includere informazioni su come riconoscere ed evitare gli attacchi di phishing, come creare password forti e come segnalare attività sospette.
Le policy di risposta agli attacchi: in caso di attacco informatico, è fondamentale rispondere in modo rapido ed efficace per ridurre al minimo i danni. Il primo passo è isolare i sistemi e i dispositivi colpiti per evitare ulteriori danni. Ciò comporta la disconnessione dalla rete dei dispositivi colpiti e lo spegnimento dei sistemi infetti, e per fare ciò è essenziale conoscere la mappa della propria rete. Il passo successivo consiste nel valutare i danni e determinare l’entità dell’attacco. Si tratta di identificare il tipo di attacco e i sistemi e i dati che sono stati compromessi. Infine, è essenziale informare le autorità competenti, come le forze dell’ordine e le autorità di controllo, e (se del caso) informare gli interessati della violazione.
Il disaster recovery plan: Il recupero da un attacco informatico può essere un processo lungo e difficile. È essenziale disporre di un piano di recupero completo per ridurre al minimo l’impatto dell’attacco e garantire la continuità dell’Ente. Il piano di recupero deve includere misure quali il ripristino dei backup, l’identificazione e la risoluzione delle vulnerabilità e l’implementazione di nuove misure di sicurezza. Inoltre, è fondamentale la comunicazione di crisi: comunicare con le Autorità e con gli interessati durante tutto il processo di ripristino. Ciò include la fornitura di aggiornamenti regolari sullo stato del recupero e sulle misure adottate per prevenire attacchi futuri.

Le polizze assicurative: infine, un buon modo di “allocare” diversamente il rischio può essere quello di stipulare una polizza assicurativa a copertura del rischio informatico. Questo tipo di polizza, che prevede, ad esempio, risarcimenti per responsabilità civile in caso di richieste risarcitorie da parte di terzi e indennizzi per le spese sostenute per la gestione del data breach e per il recupero e il ripristino dei dati, cominciano a diffondersi. Ma l’esistenza di un’assicurazione non deve fare abbassare la guardia: in ogni caso di perdita di dati, nessuna polizza potrà coprire il danno, per cui l’unica strategia possibile resta quella di prevenzione e minimizzazione del rischio.

>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.

L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.