Libro bianco: Cyber-sicurezza

Cosa devono sapere i settori in viaggio verso la digitalizzazione sui rischi in merito alla creazione di valore

Michaela Zhirova e Marjo Koivisto    |   January   2020

Introduzione

Gli attacchi cibernetici sono quasi raddoppiati negli ultimi cinque anni, con un impatto stimato di 90 miliardi di dollari secondo il World Economic Forum.1 In effetti, il ritmo a cui le nuove tecnologie vengono introdotte in tutti i settori sta incrementando la superficie esposta agli attacchi cibernetici che alcuni operatori pericolosi sono in grado di sfruttare. Tutto questo non farà che aumentare con l’accelerazione delle prove e dei progetti pilota per la 5G. Gli attacchi informatici contro aziende e governi includono, tra gli altri, violazioni della privacy e della riservatezza, costosi furti di dati, compromissione dell’integrità e dell’accessibilità del sistema e distruzione dei dati. Inoltre, nonostante gli attacchi informatici diventino sempre più frequenti e sofisticati a un ritmo allarmante, le aziende sembrano investire troppo poco nella gestione del rischio informatico. In effetti, una delle due sfide principali individuate dai responsabili della sicurezza dell’informazione è la mancanza di risorse.

Questo White Papersugli investimenti responsabili illustra il motivo per cui consideriamo la cybersicurezza come un fattore di rischio ESG che si sta materializzando sempre più in tutti i settori, e affrontale principali implicazioni finanziarie degli incidenti informatici che abbiamo individuato per le imprese. Inoltre, abbiamo assegnato un punteggio all’esposizione alla minaccia informatica nei vari settori ed esprimiamo la nostra opinione su quelli ad alto rischio. Come parte del nostro impegno ESG, abbiamo sviluppato una prospettiva per includere le migliori pratiche nell’identificazione della minaccia informatica, nella governance, nella consapevolezza del contesto e nell’implementazione delle misure di sicurezza informatica. Proponiamo un questionario per aiutare a stabilire un benchmark di cyber-resilienza delle aziende e delineare le nostre aspettative in materia di migliori pratiche per le aziende al fine di esprimere la preparazione alla sicurezza informatica.

image

Digital cybersecurity and network protection concept.

Principali cyber-attacchi:
cosa abbiamo imparato sulle implicazioni finanziarie per le imprese

Poiché l’individuazione, la valutazione e l’eliminazione degli attacchi informatici possono richiedere molto tempo e comportare perdite operative, i costi per le imprese continuano ad aumentare. Lo dimostrano alcuni dei più grandi attacchi di ransomware di tutti i tempi, ad esempio il caso di NotPetya. Nel 2017 l’attacco ransomware di NotPetya si è diffuso dai server ucraini a grandi aziende globali, causando danni superiori a 10 miliardi di dollari2  e colpendo i computer di tutto il mondo. NotPetya ha infettato società in numerosi settori, dai fornitori di servizi medici a una grande società logistica (A.P. Møller-Maersk), bloccandone le attività per più di 10 giorni (3)

Marriott è un’altra società di grandi dimensioni che è stata vittima di un attacco di ransomware importante. L’8 settembre 2018, uno strumento di sicurezza interna ha segnalato un tentativo di accesso sospetto al database interno di prenotazione degli ospiti per i marchi Starwood di Marriott. L’indagine interna ha accertato che la rete Starwood, acquisita da Marriott nel 2016, era stata compromessa nel corso del 2014. Secondo alcuni rapporti, al momento dell’attacco gli hotel ex Starwood non erano stati trasferiti nel sistema di prenotazione di Marriott e stavano ancora utilizzando le infrastrutture IT ereditate da Starwood. Durante l’indagine, Marriott ha scoperto che gli aggressori avevano criptato e tentato (probabilmente con successo) di rimuovere dati personali dai sistemi Starwood. Marriott è riuscita a decriptare i dati e ha scoperto che includevano informazioni provenienti da fino a 500 milioni di registrazioni, tra cui spesso informazioni estremamente sensibili come numeri di carte di credito e passaporti.

Le implicazioni finanziarie dell’incidente ransomware per Marriott sono state gravi. Nel luglio 2019 hanno ricevuto una multa da  126 milioni di dollari dal Regno Unito per via del Regolamento generale sulla protezione dei dati (GDPR). I loro utili nel secondo trimestre 2019 hanno registrato un calo del 65%, scendendo a 232 miliardi di dollari, 69 centesimi per azione.4 La catena alberghiera è stata inoltre multata per un importo di 1,5 milioni di lire turche (~ 265 000 $) dall’autorità turca per la protezione dei dati (non ai sensi della legislazione GDPR) per l’incidente, evidenziando come una violazione possa comportare diverse multe nel mondo. Infine, nel marzo 2019 è stata inflitta una multa da 28 milioni di dollari (che ha influito sul risultato della società per soli 3 milioni di dollari perché Marriott era coperta da una cyber-assicurazione).

La violazione nei confronti di Marriott è stata resa pubblica il 30 novembre 2018. Nel mese successivo alla
notizia, la quotazione azionaria di Marriott è scesa del 17%, anche se in un contesto di un dicembre comunque v volatile e dopo performance elevate nell’anno precedente.(5)

image
‘ Poiché l’individuazione, la valutazione e l’eliminazione degli attacchi informatici possono richiedere molto tempo e comportare perdite operative, i costi per le aziende continuano ad aumentare. ‘ 

Le analisi empiriche del mercato dimostrano che gli investitori puniscono le società vittime di fughe di dati.  Questo dovrebbe essere un forte incentivo per le aziende a concentrarsi su come attrezzarsi meglio per la sicurezza informatica. Un recente studio condotto su società quotate al NYSE che hanno fatto fronte a una violazione resa pubblica di 1 milione o più dati, ha dimostrato che i prezzi delle azioni hanno toccato il punto più basso circa due settimane dopo che la notizia è stata pubblica, registrando un calo medio del 7,27% e una sottoperformance del -4,18% rispetto al NASDAQ.6 Lo stesso studio ha riscontrato che, anche se l’incidenza della violazione sul prezzo delle azioni è diminuita nel tempo, i prezzi delle azioni di queste società hanno sottoperformato il mercato (su un intervallo di 1 o 2 anni).

Il cyber-rischio per la creazione di valore: l’impegno per la stima dell’impatto sui costi e sulle entrate

Dato che la previsione di singoli incidenti informatici non è certo una scienza esatta, è difficile dare un prezzo al rischio informatico. Inoltre, uno studio Deloitte ha recentemente suggerito che gli assicuratori esitano a sottoscrivere il cyber-rischio  a causa delle sfide della modellazione finanziaria di un obiettivo in movimento, poiché emergono regolarmente nuovi pericoli e tipi di attacco7. Detto questo, gli attacchi di alto profilo hanno anche portato a una sottoscrizione più sofisticata, e in effetti i fornitori di assicurazione informatica indicano che negli ultimi 3-4 anni, gli input di modellazione basati su scenari sono diventati sempre più uniformi tra i principali fornitori di cyber-assicurazione(8)

In uno studio del 2019 sulle società G2000, Accenture ha dichiarato che il costo medio globale degli attacchi cyber-criminali per azienda nel 2017 è stato pari a 11,7 milioni di dollari, ma il costo medio, insieme al numero di violazioni, era aumentato di 1,3 milioni di dollari su base annua.9 Per le società a piccola/media capitalizzazione, con meno risorse dedicate all’IT e alla resilienza informatica operativa, il costo potrebbe essere ancora più elevato. Tuttavia, la divulgazione dei costi degli incidenti è limitata, così come l’unicità dei costi per incidente, ad esempio i tempi di fermo o la spesa necessaria per la sicurezza informatica. Pertanto, in questo documento non cerchiamo di stimare i costi.

Abbiamo invece mappato i settori in cui la creazione di valore è più esposta agli incidenti informatici. Ci concentriamo su alcuni dei settori più vulnerabili, stimando quale parte dell’attività di una società potrebbe essere più a rischio. Per evitare di entrare nei dettagli tecnici, il nostro punteggio ha sintetizzato il rischio a

un livello elevato. Per arrivare a un punteggio settoriale, abbiamo valutato i settori in base a tre gruppi di indicatori: Potenziale di danno (a beni, persone, ambiente o perturbazione), tipo di debolezza del sistema (mancanza di consapevolezza, competenza o comunicazione) ed esposizione (modello commerciale sensibile, memorizzazione di dati preziosi o sensibili). Per i rating settoriali del primo e del terzo gruppo di indicatori, abbiamo analizzato i modelli operativi dei settori in questione al fine di individuare gli impatti rilevanti. Un secondo gruppo di indicatori prende in considerazione le potenziali debolezze nella prassi: preparazione e governance, età dei sistemi, consapevolezza, competenza e comunicazione.

Per valutare questo gruppo, abbiamo esaminato circa 30 documenti commerciali, documenti di conferenza CISO e studi di consulenza per arrivare a una comprensione delle questioni sistemiche più comuni in un determinato settore. Un’ulteriore dimensione dell’esposizione dipende dal fatto che il modello di business si basi o meno su dati, o se le aziende del settore tendano a conservare dati particolarmente sensibili o preziosi. In parole povere, abbiamo valutato le aziende tenendo conto della governance più o meno adeguata del rischio cibernetico, dell’aggiornamento dei loro sistemi, dell’accesso al know-how necessario e del grado di comunicazione tra le diverse parti dell’organizzazione sufficiente per integrare in modo efficace le soluzioni di sicurezza

I settori più esposti si suddividono grosso modo in due gruppi: industriale e manifatturiero. Entrambi ottengono un punteggio medio-alto per l’esposizione, ma vengono trascinati verso il basso dalla mancanza di investimenti in sistemi e competenze.

I sistemi nei settori della ristorazione e del tempo libero tendono a mancare in modo significativo della complessità necessaria per soddisfare le richieste di trattamento dei dati sensibili dei clienti che vi sono registrati.

‘ Una preoccupazione fondamentale espressa dai CISO è che le aziende, in generale, non spendono a sufficienza per la preparazione in materia di incidenti informatici. ‘

Alcune informazioni sulle nostre aspettative per le società

Poiché non esiste una “botte di ferro” contro gli attacchi informatici, le aziende dovrebbero mirare a essere abbastanza preparate a rispondere a potenziali casi di violazione informatica.

Una delle azioni chiave dovrebbe essere il raggiungimento di una comprensione chiara di quali parti del modello di business (ricavi) siano più esposte a rischi informatici ingenti. In base a quanto precede, un incidente potrebbe bloccare le operazioni per giorni interi, con conseguente perdita immediata di entrate contratte. Prendiamo, ad esempio, il settore delle telecomunicazioni, che tende ad essere preparato meglio rispetto ai casi ad alto rischio sopracitati. Una grande società di telecomunicazioni potrebbe derivare circa il 20-30% delle sue entrate totali da servizi alle imprese e gli introiti aziendali in gestione potrebbero essere disciplinati da accordi di livello di servizio conclusi con i clienti. I clienti potrebbero farvi ricorso in caso di violazione, scaricando la responsabilità sul fornitore di servizi. Per fare un altro esempio, le società digitali, il cui prodotto principale è il codice sorgente, non sarebbero in grado di vendere il loro prodotto se il codice venisse violato, con conseguenti perdite di profitto ancora più gravi.

Un’altra preoccupazione fondamentale espressa dai CISO è che le aziende, in generale, non investono a sufficienza nella prevenzione degli incidenti cibernetici. Secondo uno studio IBM10, le aziende dovrebbero idealmente spendere il 14% del loro budget IT per la cyber-sicurezza, ma se si analizzano le medie settoriali (ad esempio 3,73% del fatturato per le società IT) osservando i ricavi del 2018, risulta chiaro che le società stanno spendendo troppo poco. È complicato per le aziende divulgare pubblicamente il loro budget di spesa per la cyber-sanità, ma pensiamo che gli investitori debbano chiedere dettagli.

image

Dati binari sui grattacieli

Cosa ci aspettiamo dalle società che si preparano alla sicurezza informatica.

Nell’ambito della nostra ricerca, abbiamo sviluppato un questionario sulla preparazione alla sicurezza informatica per le società in cui investiamo, con l’obiettivo di comprendere la nostra esposizione al rischio informatico in tali investimenti. Il nostro questionario ha 17 domande, focalizzate sull’individuazione, la gestione, l’implementazione e il calcolo dell’esposizione al rischio cibernetico rilevante.

Abbiamo dedotto le migliori pratiche dalle risposte ricevute da vari settori al nostro questionario, delineando quattro aspettative principali relative alla preparazione informatica:

  1. Individuazione del rischio informatico: L’inconsapevolezza da parte di un’azienda dei rischi informatici più ingenti per il proprio business è un segnale di allarme Ci aspettiamo che la propensione al rischio aziendale sia commisurata alla consapevolezza dei rischi informatici principali del business, e ci aspettiamo di vedere una strategia informatica concreta. Ad esempio, un bene come un codice sorgente deve essere protetto in modo differenziato dai dati personali.
  2. Governance: la cyber-resilienza dovrebbe essere una questione discussa a livello di consiglio di amministrazione.  Le politiche in materia di priorità e di dati dovrebbero avere un’ampia applicazione, coprendo i terzied esprimendo uno standard minimo richiesto per fare affari con tali terzi.  Privilegiamo la presenza di un controllo trimestrale delle competenze informatiche a livello di consiglio di amministrazione.
  3. Contesto: la miglior prassi consiste nell’essere consapevoli della necessità di un ecosistema più forte in fatto di resilienza informatica. La miglior prassi per il contesto e l’ecosistema è la condivisione delle conoscenze e la collaborazione sulle priorità con gli altri operatori.
  4. Implementazione: Le aziende con le migliori pratiche dispongono di solidi processi di anticipazione degli incidenti e di “contenimento del danno”. Ci aspettiamo inoltre che le società che attuano le migliori pratiche integrino la cyber-sicurezza a livello di prodotto nelle prime fasi di sviluppo e gestiscano gli asset informatici e i costi in modo efficace.

Conclusioni

Le immense opportunità commerciali offerte dalla digitalizzazione possono costare una fortuna se le aziende non si preparano adeguatamente agli attacchi informatici. La mancanza di investimenti nei sistemi di sicurezza informatica e nelle competenze, la mancanza della complessità necessaria per soddisfare le richieste di elaborazione dei dati sensibili dei clienti e l’inesistenza di piani di recupero post-incidenti rappresentano per noi segnali d’allarme rosso nei settori ad alto rischio. In questo documento, abbiamo fatto riferimento ai dati di mercato che indicano che gli investitori naturalmente reagiscono agli incidenti informatici e a come vengono gestiti dalle aziende. Abbiamo riflettuto su dove potrebbero essere registrate le implicazioni finanziarie degli incidenti informatici. Infine, in conclusione della nostra analisi, abbiamo offerto le nostre aspettative sulle migliori pratiche di resilienza per la cyber-sicurezza.

(1) World Economic Forum, The Cybersecurity Guide for Leaders in Today’s Digital World, 2019.
(2)  Fonte: The Untold Story of NotPetya, the Most Devastating Cyberattack in History, 2018 Wired Magazine.
(3) Maersk non è stata l’unica società a subire un tracollo informatico causato da NotPetya: Il produttore di alimenti e bevande Mondelez, il colosso farmaceutico Merck, l’agenzia pubblicitaria WPP, il produttore di prodotti per la salute e l’igiene Reckitt Benckiser, la società francese di costruzioni Saint Gobain e la controllata europea di FedEx TNT Express sono soltanto alcune tra le migliaia di multinazionali colpite..
(4) Fonte: Marriott Takes $126 Million Charge Related to Data Breach, 2019 Wall Street Journal.
(5) Secondo gli analisti, il titolo di Marriott avrebbe dovuto registrare una correzione nel 2018, dopo essere salito del 64% nel 2017. Tuttavia, la pressione si è fatta più pronunciata nella seconda metà del 2018 a causa di una confluenza di fattori, e poi nello specifico per via delle notizie sulla violazione informatica.
(6) Bischoff, Paul, Comparitech: How Data Breaches Affect Stock Market Share Prices, 28 Nov 2019.
(7) Fonte: Deloitte, 2018
(8) The cyber insurance market is estimated to be in the low billions of dollars. Fitch estimates that in 2018, cyber insurance total written premiums grew 8% to USD2 billion. Source: Fitch Ratings 2019,“Cyber Insurance Growth Slows, Market Remains Untested,” May 14, 2019.
(9) Ponemon Institute LLC and Accenture, The Cost of Cybercrime, 2019.
(10) The Wall Street Journal, IT spending: From value preservation to value creation, 12 Mar 2018.

Nordea Asset Management è il nome funzionale delle attività di asset management svolte dalle persone giuridiche, Nordea Investment Funds S.A. e Nordea Investment Management AB (“Entità Legali”) e le loro filiali, società controllate e succursale. Il presente documento ha lo scopo di fornire al lettore informazioni su specifiche capacità di Nordea. Il presente documento (ed eventuali pareri o opinioni ivi contenute) non costituisce una consulenza d’investimento e non costituisce una raccomandazione all’investimento in particolari prodotti, strumenti o strutture d’investimento, all’apertura o alla chiusura di qualsivoglia operazione o alla partecipazione a una particolare strategia di trading. Questo documento non costituisce un’offerta né una sollecitazione di un’offerta ad acquistare o vendere titoli o strumenti o a partecipare a tale strategia di trading. Eventuali offerte di questo tipo possono essere effettuate esclusivamente mediante un Memorandum di offerta o un analogo accordo contrattuale. Ne consegue che le informazioni qui contenute saranno sostituite nella loro interezza da tale Memorandum di offerta o accordo contrattuale nella sua forma definitiva. Qualsiasi decisione di investimento dovrebbe pertanto essere effettuata unicamente sulla base della documentazione legale definitiva, che include, senza limitazioni e ove applicabile, il Memorandum di offerta, l’accordo contrattuale, l’eventuale prospetto informativo pertinente e l’ultimo Documento di Informazioni chiave per gli investitori (ove applicabile) relativo all’investimento. L’adeguatezza di un investimento o di una strategia dipenderà dalle condizioni e dagli obiettivi dell’investitore. Nordea Investment Management AB raccomanda agli investitori di valutare in maniera indipendente i singoli investimenti e le strategie e inoltre incoraggia gli investitori a chiedere il parere di consulenti finanziari indipendenti, qualora lo ritengano necessario. Eventuali prodotti, titoli, strumenti o strategie menzionate nel presente documento potrebbero non applicarsi a tutti gli investitori. Le informazioni contenute nel presente documento provengono da svariate fonti. Sebbene le presenti informazioni siano considerate esatte, non è possibile rilasciare alcuna dichiarazione o garanzia in merito alla loro assoluta accuratezza o completezza e gli investitori possono utilizzare altre fonti in modo da operare una scelta d’investimento informata. Le controparti o gli investitori potenziali sono invitati a rivolgersi al/ai proprio/i consulente/i professionale/i in materia fiscale, legale, contabile e di altro tipo per conoscere le possibili conseguenze di un dato investimento, inclusi i suoi possibili rischi e benefici. Le controparti o gli investitori potenziali dovrebbero inoltre comprendere appieno la natura dell’eventuale investimento e accertarsi di aver effettuato una valutazione indipendente circa l’adeguatezza di tale investimento potenziale, esclusivamente sulla base delle proprie intenzioni e ambizioni. Gli investimenti in strumenti derivati e le operazioni in valuta estera possono essere soggetti a oscillazioni significative che possono influire sul valore degli investimenti stessi. Gli investimenti nei Mercati emergenti implicano un rischio più elevato. Il valore dell’investimento può variare in misura significativa e non può essere garantito. Gli investimenti in titoli di capitale e di debito emessi dalle banche rischiano di essere soggetti al meccanismo di bail-in, come previsto dalla Direttiva europea 2014/59/UE (ciò significa che i titoli di capitale e di debito potranno essere svalutati, assicurando perdite adeguate ai creditori non-garantiti dell’ente). Nordea Asset Management ha deciso di assorbire i costi di ricerca, pertanto tali costi saranno in futuro coperti dall’attuale struttura commissionale (commissioni di gestione e di amministrazione). Pubblicato e creato dalle Entità Legali appartenenti a Nordea Asset Management. Le Entità Legali sono debitamente riconosciute e controllate, rispettivamente, dall’Autorità di vigilanza finanziaria in Svezia e in Lussemburgo. Le filiali, le società controllate e succursale delle Entità Legali sono debitamente autorizzate e regolate dall’Autorità di vigilanza finanziaria locale nel rispettivo paese di domiciliazione. Fonte (salvo altrimenti specificato): Nordea Investment Funds S.A. Se non diversamente indicato, tutti i punti di vista qui espressi sono quelli delle Entità Legali appartenenti a Nordea Asset Management e ad ogni filiale, società controllata e succursale delle Entità Legali. Il presente documento non può essere riprodotto o distribuito senza previa autorizzazione. Il riferimento a società o altri investimenti menzionati in questo documento ha carattere puramente illustrativo e non deve essere interpretato alla stregua di una raccomandazione all’acquisto o alla vendita degli stessi. Il livello di passività e benefici fiscali dipende dalle circostanze del singolo investitore e può essere soggetto a future modifiche. © Le Entità Legali appartenenti a Nordea Asset Management e ad ogni filiale, società controllata e/o succursale.

Follow our latest posts