Riv. delle Imprese n. 2 maggio 2016

Cyber Threat & Risk Mitigation: strategie di gestione del rischio digitale. Di G.Serafini e L.Bassini

AriettyIl tema della pianificazione di soluzioni e strategie di mitigazione del rischio digitale, che si caratterizza per esprimere, da uno specifico ambito visuale, quello del c.d. Risk Management, un contesto multidisciplinare, nel quale collocare, una serie di tematiche, tra loro interrelate, al pari di quanto è trasversale l’informatica, nelle attività imprenditoriali e non solo, nel nostro tempo, può essere considerato, ad avviso di chi scrive, da almeno due punti di vista tra di loro interdipendenti.

Il primo, basato su di un approccio tecnico-normativo alla materia, con ciò facendosi riferimento, in senso ampio, a quella specifica normazione, che definiremo ad adesione volontaria, ma sempre più importante nella vita quotidiana delle imprese (2), posta in essere, con efficacia variabile da una serie di enti, sovranazionali e non (ad esempio gli standard PCI DSS3 – NIST 800-30, NIST 800-39 – ISO/IEC 27001:2013), il secondo, invece, è quello implicato dalla normazione, questa volta, vincolante ex lege, vigente in materia di digitalizzazione dei beni e dei rapporti relativi agli asset aziendali.

Con l’espressione digitalizzazione dei beni e dei rapporti, che ci sembra opportuno chiarire, in quanto cardine, secondo chi scrive, della comprensione dei fenomeni economico-giuridici che si intendono esaminare nelle pagine che seguono, ci si riferisce a quel fenomeno, derivato dal più generale fenomeno della c.d. convergenza digitale, per il quale, lo strumento elettronico di elaborazione, cessa di avere una funzione meramente ancillare rispetto alla costituzione, modificazione od estinzione di determinate situazioni giuridiche soggettive, per assurgere al ruolo di vero e proprio elemento costitutivo della situazione giuridica soggettiva stessa.

Per fare degli esempi di immediata comprensione, si pensi, da un lato, sotto il profilo della digitalizzazione dei rapporti, al fatto che, con l’introduzione, normativa e tecnologica, delle procedure che afferiscono al c.d. processo civile telematico (P.C.T.), lo stesso esercizio dello jus postulandi, tipico dello svolgimento della professione forense, é del tutto condizionato alla disponibilità di determinati strumenti tecnologici (firma digitale, redattore atti e casella di posta elettronica certificata) e, dall’altro, sotto il profilo della digitalizzazione e dei beni, al fatto che, ormai la stessa creazione di valore (nel senso di “cosa” suscettibile di valutazione economica) avviene, nell’ambito delle c.d. criptomonete, bitcoin(4) su tutte, esclusivamente grazie ad elaborazione di specifiche stringhe crittografiche da parte di strumenti elettronici di elaborazione a ciò preposti.

Logiche conseguenze dell’assetto sin qui delineato, appaiono quindi essere, dal punto di vista di chi scrive, le due osservazioni che seguono, e cioè: in primo luogo, che gli strumenti elettronici di elaborazione possono essere, sia oggetto passivo di una condotta illecita, sia strumenti attraverso la quale essa è realizzata e, in quest’ultimo caso, possono essere impiegati, sia per commettere c.d. illeciti comuni, sia per commettere i crimini c.d. informatici ed in secondo luogo che, in considerazione del fatto che, sempre piú spesso, la “prova” di un fatto é contenuta in un sistema elettronico di elaborazione in forma di “registrazione” di circostanze relative alla sua verificazione, vi é, l’esigenza, per finalitá di, certezza dei rapporti, dimostrazione di adempimento a norme di legge, prevenzione, accertamento di reati e punizione dei colpevoli, da una parte, di generare ed individuare tali registrazioni e, dall’atra, di acquisire, analizzare, conservare e presentare dette registrazioni ad un giudice, in forma di “elementi di prova o prove”(5).

Diventa a questo punto evidente, la molteplice valenza delle disposizioni normative, nella accezione più ampia del termine, in materia di sicurezza delle informazioni, intesa questa come la scienza che, attraverso la configurazione di specifiche soluzioni fisiche logiche ed organizzative ha l’obiettivo di generare informazioni riservate, integre e disponibili.

In altre parole, sembra coerente con quanto specificato da ultimo, da un lato, che è fondamentale, proteggere i propri asset informativi dall’operato di terzi, e, dall’altro, che è altrettanto fondamentale, in una logica pro attiva, di gestione del proprio patrimonio informativo, che, dal medesimo, promanino contenuti (i.e. evidenze, che possano divenire prove all’occorrenza) pienamente e legittimamente utilizzabili a dimostrare, in primo luogo, la conformità dell’organizzazione con norme imperative, in secondo luogo, l’adempimento dell’organizzazione stessa a vincoli contrattuali ed infine, ma non per ultimo, in terzo luogo, sia l’estraneità dell’organizzazione ad illeciti, sia le modalità, attraverso cui detti illeciti siano stati perpetrati, invece, in danno della organizzazione stessa. Un ambito molto rilevante ed attuale ove trovano puntuale applicazione le considerazioni sopra svolte, é rappresentato, in particolare, con riferimento specifico al tema dei c.d. Computer Crime, dall’art. 24 bis del D.Lgs. 231/2001 in materia di responsabilitá amministrativa degli enti.

Ebbene, con riferimento a questa norma, nel contesto sin qui descritto, ci sembrerebbe corretto un approccio che muova dalla analisi delle seguenti questioni:

(a). – può dirsi adottato ed efficacemente attuato, con riferimento alla commissione di reati (presupposto) informatici, un modello organizzativo di gestione e controllo che sia del tutto estraneo a standard di gestione di sistema della sicurezza delle informazioni?

e (b). – Come si dovrà procedere, quindi, per prevenire accertare e documentare la violazione del modello organizzativo da parte di uno dei soggetti indicati dalla legge, se la condotta del “reato presupposto”, realizzata dall’autore del crimine, si esprime attraverso strumenti elettronici di elaborazione o integra gli estremi di un reato informatico?

Per semplificare molto, il concetto che sopra si è declinato, può rincorrersi alla seguente formulazione, la sicurezza, come sopra descritta, di un sistema di gestione delle informazioni aziendale, conduce alla possibilità del loro impiego (utilizzabilità processuale, per usare un’ espressione attinta dal lessico processual-penalistico, oltre ogni ragionevole dubbio) in termini di prova (per tale via quindi sicurezza è uguale a prova6); ciò perché un sistema informativo sicuro, restituirà evidenze (digitali) disponibili, riservate ed integre.

Se ciò è vero, allora, la gestione della sicurezza dei sistemi informatici deve essere pensata, non tanto e non solo, in un’ottica meramente tecnica, come troppo spesso avviene, demandando le relative attività esclusivamente all’area c.d. IT, ad esempio, delle realtà aziendali, specialmente di medie dimensioni, ma, complessivamente, in una dimensione trasversale ai processi aziendali, che implichi una partecipazione, pro quota, insieme a questa, dell’area legale, dell’area risorse umane e che non prescinda, ma anzi si fondi, su un appropriato è consapevole Commitment della direzione aziendale.

Occorre, ora, per centrare il punto di questo contributo, introdurre due ulteriori specifiche definizioni utili a comprendere esattamente la nozione di Cyber Threat (o Minaccia Cibernetica)(7), quella di rischio e quella di gestione del rischio (Risk Management8): se da un punto di vista generale, facendo riferimento a quella normazione ad adesione volontaria cui sopra si è fatto cenno, possiamo definire il rischio come l’effetto dell’incertezza sul raggiungimento di un obiettivo9, esiste nel nostro ordinamento un primo dato normativo, questa volta di normazione cogente, che può fornirci indicazioni più puntuali su quello che, con specifico riguardo un sistema informativo, che elabora dati personali, possiamo ritenere sia un rischio.

In tal senso, l’articolo 31 del Codice in materia di protezione dei dati personali, dopo avere, nella sua prima parte, costruito, in termini di custodia e controllo, il dovere di sicurezza che incombe sul Titolare del trattamento, e che in determinate condizioni è assistito da pesanti sanzioni amministrative e nei casi più gravi da sanzioni penali, elenca espressamente quali siano i “rischi” dai quali il titolare deve proteggere i dati stessi, individuando, segnatamente: la distruzione o la perdita, l’accesso non autorizzato, il trattamento non consentito o non conforme con le finalità della raccolta(10).

Naturalmente, la tipizzazione legale sopra indicata, di quali possano essere i rischi in grado di affliggere i dati personali (siano essi contenuti o meno in un sistema elettronico), può essere declinata e correlata, da un punto di vista della elaborazione elettronica, e della sicurezza informatica, in particolare, in altrettante, specifiche, fonti di rischio che si concretizzano in altrettante minacce in grado di avere effetti negativi sul patrimonio informativo di una organizzazione.

Rilevano, evidentemente, a tale stregua, tanto per fare degli esempi, i virus informatici ed i malware, le più recenti forme di ransomware, ma anche, sotto altro profilo, erronee configurazioni di dispositivi di protezione del perimetro informatico di una organizzazione, o, peggio ancora, vulnerabilità tecniche specifiche derivanti dal mancato aggiornamento dei programmi in dotazione.

A questo punto, un chiarimento “filosofico” sembra opportuno, per parametrare, con il canone del progresso tecnico e tecnologico (così come è espressamente previsto nella prima parte dell’art. 31 del citato codice privacy), il concetto di vulnerabilità, che ad avviso di chi scrive, rileva primariamente nella comprensione delle strategie aziendali di prevenzione del rischio che possono essere attuate; l’osservazione da svolgere, brevemente, per comprendere la ragione del fatto che è indispensabile pensare alla sicurezza informatica, in termini di processo e non di prodotto, attiene, sostanzialmente, alle modalità di svolgimento, dell’attività umana, la programmazione, di realizzazione di un programma per elaboratore (o software).

Quest’ultima, come è noto, si basa sulla formulazione e sullo sviluppo di un algoritmo, sinteticamente, un metodo matematico per la soluzione di un problema, ma, la circostanza che gli algoritmi che stanno alla base di un programma per elaboratore, siano pensati e sviluppati da esseri umani, prima di essere interpretati e codificati in un determinato linguaggio di programmazione, espone, transitivamente, all’imperfezione, gli stessi programmi;11 in altre parole, dal punto di vista della sicurezza informatica, alla suscettibilità ad essere impiegati in modo difforme, anche solo parzialmente, da quello per il quale erano stati progettati.

Se è vero ciò che precede, ed è vero, occorre anche precisare che, se da una parte gli stessi autori dei software, possono intervenire e di fatto intervengono, modificando ed aggiornando i loro programmi, dall’altra, per converso, le organizzazioni criminali che operano nell’ambito dei c.d. Cyber Crime, quotidianamente rinvengono, nuove vulnerabilità, che sfruttano a loro vantaggio e che in ipotesi, per essere state scoperte in un ipotetico adesso, non sono ancora state oggetto di “riparazione” da parte del produttore di quel determinato software.

Ciò chiarito, si comprende agevolmente, allora, come e perché, una appropriata policy di gestione del rischio contempli tre diverse operazioni su un rischio individuato vale a dire, la mitigazione del rischio, l’eliminazione del rischio ed infine, ma non per ultimo, il trasferimento del rischio, per esempio, tramite affidamento in oustourcing del processo cui quel determinato rischio afferisce o, per altra via, stipulando apposite coperture assicurative (12) di contenimento.

Quanto precisato da ultimo, in materia di trasferimento di un determinato rischio mediante stipulazione di apposita copertura assicurativa, in realtà, a ben vedere, introduce un nuovo parametro nella metodologia applicabile di gestione del rischio, nel senso che, come è noto, il più delle volte, la stessa operatività di determinate coperture assicurative, implica, il soddisfacimento, anche nel tempo, di determinati requisiti, questa volta contrattualmente imposti, in mancanza dei quali, il rischio, pure trasferito, sulla carta, dovrà essere nuovamente gestito, direttamente, dall’organizzazione, ma, questa volta, a posteriori, in forma di danno.

Con ciò, si vuol dire che, non solo il soddisfacimento di specifici requisiti contrattuali (veri e propri presupposti a questo punto), in un tempo T1, determinerà la possibilità di accedere o meno allo strumento assicurativo prescelto, al fine di un efficace azione di trasferimento del rischio, ma anche che, la circostanza che i requisiti individuati a termini di polizza, debbano sussistere, spesso in un logica formale di documentazione, in un tempo T2, implica, di fatto, la necessità di strutturare una vera e propria policy di gestione della sicurezza delle informazioni il cui criterio (o requisito) è contenuto, anche, nelle specifiche prescrizioni contrattualizzate dal soggetto che assicura l’evento.

Conclusioni

La pervasiva molteplicità dei c.d. Cyber Risks che vanno dalla perdita dei dati, al blocco dell’attività lavorativa di un’azienda, al danno a terzi o a quello reputazionale, solo per citarne sommariamente alcuni, inducono gli operatori, in questa fase, più che mai, ad interrogarsi su quale sia attualmente il ruolo dell’industria assicurativa in questo ambito, portando ad esaminare le nozioni di Cyber Risk, e di gestione del rischio in riferimento alle quali, in primis, devono intervenire delle apposite strategie aziendali.

In questo senso, una comunicazione appropriata ed una fattiva collaborazione, anche tra le stesse aziende, per creare un mercato assicurativo più consapevole ed avveduto (risk awareness) potrebbero essere un’importante soluzione.

NOTE

(1) Cfr. Verizon Data Breach Investigation Report 2015. – 79.790 incidenti, 2.122 data breaches confermati, in 61 paesi del mondo, con una predominanza di casi (i due terzi) localizzati negli USA, sono questi i numeri su cui si basa l’analisi del Data Breach Investigations Report (DBIR) di Verizon per il 2015, undicesima versione appena pubblicata del più noto studio del settore della cybersecurity, basato sul contributo informativo di oltre 70 organizzazioni tra service providers, società di IR/forensic, Computer Security Information Response Teams internazionali, enti governativi e ora anche numerosi player della security industry.

(2) In base a quanto prescritto dalla Circ. (AgID) Agenzia per l’Italia Digitale, N. 65 del 10 aprile 2014, Modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici di cui all’articolo 44-bis, comma 1, del decreto legislativo 7 marzo 2005, n. 82, (in G.U. n. 89 del 16 aprile 2014), la facoltà di poter erogare, in favore della Pubblica Amministrazione prestazioni di archiviazione documentale, rilevanti ai fini delle vigenti disposizioni di legge in materia di archiviazione sostitutiva é condizionata al possesso, da parte del fornitore, di apposita certificazione UNI EN ISO 27001:2013.

(3) PCI-DSS (Payment Card Industry – Data Security Standard) é lo standard di sicurezza cui occorre attenersi, con diversi livelli di intensità, sulla base di specifiche previsioni contrattuali, di volta in volta stipulate tra i soggetti coinvolti nelle relative attività, ogni volta che vengono effettuate operazioni che implicano, la memorizzazione (anche temporanea) ovvero la trasmissione d specifici dati relativi a pagamenti effettuati con carte di credito.

(4) Amplius in “Il bitcoin entra nell’età dell’oro: nasce la criptovaluta garantita da riserve aurifere”. P. Soldavini in Il Sole 24 ore del 07.05.2014 in www.ilsole24ore.com, sito consultato e verificato in data 22 maggio 2015.

(5) In questo contesto, si é affermata tra le discipline processuali, di maggiore rilevanza, la digital forensics o informatica forense, definita come segue: ““The use of scientifically derived and proven methods toward the preservation, collection, validation, identification, analysis, interpretation, documentation and presentation of digital evidence derived from digital sources for the purpose of facilitating or furthering the reconstruction of events found to be criminal, or helping to anticipate unauthorized actions shown to be disruptive to planned operations”. DFRWS (Digital Forensics Research Conference) TECHNICAL REPORT: ”A Road Map for Digital Forensic   ” Cfr. anche: ISO/IEC 27001:2013 – Annex A control A.16.1.7 Collection of evidence: “The organization shall define and apply procedures for the identification, collection, acquisition and preservation of information, which can serve as evidence; ISO/IEC 27037:2012 – Information technology – Security techniques – Guidelines for identification, collection, acquisition and preservation of digital evidence; PCI DSS V. 3.0. Req. A.1.4 Enable processes to provide for timely forensic investigation in the event of a compromise to any hosted merchant or service provider.

(6) F. Cajani – Il vaglio dibattimentale della digital evidence – In Archivio Penale, settembre-dicembre 2013 fascicolo 3 anno LXV. Pag. 837-852. “In tale contesto, le previsioni di misure volte a salvaguardare la genuinità della digital evidence all’atto della sua acquisizione (ma anche, nell’intera catena di conservazione del reperto, prima e dopo la sua analisi) ripropongono alcuni quesiti che erano già stati sollevati in passato, allorché il P.M. non le avesse indicate nei suoi decreti (di perquisizione/ispezione) e/o la P.G. le avesse omesse ovvero esse fossero state, in ogni caso, erroneamente adottate”.

(7) Cfr. I. Nai Fovino – Valutazione della sicurezza delle infrastrutture critiche, definizioni e metodologia. In: “La comunicazione, Note Recensioni & Notizie Pubblicazione dell’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione, Anno 2013 Vol. LIX – “Una minaccia, come indicato nell’“Internet RFC Glossary of Terms” viene definita come un potenziale per la violazione della sicurezza, che esiste in quanto c’è circostanza, capacità, azione o evento che potrebbe fare una breccia nelle misure di sicurezza e causare danno. Una vulnerabilità, per definizione è una debolezza del sistema sotto analisi, sia essa infrastrutturale, legata a processi, politiche, controlli ecc. Come diretta conseguenza, un attacco può essere definito come l’intero processo messo in atto da un agente di minaccia per attaccare un sistema con successo, sfruttando una o più vulnerabilità dello stesso. Infine, come definito nell’ISO/IEC 17799:2000, il rischio è definito come la probabilità che un attacco/incidente accada (quando una minaccia viene attualizzata dalla combinazione di vulnerabilità ed attacchi) moltiplicato per il danno potenziale causato.” in http://www.isticom.it sito consultato e verificato in data 21.05.2015.

(8) Cfr. NIST Special Publication 800-39 Managing Information Security Risk Organization, Mission, and Information System View. Pag. 6. Risk management is a comprehensive process that requires organizations to: (i) frame risk (i.e., establish the context for risk-based decisions); (ii) assess risk; (iii) respond to risk once determined; and (iv) monitor risk on an on going basis using effective organizational communications and a feedback loop for continuous improvement in the risk-related activities of organizations. In www.nist.org. Sito consultato e verificato in data 22.05.2015

(9) ISO/IEC 27000:2014(en) – Information technology – Security techniques – Information security management systems – Overview and vocabulary – Terms and Definition. Note 6 – Information security risk is associated with the potential that threats (2.83) will exploit vulnerabilities (2.89) of an information asset or group of information assets and thereby cause harm to an organization. In www.iso.org – Sito consultato e verificato in data 21.05.2015

(10) In tal senso Cfr. Risoluzione legislativa del Parlamento Europeo del 12 marzo 2014 sulla proposta di regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)) – Emendamento 118 – Proposta di regolamento. Articolo 23 – Protezione fin dalla progettazione e protezione di default. Al momento di determinare le finalità e i mezzi del trattamento e all’ atto del trattamento stesso, l’eventuale responsabile del trattamento e incaricato del trattamento , tenuto conto dell’evoluzione tecnica, delle migliori prassi internazionali e dei rischi rappresentati dal trattamento dei dati , mette in atto misure e procedure tecniche e organizzative adeguate e proporzionate, in modo tale che il trattamento sia conforme al presente regolamento e assicuri la tutela dei diritti dell’interessato, con particolare riguardo ai principi di cui all’articolo 5 .

(11) Non a caso, laddove un programma per elaboratore debba essere impiegato, in infrastrutture critiche o, per esempio, per l’esecuzione di operazioni pagamento a mezzo carta di credito esso deve essere sottoposto, sin dalla sua progettazione, a rigidi test della sua sicurezza intrinseca. Cfr. PA-DSS (Payment Application Data Security Standard)..

(12) Amplius in: “Cyber resilience. The cyber risk challenge and the role of insurance. December 2014” – “Insuring cyber risk comes with a myriad of challenges – continually shifting threats, sparse loss data, multi-layered levels of interconnectivity – the list goes on. In order to be able to assess which policies may be triggered under different cyber attack scenarios, the CRO needs to create a strong and well-designed risk management framework. This will help organisations make sense of the cyber risk they have assumed and actively discuss, manage and monitor this risk, while providing assurance and expertise to clients”. In http://www.thecroforum.org/publications/best-practices-in-risk-management/ sito consultato e verificato il 22.05.2015.

Giuseppe Serafini, avvocato, BSI – ISO/IEC 27001:2013 Lead Auditor; Master Privacy Officer; Perfezionato presso la Facoltà di Giurisprudenza dell’Università degli Studi di Milano in Digital Forenscis, Cloud & Data Protection. Già docente di Informatica Giuridica presso la Scuola di Specializzazione in Professioni Legali di Perugia, L. Migliorini e collaboratore della cattedra di Informatica Giuridica della Facoltà di Giurisprudenza di Perugia; Relatore ed autore di numerose pubblicazioni in materia di Sicurezza delle Informazioni e Diritto delle nuove Tecnologie. Associato Cloud Security Alliance Italy Chapter e Digital Forensics Alumni.

Letiza Bassini, è dottoressa in Giurisprudenza ed è iscritta nel registro dei praticanti Avvocati dell’Ordine Forense di Perugia.