Siamo in cyberguerra: il ruolo del cda per la sicurezza

Un vero e proprio conflitto mai dichiarato ufficialmente ma che si combatte da anni fra le più importanti potenze del mondo, comprese quelle di media dimensione. La cyberguerra è un fenomeno che sta modificando gli equilibri di potere fra le principali Economie Mondiali, costringendo i Governi e le imprese a investimenti massivi in sistemi di prevenzione, protezione e recovery e che coinvolge anche l’Italia. Il nostro Paese, infatti, nel corso del 2023 ha subito un aumento del 40% degli attacchi. Il tema è stato discusso il 27 giugno nel corso del quarto appuntamento del programma Governance Digital Agenda di Nedcommunity tenutosi nella sede romana dello studio BonelliErede e organizzato grazie al supporto del chapter romano dell’associazione coordinato da Ines Gandini.

Nessuno può dirsi al sicuro. A ribadirlo proprio la padrona di casa Silvia Romanelli, partner BonelliErede, associata Nedcommunity che ha lasciato la sua testimonianza: “È dal 2018 che ogni sei mesi cambiamo software. Lavorando molto con società quotate siamo destinatari di moltissimi tentativi di attacco”.

Per questo motivo Alessandro Carretta, presidente Nedcommunity, professore Università di Roma Tor Vergata, ha voluto ribadire lo stretto legame fra il tema della cybersicurezza e il buon governo delle imprese che devono necessariamente andare di pari passo. “Nedcommunity che ha superato gli 800 membri, in larga parte componenti di cda di società quotate e in parte esperti di governance, ha un programma di Governance agenda digitale coordinato da Piercarlo Gera da alcuni anni che nasce proprio dalla consapevolezza che il digitale è ormai centrale nelle business agenda delle aziende e il cda deve fornire adeguato indirizzo, controllo e stimola al management affinché colga le opportunità di trasformazione. Se è vero che è portato a governare e a super-vedere tutti i rischi aziendali anche quelli emergenti devono essere oggetto di attenzione, non con la presunzione di essere preparati ma di allenarsi in modo da riuscire ad affrontarli in maniera adeguata. Il fronte cyber risk è interdisciplinare in virtù del fatto che racchiude incredibili implicazioni operative, commerciali, legali, reputazionali, organizzative. Per tale motivo auspico un approccio sempre più olistico”.

Nel corso della tavola rotonda moderata da Carlo Delladio, presidente Trentino Digitale, independent director, associato Nedcommunity, alla quale sono intervenute le associate Nedcommunity Flavia Scarpellini, corporate law e cybersecurity advisor, director, Michela Zeme, independent director e componente del Reflection Group Digital Innovation & Governance, e Patrizia Giangualano, independent director, advisor in Governance and sustainability, consigliere direttivo Nedcommunity. Franco Bernabè, presidente di TECHVISORY, già amministratore delegato di Eni e Telecom Italia, e past President di Cellnex e Nexi S.p.A., nonché per quasi un decennio amministratore indipendente di PetrolChina, ha ricostruito l’origine del problema della cybersecurity che di fatto è legato alla diffusione di Internet. Ila manager ha ricordato che Originariamente la Rete era stata concepita con un obiettivo di resilienza affinché reggesse a un attacco atomico. Nella comunicazione moderna i pacchetti in cui per esempio è scomposta la voce viaggiano su tutta la rete e poi si ricompongono alla fine. Prima dell’avvento di Internet, però, le cose stavano diversamente e per garantire la sicurezza le specifiche di progetto delle architetture tradizionali della comunicazione erano basate sull’intelligenza centralizzata. Adesso, invece, i punti di ingresso sono diventati miliardi anche grazie alla diffusione degli smart phone, come le vulnerabilità. Il costo dei benefici di cui godiamo oggi con le moderne tecnologie è stato la riduzione della sicurezza del sistema.

Armi cyber

Bernabè ha ricordato che negli anni 10 di questo secolo i servizi segreti a partire da quelli statunitensi hanno iniziato ad accumulare zero days (virus o malware per computer in precedenza sconosciuto per il quale la protezione degli antivirus non è ancora disponibile) fino a quando nel 2013 questa riserva di armi accumulata dall’agenzia statunitense NSA è stata sottratta: da quel momento gli attacchi a infrastrutture strategiche da parte di servizi stranieri, in particolare russi, si sono moltiplicati. Lunghissimo l’elenco: nel 2007 si segnala una massiccia offensiva cyber contro l’Estonia mentre nel 2014 i servizi di Mosca hanno messo fuori uso tutto il sistema infrastrutturale ucraino lasciando il Paese senza elettricità. Anche l’ultima offensiva contro Kiev ha visto il massiccio uso di cyber armi. Gli americani, dal canto loro, hanno pianificato e realizzato operazioni importanti come quando hanno messo fuori uso le centrali di arricchimento dell’uranio iraniane. Da quanto detto si evince come le aziende siano fra gli obiettivi prediletti dei cyber assalti. Per tale motivo, secondo Bernabè, la sicurezza va costruita giorno per giorno in Azienda, a tutti i livelli. Servono competenza e sensibilità.

Due aspetti sui quali si è soffermato anche Roberto Baldoni, già vicedirettore generale del Dipartimento Informazioni per la Sicurezza (DIS), primo direttore generale ed attuale direttore centrale dell’Agenzia per la Cybersicurezza Nazionale (ACN) e professore onorario Università degli Studi di Roma La Sapienza. Baldoni ha sottolineato che non esiste e non esisterà un sistema sicuro: quindi dobbiamo allenarci a entrare nell’ottica della gestione continua de rischio. Nella sua esperienza a capo del Nucleo per la cybersicurezza, organismo che gestisce gli attacchi che possono avere un impatto sulla sicurezza nazionale, è emerso che le aziende spendono molto di più nella parte di prevenzione rispetto alla mitigazione. L’idea di invertire questo trend è un fattore importante.

Board pronti a reagire

Baldoni ha portato l’esempio delle contromisure adottate dalla SEC, la Consob statunitense per aumentare il livello di sicurezza delle aziende a stelle e strisce che ha deciso di richiedere che all’interno dei cda siedano persone con competenze adeguate a queste sfide e che il board e l’azienda dichiari immediatamente se sono sotto attacco. Questa è la strada giusta anche perché un nuovo pericolo si staglia minaccioso all’orizzonte: lo sviluppo dell’IA. Chat Gpt 3 2022 ha un livello di competenza da primary school americana, Chat Gpt 4 da ragazzo delle superiori e nel 2030 si prevede di arrivare ad avere un livello simile a quello di uno scienziato junior. Si aprono scenari inediti: è possibile stanziare un milione di scienziati che cooperano fra loro in maniera automatica per risolvere grandi problemi come, per esempio, il cambiamento climatico ma possiamo anche prevedere che qualcuno pensi di usarli in una modalità ostile.

Più competenze STEM e integrazione europea

Dobbiamo quindi essere pronti, in primo luogo, puntando sulla formazione di giovani professionisti ed esperti in materie STEM (Science, Technology, Engineering e Mathematics), obiettivo difficile da raggiungere anche in virtù dell’inverno demografico che stiamo vivendo. Poi bisogna scommettere su una forte integrazione europea su questi temi perché nessun Paese europeo, per quanto tecnologicamente avanzato e ricco, può pensare di far da solo. In Europa, continua Baldoni, non esiste un cloud provider e questo rappresenta un problema fondamentale: i nostri dati sono in gestioni ad altri, anche se alleati. Il progetto del Polo Strategico Nazionale è un concreto tentativo di avere un operatore in grado di gestire industrialmente i nostri dati. Sul fronte dell’impegno dei cda è necessario che tutti i membri del consiglio abbiano la giusta sensibilità in merito a questi temi. Però non basta: nel momento in cui si è creato il cyberspazio, un nuovo mondo, in quel mondo bisogna saperci vivere, il che significa che è necessario un costante aggiornamento, visto che il rischio evolve continuamente.

Un discorso valido in particolare per il settore finanziario come ha ben ribadito Isadora Tarola, responsabile Divisione mercati Consob: “Il nostro ambito per livello di digitalizzazione e per le strette interconnessioni è la cinghia di trasmissione ideale per questa tipologia di attacchi che possono assumere anche la dimensione di un rischio sistemico. I pericoli principali oggi sono due: l’outsourcing che può rappresentare un punto di debolezza se non correttamente presidiato; il secondo elemento critico è rappresentato dalla concentrazione presso un unico fornitore dei servizi offerti. Gli effetti in caso di un incidente possono potenzialmente amplificarsi. Occorre creare maggiore consapevolezza negli emittenti. Certo un emittente che subisca un grosso attacco è tenuto a darne informazione ma nel caso di un attacco cyber è anche importante comprendere le modalità (in termini di contenuti e tempistica) per la diffusione delle informazioni in relazione al complessivo processo di identificazione, gestione, response e recovery dall’avvento avverso”. Per questo motivo fondamentali sono le sono le esercitazioni come ha ribadito anche Patrizia Giangualano.

Per concludere, usando le parole di Piercarlo Gera, senior advisor Growth & Digital Agenda, independent director, consigliere direttivo Nedcommunity “occorre che le aziende pensino in maniera diversa, occorre un approccio strategico, una ‘cultura aziendale’, un approccio alla gestione aziendale diversi, in cui vengano gestite contemporaneamente e coerentemente opportunità di sviluppo del business e rischi cyber. Occorre un nuovo modello di gestione che porti a individuare i processi critici, gli asset strategici (es dati, know-how), i rischi di inadeguata compliance degli standard e della normativa, i rischi tecnologici di vulnerabilità. Occorre operare con precisi framework di prevenzione e ora soprattutto gestione dei rischi, con adeguati indicatori.  Il board ha grande responsabilità sia perché richiesto dalla normativa (DORA, recenti disposizioni SEC) che per l’importanza della posta in gioco (gli attacchi cyber stanno esplodendo e possono mettere a rischio la stessa sopravvivenza dell’azienda). Il Board deve focalizzarsi su 3 grandi ambiti: la definizione di una strategia e governance dei rischi cyber molto chiara e integrata con la business strategy; l’allocazione di adeguate risorse finanziarie e umane/professionali e nella gestione dei budget particolare attenzione non solo alla prevenzione, ma anche alla gestione di situazioni di rischio, con adeguati interventi formativi, tecnologici, e creazione adeguato network di partner; il monitoraggio e la valutazione della efficacia dei programmi, tramite adeguati report e metriche, piani di risposta. Occorre in tutti questi ambiti un continuo adattamento ed una continua evoluzione, assicurando una diffusa mobilitazione dell’azienda, dato che le evidenze dimostrano che l’85% degli attacchi cyber sono dovuti a errori del personale aziendale”.