Sicurezza informatica come argomento di compliance: le implicazioni legali

Un attacco informatico è anche un’insidia legale in un campo minato. Al fine di muoversi in modo conforme alle leggi vigenti e allo stesso tempo consentire una difesa appropriata contro un attacco informatico, sono necessarie soluzioni sviluppate e implementate in anticipo. Ecco in che modo

Le carenze nella sicurezza IT possono comportare costi elevatissimi. Tuttavia, la maggior parte delle persone in questo ambito non adotta misure di prevenzione adeguate, se non quando è troppo tardi. La giusta prevenzione/preparazione per un attacco informatico non è necessaria solo per motivi economici, ma anche da un punto di vista legale.

Al fine di affrontare correttamente un’implementazione, è necessario adottare un approccio pianificato: la sicurezza informatica è infatti una questione trasversale di argomenti legali, organizzativi e tecnici. Misure efficaci possono essere sviluppate solo da coloro che operano in tutti e tre i settori con le necessarie competenze.

Oggi si considerano gli attacchi alla sicurezza informatica come “la più grande minaccia per le aziende e le istituzioni”. Questi attacchi sono un settore di attività economica e redditizia per la criminalità organizzata con conseguenze disastrose per le aziende colpite. L’intera produzione rischia di essere bloccata e spesso, a differenza ad esempio dello spionaggio di situazioni interne all’azienda, un attacco non può essere nascosto, ma risulta immediatamente visibile e tangibile.

Pagare i riscatti richiesti spesso sembra una soluzione interessante. Le richieste di riscatto per le PMI sono di solito “su misura” risultando sostenibili. Naturalmente, le autorità sconsigliano vivamente di farlo perché questo promuove il modello di business criminale. Anche la situazione giuridica non è chiara al riguardo. Ad esempio, il “sostegno alle organizzazioni criminali” potrebbe essere persino punibile ai sensi del codice penale? Rientrerebbe nel solo ambito della normativa italiana?

Legalmente, tuttavia, questa non è l’unica domanda che le aziende devono porsi. Oltre alle implicazioni del diritto penale, gli attacchi alla sicurezza informatica delle aziende spesso riguardano anche settori come la protezione dei dati e dei segreti aziendali o la responsabilità civile generale e l’assicurazione.

Per muoversi in questo campo minato di insidie legali in modo legalmente sicuro e allo stesso tempo per consentire una difesa o un’elaborazione appropriata dell’attacco, sono necessarie soluzioni che siano state elaborate in anticipo. Durante uno scenario di attacco infatti, non c’è tempo per farlo. In caso di attacco al sistema informatico, una reazione rapida è esistenziale. Nulla può essere dimenticato in caso di emergenza, i processi dovrebbero essere testati in anticipo.

Come si impara la cyber security: ecco le nozioni di base necessarie

Indice degli argomenti

Cosa fare prima di un attacco: la “preparazione”

Alla luce di quanto detto finora, quindi, è importante prevedere una fase preparatoria a un eventuale attacco. Ecco le fasi che è necessario prevedere.

Istituire e formare di un team di professionisti nei settori della gestione, legale, IT, protezione dei dati, comunicazione, come task force per affrontare un attacco.
È importante in termini di composizione, che la task force sia adeguatamente addestrata e autorizzata a prendere decisioni, perché è qui che si definiscono le strategie. Definire le regole di ingaggio. Nel caso non fossero previste figure interne, è anche possibile richiedere dei servizi SOC (Security Operation Center) ad aziende specializzate.
Creare un concept di comunicazione sia all’interno dell’azienda che nei confronti dei partner commerciali.
Sviluppare un codice di condotta per i dipendenti – in particolare sulla gestione dell’IT aziendale.
Implementare tecniche e tecnologie di difesa, che prevedano ad esempio l’arresto controllato o la quarantena dei sistemi interessati, nonché l’uso tempestivo di ripristino e sistemi di sostituzione per ridurre al minimo il rischio di fermi di produzione. Implementare tecnologie che consentano alla task force di analizzare in tempo reale quanto accade in azienda.
Rivedere i contratti con i fornitori inserendo, quando possibile, adeguate clausole contrattuali che riguardino la sicurezza informatica.

Misure efficaci in caso di attacco: la risposta agli incidenti

Completata la fase preparatoria, è quindi necessario adottare le misure immediate più efficaci in caso di attacco informatico.

Abilitare la task force aziendale, identificare il perimetro di attacco, le tipologie e gli obiettivi. Attivare gli Incident Responder.
Mitigare l’attacco considerando che eventuali azioni di mitigazione possono cancellare o rendere inutilizzabili evidenze di attacco. È possibile rivolgersi professionisti forensi IT per l’acquisizione e la conservazione delle prove.
Contattare le autorità competenti.
Ottemperare agli obblighi di segnalazione in materia di protezione dei dati alle autorità di controllo (art. 33 GDPR) e agli interessati (art. 34 GDPR). Le finestre temporali sono brevi qui (rispetto alla supervisione solo 72 ore).

Cos’altro è importante

Ovviamente, una corretta preparazione e una tempestiva risposta agli incidenti informatici da sole non bastano per evitare possibili implicazioni legali.

In particolare, sono importanti anche:

il coinvolgimento dell’assicurazione, in particolare se gli incidenti di sicurezza informatica sono coperti dalla copertura assicurativa;
la difesa da pretese di terzi (clienti/fornitori);
l’esame dei reclami nei confronti dei fornitori IT utilizzati;
la prevenzione dei rischi di attacco futuri attraverso l’hardening tecnico dell’infrastruttura utilizzata, la formazione dei dipendenti in merito ai rischi per la sicurezza e, se necessario, la simulazione continua di scenari di attacco (“penetration test”).

Il collegamento tra sicurezza IT, protezione dati e conformità

Molte di queste misure rientrano nel termine generico “conformità“, diventando sempre più al centro della gestione aziendale. La conformità non è un termine legale fisso, ma un termine collettivo per tutte le misure necessarie di un’azienda che sono necessarie per rispettare tutte le leggi e le linee guida applicabili alla società.

In Germania, ad esempio, non esiste una legge che stabilisca obblighi e requisiti specifici per la protezione dei dati aziendali o la sicurezza informatica.

Tuttavia, se, ad esempio, i segreti commerciali o simili vengono persi a causa di una sicurezza IT insufficiente, ciò può innescare considerevoli richieste di risarcimento danni, per non parlare del danno reputazionale associato.

Il perimetro si amplia quando le aziende approcciano a norme quali ISO 27001, o altre riguardanti la Business Continuity ad esempio, o standard specifici di settore come quelli in via di sviluppo per il settore automotive.

Il mantenimento delle relative certificazioni e quindi delle conformità, è indispensabile per certi settori e per certi business. Bisogna ricordare che molte di queste norme richiedono l’implementazione di nuovi processi, che a loro volta richiedono l’implementazione di nuove tecniche e tecnologie per poterli eseguire, e probabilmente richiedono anche nuovo personale, di certo nuove competenze.

Responsabilità del management esecutivo

In questo contesto, la direzione aziendale – come gli amministratori delegati – è responsabile dell’organizzazione dell’azienda in modo tale che le normative sulla protezione dei dati siano rispettate e l’azienda sia adeguatamente protetta dagli attacchi alla sicurezza IT.

Naturalmente, non devono occuparsi di queste questioni da soli. Piuttosto, devono garantire che i dipartimenti appropriati siano istituiti in azienda e quindi monitorati per garantire che svolgano correttamente i loro compiti.

Tuttavia, se questi obblighi organizzativi e di monitoraggio non sono sufficientemente adempiuti e la società è quindi danneggiata, vi è anche una responsabilità personale degli amministratori delegati.

Questa interazione tra la protezione dei dati aziendali, la protezione dei dati dei clienti e la responsabilità personale della direzione da un lato e il potenziale danno (reputazionale) dall’altro richiedono un’infrastruttura IT funzionante e sicura.

Non trascurare la protezione dei dati dei dipendenti

A differenza della protezione dei dati aziendali, la protezione dei dati personali è codificata in modo completo, in particolare nel GDPR.

Le violazioni possono comportare multe salate (4% del turnover annuo). Nel rapporto di lavoro, ad esempio, i dati personali dei dipendenti vengono costantemente elaborati. La protezione di questi dati in conformità con i requisiti legali esistenti è quindi uno degli obblighi legali che le aziende devono osservare nell’ambito della loro organizzazione di conformità, oltre a un gran numero di altre questioni di diritto del lavoro, come la legge sull’orario di lavoro, la legge sulla salute e la sicurezza sul lavoro, la legge sul lavoro temporaneo, la legge sulla sicurezza sociale o la legge sull’imposta sui salari.

Allo stesso tempo, la protezione dei dati dei dipendenti influenza l’implementazione delle regole di conformità esistenti. Ad esempio, i sistemi di segnalazione interni, con i quali i dipendenti possono attirare l’attenzione sui reclami esistenti, devono essere progettati in modo tale che i dipendenti rimangano davvero anonimi nelle loro informazioni.

A questo proposito, la protezione dei dati dei dipendenti influenza anche la progettazione e l’implementazione delle linee guida di conformità e non può essere separata da questo solo per questo motivo.