Michaela Zhirova e Marjo Koivisto | January 2020

Introduzione

Gli attacchi cibernetici sono quasi raddoppiati negli ultimi cinque anni, con un impatto stimato di 90 miliardi di dollari secondo il World Economic Forum.1 In effetti, il ritmo a cui le nuove tecnologie vengono introdotte in tutti i settori sta incrementando la superficie esposta agli attacchi cibernetici che alcuni operatori pericolosi sono in grado di sfruttare. Tutto questo non farà che aumentare con l’accelerazione delle prove e dei progetti pilota per la 5G. Gli attacchi informatici contro aziende e governi includono, tra gli altri, violazioni della privacy e della riservatezza, costosi furti di dati, compromissione dell’integrità e dell’accessibilità del sistema e distruzione dei dati. Inoltre, nonostante gli attacchi informatici diventino sempre più frequenti e sofisticati a un ritmo allarmante, le aziende sembrano investire troppo poco nella gestione del rischio informatico. In effetti, una delle due sfide principali individuate dai responsabili della sicurezza dell’informazione è la mancanza di risorse.

Questo White Papersugli investimenti responsabili illustra il motivo per cui consideriamo la cybersicurezza come un fattore di rischio ESG che si sta materializzando sempre più in tutti i settori, e affrontale principali implicazioni finanziarie degli incidenti informatici che abbiamo individuato per le imprese. Inoltre, abbiamo assegnato un punteggio all’esposizione alla minaccia informatica nei vari settori ed esprimiamo la nostra opinione su quelli ad alto rischio. Come parte del nostro impegno ESG, abbiamo sviluppato una prospettiva per includere le migliori pratiche nell’identificazione della minaccia informatica, nella governance, nella consapevolezza del contesto e nell’implementazione delle misure di sicurezza informatica. Proponiamo un questionario per aiutare a stabilire un benchmark di cyber-resilienza delle aziende e delineare le nostre aspettative in materia di migliori pratiche per le aziende al fine di esprimere la preparazione alla sicurezza informatica.

Principali cyber-attacchi:
cosa abbiamo imparato sulle implicazioni finanziarie per le imprese

Poiché l’individuazione, la valutazione e l’eliminazione degli attacchi informatici possono richiedere molto tempo e comportare perdite operative, i costi per le imprese continuano ad aumentare. Lo dimostrano alcuni dei più grandi attacchi di ransomware di tutti i tempi, ad esempio il caso di NotPetya. Nel 2017 l’attacco ransomware di NotPetya si è diffuso dai server ucraini a grandi aziende globali, causando danni superiori a 10 miliardi di dollari2 e colpendo i computer di tutto il mondo. NotPetya ha infettato società in numerosi settori, dai fornitori di servizi medici a una grande società logistica (A.P. Møller-Maersk), bloccandone le attività per più di 10 giorni (3)

Marriott è un’altra società di grandi dimensioni che è stata vittima di un attacco di ransomware importante. L’8 settembre 2018, uno strumento di sicurezza interna ha segnalato un tentativo di accesso sospetto al database interno di prenotazione degli ospiti per i marchi Starwood di Marriott. L’indagine interna ha accertato che la rete Starwood, acquisita da Marriott nel 2016, era stata compromessa nel corso del 2014. Secondo alcuni rapporti, al momento dell’attacco gli hotel ex Starwood non erano stati trasferiti nel sistema di prenotazione di Marriott e stavano ancora utilizzando le infrastrutture IT ereditate da Starwood. Durante l’indagine, Marriott ha scoperto che gli aggressori avevano criptato e tentato (probabilmente con successo) di rimuovere dati personali dai sistemi Starwood. Marriott è riuscita a decriptare i dati e ha scoperto che includevano informazioni provenienti da fino a 500 milioni di registrazioni, tra cui spesso informazioni estremamente sensibili come numeri di carte di credito e passaporti.

Le implicazioni finanziarie dell’incidente ransomware per Marriott sono state gravi. Nel luglio 2019 hanno ricevuto una multa da 126 milioni di dollari dal Regno Unito per via del Regolamento generale sulla protezione dei dati (GDPR). I loro utili nel secondo trimestre 2019 hanno registrato un calo del 65%, scendendo a 232 miliardi di dollari, 69 centesimi per azione.4 La catena alberghiera è stata inoltre multata per un importo di 1,5 milioni di lire turche (~ 265 000 $) dall’autorità turca per la protezione dei dati (non ai sensi della legislazione GDPR) per l’incidente, evidenziando come una violazione possa comportare diverse multe nel mondo. Infine, nel marzo 2019 è stata inflitta una multa da 28 milioni di dollari (che ha influito sul risultato della società per soli 3 milioni di dollari perché Marriott era coperta da una cyber-assicurazione).

La violazione nei confronti di Marriott è stata resa pubblica il 30 novembre 2018. Nel mese successivo alla
notizia, la quotazione azionaria di Marriott è scesa del 17%, anche se in un contesto di un dicembre comunque v volatile e dopo performance elevate nell’anno precedente.(5)

Le analisi empiriche del mercato dimostrano che gli investitori puniscono le società vittime di fughe di dati. Questo dovrebbe essere un forte incentivo per le aziende a concentrarsi su come attrezzarsi meglio per la sicurezza informatica. Un recente studio condotto su società quotate al NYSE che hanno fatto fronte a una violazione resa pubblica di 1 milione o più dati, ha dimostrato che i prezzi delle azioni hanno toccato il punto più basso circa due settimane dopo che la notizia è stata pubblica, registrando un calo medio del 7,27% e una sottoperformance del -4,18% rispetto al NASDAQ.6 Lo stesso studio ha riscontrato che, anche se l’incidenza della violazione sul prezzo delle azioni è diminuita nel tempo, i prezzi delle azioni di queste società hanno sottoperformato il mercato (su un intervallo di 1 o 2 anni).

Il cyber-rischio per la creazione di valore: l’impegno per la stima dell’impatto sui costi e sulle entrate

Dato che la previsione di singoli incidenti informatici non è certo una scienza esatta, è difficile dare un prezzo al rischio informatico. Inoltre, uno studio Deloitte ha recentemente suggerito che gli assicuratori esitano a sottoscrivere il cyber-rischio a causa delle sfide della modellazione finanziaria di un obiettivo in movimento, poiché emergono regolarmente nuovi pericoli e tipi di attacco7. Detto questo, gli attacchi di alto profilo hanno anche portato a una sottoscrizione più sofisticata, e in effetti i fornitori di assicurazione informatica indicano che negli ultimi 3-4 anni, gli input di modellazione basati su scenari sono diventati sempre più uniformi tra i principali fornitori di cyber-assicurazione(8)

In uno studio del 2019 sulle società G2000, Accenture ha dichiarato che il costo medio globale degli attacchi cyber-criminali per azienda nel 2017 è stato pari a 11,7 milioni di dollari, ma il costo medio, insieme al numero di violazioni, era aumentato di 1,3 milioni di dollari su base annua.9 Per le società a piccola/media capitalizzazione, con meno risorse dedicate all’IT e alla resilienza informatica operativa, il costo potrebbe essere ancora più elevato. Tuttavia, la divulgazione dei costi degli incidenti è limitata, così come l’unicità dei costi per incidente, ad esempio i tempi di fermo o la spesa necessaria per la sicurezza informatica. Pertanto, in questo documento non cerchiamo di stimare i costi.

Abbiamo invece mappato i settori in cui la creazione di valore è più esposta agli incidenti informatici. Ci concentriamo su alcuni dei settori più vulnerabili, stimando quale parte dell’attività di una società potrebbe essere più a rischio. Per evitare di entrare nei dettagli tecnici, il nostro punteggio ha sintetizzato il rischio a

un livello elevato. Per arrivare a un punteggio settoriale, abbiamo valutato i settori in base a tre gruppi di indicatori: Potenziale di danno (a beni, persone, ambiente o perturbazione), tipo di debolezza del sistema (mancanza di consapevolezza, competenza o comunicazione) ed esposizione (modello commerciale sensibile, memorizzazione di dati preziosi o sensibili). Per i rating settoriali del primo e del terzo gruppo di indicatori, abbiamo analizzato i modelli operativi dei settori in questione al fine di individuare gli impatti rilevanti. Un secondo gruppo di indicatori prende in considerazione le potenziali debolezze nella prassi: preparazione e governance, età dei sistemi, consapevolezza, competenza e comunicazione.

Per valutare questo gruppo, abbiamo esaminato circa 30 documenti commerciali, documenti di conferenza CISO e studi di consulenza per arrivare a una comprensione delle questioni sistemiche più comuni in un determinato settore. Un’ulteriore dimensione dell’esposizione dipende dal fatto che il modello di business si basi o meno su dati, o se le aziende del settore tendano a conservare dati particolarmente sensibili o preziosi. In parole povere, abbiamo valutato le aziende tenendo conto della governance più o meno adeguata del rischio cibernetico, dell’aggiornamento dei loro sistemi, dell’accesso al know-how necessario e del grado di comunicazione tra le diverse parti dell’organizzazione sufficiente per integrare in modo efficace le soluzioni di sicurezza

I settori più esposti si suddividono grosso modo in due gruppi: industriale e manifatturiero. Entrambi ottengono un punteggio medio-alto per l’esposizione, ma vengono trascinati verso il basso dalla mancanza di investimenti in sistemi e competenze.

I sistemi nei settori della ristorazione e del tempo libero tendono a mancare in modo significativo della complessità necessaria per soddisfare le richieste di trattamento dei dati sensibili dei clienti che vi sono registrati.

Alcune informazioni sulle nostre aspettative per le società

Poiché non esiste una “botte di ferro” contro gli attacchi informatici, le aziende dovrebbero mirare a essere abbastanza preparate a rispondere a potenziali casi di violazione informatica.

Una delle azioni chiave dovrebbe essere il raggiungimento di una comprensione chiara di quali parti del modello di business (ricavi) siano più esposte a rischi informatici ingenti. In base a quanto precede, un incidente potrebbe bloccare le operazioni per giorni interi, con conseguente perdita immediata di entrate contratte. Prendiamo, ad esempio, il settore delle telecomunicazioni, che tende ad essere preparato meglio rispetto ai casi ad alto rischio sopracitati. Una grande società di telecomunicazioni potrebbe derivare circa il 20-30% delle sue entrate totali da servizi alle imprese e gli introiti aziendali in gestione potrebbero essere disciplinati da accordi di livello di servizio conclusi con i clienti. I clienti potrebbero farvi ricorso in caso di violazione, scaricando la responsabilità sul fornitore di servizi. Per fare un altro esempio, le società digitali, il cui prodotto principale è il codice sorgente, non sarebbero in grado di vendere il loro prodotto se il codice venisse violato, con conseguenti perdite di profitto ancora più gravi.

Un’altra preoccupazione fondamentale espressa dai CISO è che le aziende, in generale, non investono a sufficienza nella prevenzione degli incidenti cibernetici. Secondo uno studio IBM10, le aziende dovrebbero idealmente spendere il 14% del loro budget IT per la cyber-sicurezza, ma se si analizzano le medie settoriali (ad esempio 3,73% del fatturato per le società IT) osservando i ricavi del 2018, risulta chiaro che le società stanno spendendo troppo poco. È complicato per le aziende divulgare pubblicamente il loro budget di spesa per la cyber-sanità, ma pensiamo che gli investitori debbano chiedere dettagli.

Cosa ci aspettiamo dalle società che si preparano alla sicurezza informatica.

Nell’ambito della nostra ricerca, abbiamo sviluppato un questionario sulla preparazione alla sicurezza informatica per le società in cui investiamo, con l’obiettivo di comprendere la nostra esposizione al rischio informatico in tali investimenti. Il nostro questionario ha 17 domande, focalizzate sull’individuazione, la gestione, l’implementazione e il calcolo dell’esposizione al rischio cibernetico rilevante.

Abbiamo dedotto le migliori pratiche dalle risposte ricevute da vari settori al nostro questionario, delineando quattro aspettative principali relative alla preparazione informatica:

1. Individuazione del rischio informatico: L’inconsapevolezza da parte di un’azienda dei rischi informatici più ingenti per il proprio business è un segnale di allarme Ci aspettiamo che la propensione al rischio aziendale sia commisurata alla consapevolezza dei rischi informatici principali del business, e ci aspettiamo di vedere una strategia informatica concreta. Ad esempio, un bene come un codice sorgente deve essere protetto in modo differenziato dai dati personali.
2. Governance: la cyber-resilienza dovrebbe essere una questione discussa a livello di consiglio di amministrazione. Le politiche in materia di priorità e di dati dovrebbero avere un’ampia applicazione, coprendo i terzied esprimendo uno standard minimo richiesto per fare affari con tali terzi. Privilegiamo la presenza di un controllo trimestrale delle competenze informatiche a livello di consiglio di amministrazione.
3. Contesto: la miglior prassi consiste nell’essere consapevoli della necessità di un ecosistema più forte in fatto di resilienza informatica. La miglior prassi per il contesto e l’ecosistema è la condivisione delle conoscenze e la collaborazione sulle priorità con gli altri operatori.
4. Implementazione: Le aziende con le migliori pratiche dispongono di solidi processi di anticipazione degli incidenti e di “contenimento del danno”. Ci aspettiamo inoltre che le società che attuano le migliori pratiche integrino la cyber-sicurezza a livello di prodotto nelle prime fasi di sviluppo e gestiscano gli asset informatici e i costi in modo efficace.

(1) World Economic Forum, The Cybersecurity Guide for Leaders in Today’s Digital World, 2019.
(2) Fonte: The Untold Story of NotPetya, the Most Devastating Cyberattack in History, 2018 Wired Magazine.
(3) Maersk non è stata l’unica società a subire un tracollo informatico causato da NotPetya: Il produttore di alimenti e bevande Mondelez, il colosso farmaceutico Merck, l’agenzia pubblicitaria WPP, il produttore di prodotti per la salute e l’igiene Reckitt Benckiser, la società francese di costruzioni Saint Gobain e la controllata europea di FedEx TNT Express sono soltanto alcune tra le migliaia di multinazionali colpite..
(4) Fonte: Marriott Takes $126 Million Charge Related to Data Breach, 2019 Wall Street Journal.
(5) Secondo gli analisti, il titolo di Marriott avrebbe dovuto registrare una correzione nel 2018, dopo essere salito del 64% nel 2017. Tuttavia, la pressione si è fatta più pronunciata nella seconda metà del 2018 a causa di una confluenza di fattori, e poi nello specifico per via delle notizie sulla violazione informatica.
(6) Bischoff, Paul, Comparitech: How Data Breaches Affect Stock Market Share Prices, 28 Nov 2019.
(7) Fonte: Deloitte, 2018
(8) The cyber insurance market is estimated to be in the low billions of dollars. Fitch estimates that in 2018, cyber insurance total written premiums grew 8% to USD2 billion. Source: Fitch Ratings 2019,“Cyber Insurance Growth Slows, Market Remains Untested,” May 14, 2019.
(9) Ponemon Institute LLC and Accenture, The Cost of Cybercrime, 2019.
(10) The Wall Street Journal, IT spending: From value preservation to value creation, 12 Mar 2018.