Di Elena Vaciago Sommario: È in programma il 9 aprile 2014 presso l’Hotel Marriott di Milano il “Cybersecurity Summit”, il maggiore evento italiano per le Imprese e le Utilities, organizzato da “The Innovation Group”: http://bit.ly/1b9qVA3. In questo articolo l’analista Elena Vaciago introduce alcuni dei temi più caldi che verranno trattati nell’ambito del Summit. I rischi […]
Di Elena Vaciago
Sommario: È in programma il 9 aprile 2014 presso l’Hotel Marriott di Milano il “Cybersecurity Summit”, il maggiore evento italiano per le Imprese e le Utilities, organizzato da “The Innovation Group”: http://bit.ly/1b9qVA3. In questo articolo l’analista Elena Vaciago introduce alcuni dei temi più caldi che verranno trattati nell’ambito del Summit.
I rischi legati agli attacchi informatici, al cosiddetto cyber crime, sono sempre di più una realtà con cui dobbiamo convivere, come cittadini, individui, professionisti, utenti di servizi online. Se dovessimo dire quali sono le conseguenze che ci toccano più da vicino, come persone e come sistema economico nel suo complesso, 2 emergono come quelle più preoccupanti: la possibile perdita di informazioni personali, con danno reputazionale, e il danno economico che di conseguenza ci colpisce.
Sul fronte della Data Protection, per quanto negli ultimi decenni il tema sia stato affrontato e ripetutamente indicato come ambito di elevata criticità nella Società dell’Informazione, ci troviamo oggi in una situazione paradossale. Da un lato, abbiamo organismi governativi che sottolineano la rilevanza della protezione dei dati personali, con l’Europa e la Commissione Europea in prima fila, con la proposta di Viviane Reding di rinnovare le misure per tutelare la privacy nella nuova era delle comunicazioni digitali, dei social network, della tracciabilità mobile delle persone.
Ma le norme sono sempre più distanti dalla percezione che si comincia ad avere sulla dimensione del problema. Ad esempio: il 28 gennaio 2014 è stata in Europa la giornata della protezione dei dati personali: la notizia non è stata riportata quasi da nessun giornale. In compenso, molto più interessante, solo 2 giorni prima, il 26 gennaio, Edward Snowden, la ‘talpa’ del Datagate, ha affermato in un’intervista alla tv tedesca Ard che la NSA avrebbe utilizzato il proprio sistema di intelligence per spionaggio industriale. Evidentemente ai buoni propositi e alle pubbliche dichiarazioni non sempre corrispondono nei fatti azioni altrettanto virtuose…
Norme più severe e controlli più elevati possono essere la soluzione oggi? O forse, come ci dicono evidenze concrete, non sono le norme che risolveranno la situazione? Molti dati in effetti sono già stati persi! Non parliamo di informazioni personali sui social network o sui blog, dove oramai tutti pubblicano tutto, senza preoccuparsi né di diritto all’oblio, né di altre possibili conseguenze legali (abbiamo saputo che l’NSA spia i social network … ma chi non lo fa?). Parliamo invece di quelli che dovrebbero essere dati decisamente più sensibili, come i numeri delle carte di credito o dei conti bancari. Profili completi di milioni di persone, di tutti i paesi avanzati, sono oggi disponibili su Internet, rivenduti per pochi dollari, o meglio ancora, “bitcoin”.
Anzi, secondo uno studio recente, i prezzi delle informazioni nei mercati underground di Internet stanno calando, e la causa è probabilmente l’eccessiva offerta di dati[1]. Ad esempio, il prezzo per i dati relativi a un conto corrente bancario, compresi nome utente e password, è venduto a chi vuole procedere con un furto intorno ai 300 dollari per un conto bancario che vale almeno 300.000 dollari di deposito. Se invece si vuole un profilo completo di una persona (full dossier o propriamente “Fullz”, termine tecnico utilizzato dagli hacker), per procedere a un furto di identità, basta pagare 25 dollari per un americano, un po’ di più per una vittima britannica (30, 40 dollari), comunque circa la metà di quanto costava un anno fa (intorno ai 60 dollari). Se si vuole soltanto un numero di carta di credito: 4 dollari per una Visa o Mastercard, 7 dollari per un’American Express.
Abbondanza di dati personali, prezzi in calo: basta dare uno sguardo ai fatti più recenti. A settembre 2013, Vodafone Germania dichiara che un hacker è entrato in possesso di nomi, indirizzi, numeri di conto corrente, date di nascita, di circa 2 milioni di clienti (su un totale di 36 milioni di clienti dell’operatore in Germania). I clienti colpiti sono stati avvisati e rassicurati. Ancora niente rispetto a quanto sta per succedere: a fine gennaio di quest’anno in Sud Corea 3 gestori di carte di credito devono comunicare a 20 milioni di clienti (circa la metà della popolazione del paese asiatico) che i dettagli relativi alle loro carte di credito, con nomi e numeri della social security, sono stati rubati e venduti a società di marketing. L’autore sarebbe un informatico che lavorando per un fornitore dei gestori aveva accesso ai database: tutti i dati sono stati trafugati con una chiavetta USB. I dati non erano crittografati.
Ma chi veramente batte tutti è la Target Corporation, seconda più grande catena commerciale negli USA dopo Walmart, oltre 1.700 punti vendita, un fatturato di 73 miliardi di dollari. A fine dicembre comunica il furto di dati relativi a nomi, indirizzi, numeri di telefono, email e numeri di carte di credito per 70 milioni di clienti. Gli hacker avevano colpito in questo caso i Pos, inserendo del codice che trasmetteva poi le informazioni. L’attacco è andato avanti un mese durante il quale i dati sono stati venduti via Internet, nel mercato underground.
Se questa è la situazione sul fronte delle perdite di dati, sempre più massicce (parliamo di Big Data anche in questo caso), cosa si può dire invece per quanto riguarda il costo che tutto questo ha per la società nel suo complesso? Secondo un recente Rapporto del World Economic Forum, se aziende e governi non collaboreranno prendendo rapidamente le giuste misure, il cyber crime causerà perdite economiche fino a 3 mila miliardi di dollari entro il 2020. Gli effetti negativi del cyber crime a livello economico si vedono anche nel semplice fatto che la paura delle imprese di perdere dati rilevanti le frena nel passaggio verso il cloud computing. Anni fa, la paura di frodi online era da freno alla crescita del mercato dell’e-commerce: oggi, anche se si può affermare che il commercio elettronico è oramai un’esperienza consolidata per quasi tutti, in ogni modo le frodi online continuano a pesare sullo sviluppo dell’economia digitale. Secondo l’indagine annuale condotta da CyberSource, unit di Visa, intervistando 312 online retailers in Usa e Canada, le perdite dei player dell’online nel 2012 è stata pari a 3,5 miliardi di dollari per frodi legate agli acquisti via Internet.
Bisogna correre ai ripari, ma come? Una risposta viene da un approccio sempre più pragmatico alla gestione del rischio informatico. Non ultima la possibilità di ricorrere a una cyber polizza assicurativa. Sono ancora poche le assicurazioni che offrono queste coperture, ma alcune stanno registrando una forte domanda: come riportato questo mese dal Financial Times, per la AIG, maggior gruppo assicurativo indipendente negli Usa, le vendite di cyber polizze assicurative è aumentato del 30% nel 2013 rispetto al 2012.
