Una ricerca di Zurich Insurance Group dimostra come organizzazioni, enti e associazioni debbano migliorare la loro risposta ai rischi informatici per evitare uno shock globale simile alla crisi finanziaria del 2008. L’indagine rivela anche che i professionisti della sicurezza informatica non sono concordi nell’individuare come il fallimento di una organizzazione o di una tecnologia potrebbe evolversi e diventare un rischio a livello di sistema. La dipendenza dall’information technology ha creato inoltre una rete complessa di rischi interconnessi.
Il Zurich Cyber Risk Report recentemente pubblicato, realizzato in collaborazione con il think tank internazionale Atlantic Council, sostiene che i professionisti di gestione dei cyber-rischi avrebbero bisogno di oltrepassare i propri sistemi interni di protezione dell’information technology osservando i rischi interconnessi che possono accumularsi in merito alle controparti, ai fornitori in outsourcing, supply chain, tecnologie perturbatrici, infrastrutture a monte e shock esterni.
Il report di Zurich ammonisce al riguardo di queste problematiche, segnalando che un accumulo di questi rischi potrebbe creare severi danni su vasta scala simili alla crisi finanziaria del 2008. Questi rischi interconnessi, sottolinea la compagnia, tendono ad aggravarsi quando una azienda esternalizza la gestione dei propri server, l’information technology e la sicurezza informatica per concentrarsi sulle sue attività principali. Potrebbero infatti diffondersi alcune informazioni riguardanti la sicurezza dei dati di terze parti e la salvaguardia della continuità aziendale; e a loro volta, questo genere di informazioni potrebbero essere esternalizzate ad ulteriori realtà.
L’indagine richiede ad organizzazioni, enti ed associazioni di considerare la nascita di una struttura che integri le migliori idee di governance finanziaria come ad esempio la creazione di un Cyber Stability Board G20 + 20 per migliorare la gestione del rischio informatico ed identificare e migliorare la governance delle maggiori organizzazioni internet a livello globale.
Axel Lehmann, Chief Risk Officer e Regional Chairman of Europe di Zurich, ha osservato come internet sia “il sistema più complesso mai concepito dal genere umano. Sebbene negli ultimi decenni si sia rivelato incredibilmente resistente, il rischio è che la complessità che ha reso il cyberspazio così relativamente privo di rischi possa (con ogni probabilità) ritorcersi contro”.
“Le aziende si stanno inconsapevolmente esponendo a rischi al di fuori della propria struttura, avendo esternalizzato, interconnesso o esposto i propri dati ad un sempre più complesso e imperscrutabile sistema di reti – prosegue Lehmann –. Sono poche le persone che conoscono effettivamente i propri computer o internet, o la “nuvola” alla quale si connettono, come sono pochi quelli che veramente hanno capito il sistema finanziario nel suo complesso o i settori a cui sono più direttamente esposti”.
Il report di Zurich individua i seguenti sette rischi interconnessi:
| Descrizione | Esempi | |
| IT aziendale interna | Rischio connesso con il set cumulativo (soprattutto interno) di un’organizzazione IT | Hardware; software; server; persone, processi e servizi connessi |
| Controparti e partner |
Rischio di dipendenza o interconnessione diretta (di solito extracontrattuale) con un organismo esterno | Partenariati di ricerca universitari; rapporti tra banche concorrenti / consociate; joint ventures societarie; associazioni di categoria |
| Outsourcing e contratto | Rischio legato al rapporto contrattuale con i fornitori esterni di servizi, risorse umane, assistenza legale, IT e cloud provider | IT e cloud provider; Risorse umane, uffici legali, contabili e consulenza; subfornitori |
| Supply chain | Rischi sia per le filiere innovative del settore IT e dei rischi informatici sia per le filiere tradizionali di approvvigionamento e logistica | Esposizione ad un singolo paese; prodotti contraffatti o manomessi; rischi di perturbazione della filiera |
| Tecnologie perturbatrici | Rischi di effetti collaterali nascosti o interruzioni di servizio da e verso le nuove tecnologie, validi sia per quelle già esistenti ma poco conosciute che per quelle in fase di rilascio | Internet delle cose; smart grid; apparati medici embedded; auto senza conducente; economia digitale automatizzata di larga scala |
| Infrastrutture Upstream | Rischi da perturbazioni alle infrastrutture provocata da economie ed aziende, con particolare riguardo verso energia elettrica, sistemi finanziari e telecomunicazioni | Infrastrutture Internet quali punti di scambio e cavi sottomarini; aziende e protocolli chiave utilizzati per eseguire Internet (BGP e Domain Name System); governance di Internet |
| Shock esterni | Rischi di incidenti esterni al sistema, fuori dal controllo della maggior parte delle organizzazioni e con diffusione a cascata | Principali conflitti internazionali; pandemia di malware |
Zurich Cyber Risk Report – Beyond data breaches: global interconnections of cyber risk (in inglese)
Infografica – I sette rischi informatici (in inglese)
Intermedia Channel
