Nel solo secondo semestre 2014 il Garante della Privacy ha rilasciato sanzioni ad aziende pubbliche e private che hanno fruttato all’erario circa 5 milioni di euro, frutto di 385 ispezioni condotte in team con le unità speciali della Guardia di Finanza – Nucleo speciale Privacy. Oltre alle sanzioni già verbalizzate, altre 577 sanzioni amministrative sono fase di definizione, mentre sono state fatte 39 segnalazioni all’autorità giudiziaria, che qualora vadano in giudicato potrebbero tramutarsi in pene detentive fino a un massimo di due anni di carcere, come previsto dall’articolo 169 del Decreto Legislativo 196/2003 (cosiddetto Codice in materia di protezione dati personali) che recita testualmente “Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro”.
A fronte del vertiginoso incremento dei casi di furto di dati o di danni all’integrità degli stessi perpetrati con i più svariati malware, il Garante della Privacy sta battendo a tappeto le aziende che detengono informazioni sensibili, per verificare che i sistemi informativi in uso siano in grado di sostenere qualsiasi tipo di evento di cyber-crime. Le aziende che non proteggono in maniera adeguata i dati sensibili dei propri collaboratori e dei propri clienti da attacchi informatici rischiano di passare dei seri guai: oltre al costo vivo del ripristino dei sistemi, parliamo di multe salatissime, e addirittura del rischio di arresto, laddove basterebbero davvero pochi ma importanti accorgimenti per tutelarsi.
“Sono ormai numerosi gli studi commissionati da noti brand della sicurezza informatica e divulgati dai più diversi istituti di ricerca statunitensi in merito al costo del cyber-crime”, afferma Giulio Vada, Country Manager di G DATA Italia, “eppure, nonostante il chiasso con cui tali informazioni vengono distribuite sia quasi al limite del terrorismo psicologico, le aziende non mostrano preoccupazioni né rispetto al danno reputazionale associato al furto di dati, né rispetto al danno economico cagionato da un’eventuale indisponibilità dei sistemi a fronte di un cyber-attacco, né, men che meno, rispetto alle misure del Garante”.
In effetti le cifre astronomiche menzionate negli studi (il più recente cita 875 milioni di dollari di perdite dovute agli attacchi, e spese di ripristino dei sistemi per un valore di quasi nove miliardi, solo in Italia) risultano quanto mai ingiustificate, se rapportate all’effettiva spesa in cui un’azienda incorre per l’acquisto di una soluzione integrata anti-malware prodotta in Europa e quindi conforme alle normative europee sulla salvaguardia dell’integrità dei dati e sulla privacy.
Il furto di informazioni business (ad esempio dettagli sui clienti tra cui dati di contatto, linea di credito, termini di pagamento, numero degli ordini effettuati, articoli acquistati e dettagli sulle abitudini d’acquisto) rappresenta una delle attività più lucrative per il cybercrime, poiché immediatamente monetizzabile. Una protezione efficace degli asset aziendali inizia proprio con l’implementazione di sistemi di protezione dei server che ospitano i sistemi di gestione di tali dati e le relative interfacce, tra cui server Web che ospitano piattaforme e-commerce o strumenti di pagamento on-line. Lo stesso vale per i terminali deputati all’inserimento e all’elaborazione dei dati nei gestionali, oltre che autorizzati ad accedervi. Tra questi in primis smartphone e portatili, che – spesso di proprietà del dipendente – non sono conformi alle politiche di sicurezza aziendali e, privi di qualsivoglia protezione, possono veicolare malware e aprire back door nella rete aziendale una volta connessi ad essa; malware in grado di trasmettere dati e informazioni riservate all’esterno in modo del tutto impercettibile, o di assoggettare intere reti a botnet del calibro di Ramnit.
Domandandosi perché le aziende oggi corrono anche solo il rischio di subire sanzioni o danni economici per attacchi veicolati da malware, quando la soluzione è alla portata di chiunque, risulta evidente che, per quanto facilmente fruibile, la sicurezza è spiacevolmente percepita come costo reale – seppur talvolta irrisorio – mentre il rischio è solo potenziale. “Il ‘toto-probabilità’ è una risposta decisamente inadeguata al panorama delle attuali minacce informatiche” sottolinea Vada. “I primi operatori che dovrebbero sensibilizzare le aziende a proteggere efficacemente i dati di cui sono in possesso, sono proprio i rivenditori dei software che gestiscono dati e/o informazioni sensibili”.
Integrando nella propria offerta soluzioni per la sicurezza IT, chi propone e installa piattaforme ERP non solo tutela i propri clienti, ma avrebbe anche modo di diversificare il proprio portafoglio, attivandosi in un ambito dell’information technology, quello della sicurezza IT, che, vista la creatività degli hacker, non conosce crisi.