Cybersecurity: cosa succede se viene colpito un fornitore?

 In Blog, Cyber Risk

Chi trova un fornitore (fidato) trova un tesoro. Ma siete sicuri che sia assicurato contro il pericolo di cyber risk? Facciamo il punto e capiamo cosa rischia un’azienda che passa i propri dati a un’altra…

Chi ha o gestisce un’azienda lo sa: trovare dei fornitori fidati è una grande sfida che richiede impegno diretto. Tuttavia senza dei collaboratori, siano essi delle piccole o medie imprese, o dei professionisti, è difficile stare. 

Con all’entrata in vigore del nuovo GDPR, la nuova normativa europea sulla protezione dei dati, al giudizio sull’affidabilità del fornitore in ambito di tempi di consegna, qualità del lavoro e segreto professionale si aggiunge la presa in carico della responsabilità relativamente ai dati che gli vengono forniti. In pratica, se uno dei nostri fornitori di servizi subisce un attacco informatico che porta alla perdita di dati appartenenti a uno dei nostri clienti, noi, in qualità di azienda che gli ha fornito quei dati, siamo ritenuti responsabili, a meno che non dimostriamo di aver fatto il possibile per mettere in sicurezza quanto rubato. 

Ebbene sì. A partire dal 25 maggio ogni azienda dovrà farsi carico in prima persona del controllo dei dati sia quando li si affida ad altri, come Amazon, Aruba o Microsoft, che quando ci si affida a i piccoli sviluppatori software o fornitori esterni che gestiscono i propri dati per, ad esempio, sondaggi e previsioni di business. Il fornitore dovrà parimenti mettersi a disposizione dell’azienda affinché possa garantirle un controllo dei dati adeguato duraturo nel tempo. Se così non fosse, in caso di perdita di dati conseguentemente a un cybercrime, arrecherebbe all’azienda/cliente una multa salata, compresa tra il 4% di fatturato fino a ben 20 milioni di euro.

La domanda sorge spontanea: come è possibile mettere in sicurezza dei dati che non sono in possesso della nostra azienda? È davvero possibile andare a far le pulci ai sistemi informatici di chi ci programma le app, gestisce il customer service, analizza i dati vendita e così via? 

Per quanto le perplessità siano legittime, la cosa ha il suo senso: molto spesso i criminali informatici sfruttano la debolezza di fornitori e partner per arrivare a colpire le aziende più importanti e strutturate. L’innalzamento di barriere informatiche da parte delle Pmi aiuterebbe quindi anche le grandi aziende che svolgono il ruolo di capo-filiera. 

Siamo di fronte a un cambiamento epocale. Ciò che viene richiesto alle aziende è un passaggio di mentalità che le porti a ragionare non più su un concetto sicurezza aziendale ma su un concetto di sicurezza del business. 

Aziende sotto assedio

Secondo l’analista di sicurezza dei dati e provider di software Kaspersky Lab, in futuro un numero sempre maggiore di attacchi ransomware avrà come target le aziende. Già nel 2017, degli attacchi che sono stati in grado di neutralizzare, il 26,2% era rivolto ad aziende (+ 3,6% rispetto al 2016). Gli esperti di Kaspersky hanno affermato anche che il 65% delle aziende colpite ha riscontrato una grave perdita di dati o non è stato più in grado di accedere ai propri file. Per il futuro gli esperti prevedono attacchi più avanzati ai danni dei dispositivi mobili e segnalano un aumento dei cosiddetti attacchi distruttivi, paragonabili al virus ExPetr che nel 2017 ha messo sotto assedio aziende e organizzazioni in tutto il mondo.

Come far fronte al cambiamento quindi?

Una volta definito lo stato ottimale dei sitemi IT delle aziende coinvolte, la prima cosa da fare è dotarsi di una polizza cyber risk in grado di coprire i danni relativi a una perdita di dati o furto degli stessi. La polizza sarà anche utile a salvaguardare l’azienda dalle implicazioni dirette e indirette che ne possano provenire come danni alla reputazione aziendale e danni al sistema informatico che è stato compromesso dall’attacco hacker. L’assicurazione cyber risk potrà essere utilizzata per sostenere eventuali cause legali e dare all’azienda il sostegno economico per affrontare un eventuale fermo di produzione. Talvolta persino pagare il riscatto derivante da un ransomware.  

*Le informazioni riportate non costituiscono contratto e non impegnano il broker o l’assicuratore per il quale valgono le condizioni contrattuali sottoscritte tra le parti. Leggere attentamente il set informativo di polizza prima della sottoscrizione.

Recommended Posts