Città, comuni, dipartimenti, regioni… Le organizzazioni al servizio dei cittadini, indipendentemente dalle loro dimensioni, sono potenziali bersagli diattacchi informatici. Poiché gli hacker prendono di mira gli enti locali, lo Stato si trova implicitamente nel loro mirino.
Infatti, nel 2019 l’ANSSI ha registrato 92 incidenti di sicurezza informatica ai danni di comuni e consorzi intercomunali. In forte espansione, il 2020 è stato un anno da record in termini diattacchi informatici contro gli enti locali.Sebbene la maggior parte delle organizzazioni, per motivi legali, riveli raramente l'impatto finanziario, è facile valutare quali costi comportino questi attacchi informatici.
La parte visibile: i costi più noti
Il caso dei ransomware
Secondo l'ANSSI, i costi e i danni causati dal ransomware possono includere:
Perdite finanziarie come l'estorsione di denaro. Ad esempio, un ente locale è stato vittima di un virus informatico che ha crittografato migliaia di dati. L'importo del riscatto? Oltre 150.000 euro!
Le indagini informatiche, i danni al parco informatico e il ripristino del Servizio Informatico. Ad esempio, la città di Houilles (Yvelines), per la quale l'attacco informatico del gennaio 2021 è costato 350.000 euro al bilancio comunale (fonte:actu.fr).
Una perdita di produttività o un rallentamento, o addirittura un'interruzione dell'attività che va da pochi giorni a diverse settimane, possono impedire a un comune di fornire i consueti servizi amministrativi.
Va notato che alcuni studi rivelano che, in media, un’organizzazione impiega circa 196 giorni per individuare un incidente di sicurezza, indipendentemente dal settore in cui opera. (fonte ANSSI: Ponemon Institute: 2018 Cost of a Data Breach Study).
Il danno d'immagine e, di conseguenza, una perdita di fiducia nei confronti del comune interessato, dell'ente intercomunale o dei rappresentanti eletti.
Alcune perdite di dati e/o violazioni dell'integrità dei dati sensibili o riservati comportano costi ingenti. Va ricordato che un ente pubblico conserva nei propri sistemi informativi dati anagrafici, dati relativi all'identità o all'identificazione!
Ad esempio, nel 2020, sei mesi dopo l'attacco informatico ai danni di un ente locale francese, gli hacker hanno diffuso 40 GB di dati della città, tra cui un database contenente 23.000 indirizzi e-mail, i nomi e i numeri di matricola dei dipendenti e ogni sorta di dati personali.
Aggiungiamo infine i danni alle persone, che riguardano sia i dipendenti che gli utenti: ad esempio, l’impatto sui salari dei dipendenti qualora l’applicazione in questione faccia parte del sistema informativo interessato.
Va inoltre sottolineato il rischio di vittime collaterali in caso di diffusione del ransomware su reti interconnesse.
E questa è solo la punta dell'iceberg.
Parte sommersa: quali sono i costi meno evidenti?
Tra questi figurano i costi relativi a:
alla perdita di produttività dovuta al ritorno alla carta e alla matita. Ma anche al tempo perso a causa della perdita di informazioni;
Soprattutto, è fondamentale ricordare i costi legati alle sanzioni amministrative:
L'ente è responsabile del trattamento dei dati personali. Deve garantire di aver fatto tutto il possibile per prevenire un attacco informatico:
- A livello tecnico (antivirus, antispam, ecc.)
- A livello organizzativo (formazione, informazioni, ecc.)
In caso di attacco informatico, qualora si riscontri una violazione imputabile all'ente pubblico, la CNIL può irrogare nei suoi confronti le seguenti sanzioni:
- richiamo all'ordine nei confronti del Comune;
- ingiunzione di adeguamento al RGPD, anche sotto forma di sanzione pecuniaria;
- sanzione pecuniaria che può arrivare fino a 20 milioni di euro, a seconda della gravità della violazione e delle circostanze in cui si è verificata.
Verso una vera strategia finanziaria: investire nella sicurezza informatica
I dati parlano chiaro: l'impatto finanziario causato da un attacco informatico risulta essere più consistente rispetto alle spese destinate alla protezione dei sistemi informativi.
«Come è successo di recente a Évreux, Bayonne, La Rochelle, Angers, Houilles… La questione non è più se gli enti locali saranno oggetto di attacchi informatici, ma quando.» (fonte:cybermalveillance.gouv.fr).
È urgente prendere le dovute precauzioni: questi soldi non devono finire nelle mani degli hacker!
Prevenzione e anticipazione: ecco le due parole chiave che consentono alle organizzazioni di proteggersi dagli attacchi informatici e di rafforzare la propria sicurezza informatica. La formazione dei vostri utenti permette di proteggere la vostra organizzazione dai rischi (e dai costi) legati a un attacco informatico.
È ormai urgente investire in soluzioni tecniche e organizzative.
