La segnalazione dei cyberattacchi sarà presto obbligatoria. La vostra azienda è pronta?

Negli ultimi anni molti Paesi, tra cui gli Stati Uniti, l'Australia e l'India, hanno imposto l'obbligo di segnalazione degli incidenti informatici; l’Unione Europea ha recentemente ampliato i requisiti di segnalazione obbligatoria con la Direttiva 2.0 sulla sicurezza delle reti e delle informazioni. Mentre negli Stati Uniti e nell'Unione Europea sono in vigore i requisiti di massima, i regolamenti specifici e le linee guida per rendere operative queste leggi sono ancora in fase di sviluppo. Negli Stati Uniti, la Cybersecurity and Infrastructure Security Agency del Dipartimento per la Sicurezza Nazionale sta redigendo i regolamenti necessari per l'entrata in vigore della legge; questo processo durerà fino alla metà del 2025. Secondo il processo della direttiva UE, ogni Stato membro deve adottare le leggi per implementarla e, in questo caso, ha tempo fino all'ottobre 2024 per farlo. Altri Paesi stanno valutando leggi simili.

Anche se i dettagli variano, questi requisiti sono destinati ad aumentare la capacità dei Governi di tenere sotto controllo la portata, l'entità e l'intensità delle attività informatiche criminali nei loro Paesi. Dal punto di vista di un Governo, l'interesse economico per questo tipo di segnalazione è chiaro: attualmente nessun Governo dispone delle informazioni sugli incidenti di cui ha bisogno per proteggere la propria sicurezza nazionale, la prosperità economica o la salute e la sicurezza pubblica nel cyberspazio. Tuttavia, ciò che le aziende ottengono da queste prescrizioni è spesso poco chiaro. Infatti, molte aziende sono preoccupate per il potenziale onere o altri svantaggi che potrebbero derivare dalla segnalazione di un incidente informatico.

Queste preoccupazioni sono fondate. Le questioni relative alla responsabilità o alle sanzioni normative si affacciano prepotentemente nelle discussioni sulla segnalazione degli incidenti informatici: la maggior parte delle aziende è naturalmente scettica nei confronti dei mandati governativi, soprattutto per quanto riguarda la loro applicazione quando un'organizzazione si trova in una situazione difficile. Tuttavia, proprio come nel caso dei crimini fisici, una maggiore segnalazione degli incidenti informatici può aiutare le aziende.

I vantaggi della segnalazione obbligatoria

Il vantaggio più evidente di un regime di reporting è l'assistenza diretta nella risposta agli incidenti. I Governi non possono assistere le aziende se non sono a conoscenza di un incidente e, nonostante una percezione diffusa, persino il governo degli Stati Uniti ha una scarsa conoscenza degli incidenti che interessano la maggior parte delle aziende del settore privato. Pertanto, i regimi di segnalazione creeranno opportunità per i Governi di assistere direttamente le aziende, come ad esempio il supporto tecnico ed economico che rafforzerebbe la risposta di un'azienda a un incidente informatico. Non tutte avranno bisogno di tale supporto o lo vorranno, ma molte apprezzerebbero l'assistenza tecnica o finanziaria durante una crisi.

Poiché i regimi di segnalazione obbligatoria aumenteranno sia il volume che la tempestività della segnalazione degli incidenti, i Governi avranno una maggiore capacità di avvertire le aziende delle minacce emergenti o dei potenziali problemi prima che si verifichino. Le agenzie di intelligence usano il termine "indicazioni e avvertimenti" per quest’attività, che consente ai destinatari di intraprendere azioni preparatorie prima che si verifichi qualcosa di negativo. Avvisare entità con caratteristiche simili di minacce specifiche che potrebbero ragionevolmente colpirle nell'immediato potrebbe aiutare queste aziende a contrastare la minaccia prima che diventi un incidente. Potrebbe fornire la giustificazione necessaria affinché un'azienda investa risorse per correggere vulnerabilità di lunga data o per dare priorità agli aggiornamenti. Inoltre, avvisi più mirati e tempestivi avranno maggiore credibilità e rilevanza presso i dirigenti aziendali.

Attualmente, comprendere l'impatto e i danni delle attività informatiche dannose è difficile a causa di dati incompleti e frammentari. I regimi di rendicontazione chiederanno alle aziende di segnalare i danni e i pregiudizi subiti a causa di un incidente informatico, tra cui la perdita di fatturato, il pagamento di riscatti, il furto di proprietà intellettuale o la compromissione di informazioni di identificazione personale. Aggregando questo tipo di dati nel tempo, i Governi saranno in grado di quantificare meglio l'impatto delle attività informatiche dannose. Questi dati supporteranno un'ampia gamma di valutazioni, dall'analisi costi-benefici a livello di singola azienda alle decisioni sui rischi-benefici a livello nazionale. Possono contribuire a informare il mercato assicurativo e a perfezionare gli sforzi di definizione delle priorità per ottenere risultati migliori.

I Governi potrebbero anche utilizzare i dati riportati per sviluppare una migliore comprensione della minaccia e individuare tendenze o cambiamenti nell'ambiente. Attualmente, non disponiamo di un buon quadro di riferimento per gli incidenti informatici nell’intero ecosistema. Ad esempio, il fatto che il numero di incidenti ransomware sia aumentato o diminuito nel 2022 rispetto al 2021 dipende dall'ente che redige il rapporto. A differenza di molte altre statistiche criminali o economiche, non abbiamo una fonte affidabile di base. La segnalazione obbligatoria degli incidenti genererà informazioni statisticamente significative sulle tendenze che possono favorire migliori decisioni politiche e i dati che ne deriveranno aiuteranno a misurare se le politiche stanno avendo l'effetto desiderato o a rendere chiara l'evoluzione delle tendenze delle attività informatiche dannose. Le aziende possono anche utilizzare questi dati per prendere decisioni informate sul rischio o su investimenti a lungo termine, proprio come fanno con altre fonti di dati pubblici.

Il costo della segnalazione obbligatoria

I tassi di segnalazione nell'ambito dei regimi volontari esistenti sono in genere molto bassi. Ad esempio, l'U.S. Federal Bureau of Investigation stima che meno del 20% delle vittime del ransomware Hive abbia segnalato l'attacco al governo federale. È chiaro che le aziende vedono diversi aspetti negativi nella segnalazione degli incidenti, altrimenti lo farebbero più spesso. Queste preoccupazioni ruotano di solito intorno a potenziali azioni normative o legali, danni al marchio o alla reputazione, o controversie, oltre alla mancanza di benefici percepiti nella segnalazione.

Naturalmente, i requisiti obbligatori rendono superflue molte preoccupazioni, perché le aziende non hanno scelta. È interessante notare, tuttavia, che molte leggi sulla segnalazione cercano di attenuare alcune di queste preoccupazioni. Ad esempio, negli Stati Uniti, il Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) vieta espressamente alle agenzie di regolamentazione di utilizzare le informazioni segnalate ai sensi dello statuto come base per un'azione normativa. Sebbene l'autorità di regolamentazione possa comunque avviare un'indagine sotto i propri auspici, l'atto di segnalazione ai sensi del CIRCIA non può innescare tale azione. Gli statuti, inoltre, di solito affrontano le preoccupazioni relative agli effetti sul marchio e sulla reputazione derivanti da un incidente informatico, imponendo all'agenzia ricevente di proteggere le informazioni segnalate dalla divulgazione. Pertanto, questi regimi non richiedono la divulgazione pubblica, come le notifiche di violazione; la divulgazione avviene solo a determinate agenzie governative. Anche se un incidente potrebbe diventare pubblico a causa dell'impatto sulle operazioni commerciali di un'azienda, tale divulgazione non sarà dovuta alla segnalazione ai sensi di questi statuti (negli Stati Uniti, la Securities and Exchange Commission ha anche proposto una norma che richiederebbe alle società quotate in borsa di divulgare pubblicamente gli incidenti informatici, ma tale proposta di norma ha incontrato notevoli resistenze. Questo tipo di divulgazione avrebbe uno scopo diverso rispetto ai regimi di segnalazione discussi in questo articolo).

Nonostante queste mitigazioni, i regimi di segnalazione imporranno costi reali alle aziende. La segnalazione degli incidenti richiede, infatti, uno sforzo e qualcuno all'interno dell'azienda deve prendersi il tempo necessario per scrivere il rapporto e capire a chi inviarlo. L'azienda deve poi affrontare le domande dell'agenzia ricevente. Se l'organizzazione si trova nel mezzo di un incidente informatico che soddisfa i criteri di segnalazione, allora, per definizione, l'organizzazione è in una situazione estrema. Il tempo dedicato alla segnalazione sottrae inevitabilmente tempo alla risposta alla crisi.

Le organizzazioni potrebbero inoltre trovarsi di fronte a molteplici requisiti di segnalazione da parte di diverse agenzie governative o essere soggette a regimi di segnalazione in diversi Paesi. Una mancanza di armonizzazione potrebbe rendere estremamente difficile conformarsi in modo efficiente e tempestivo; in alcuni casi, infatti, un conflitto tra leggi potrebbe rendere impossibile per un'azienda conformarsi a entrambi. Se i Governi non riescono ad armonizzare i requisiti di segnalazione tra le agenzie o tra le giurisdizioni, potrebbero finire per imporre costi significativi alle aziende e, nei casi più estremi, creare più danni che benefici.

Progettare il giusto quadro di riferimento

A conti fatti, anche se le imprese nutrono legittime preoccupazioni riguardo alla segnalazione obbligatoria degli incidenti, i vantaggi possono superare gli svantaggi. L'opportunità di ricevere assistenza diretta e avvertimenti mirati, unita alla possibilità di prendere decisioni più informate a livello individuale, organizzativo e sociale, può rendere validi i costi aggiuntivi imposti dai regimi di segnalazione obbligatoria - se tali regimi sono progettati correttamente.

Pertanto, la comunità imprenditoriale dovrebbe impegnarsi con i Governi nello sviluppo di questi regimi di rendicontazione per garantire che raggiungano gli obiettivi prefissati. Le imprese possono partecipare al processo di elaborazione delle norme per fornire il loro contributo. Possono collaborare con i gruppi di difesa per far conoscere i loro punti di vista e le loro preoccupazioni. La comunità imprenditoriale dovrebbe chiedere ai Governi di collaborare per armonizzare i requisiti di rendicontazione nelle varie giurisdizioni. Dovrebbe chiedere loro di attenersi a determinati principi nello sviluppo di questi regimi, come ad esempio rendere i sistemi di segnalazione il più possibile facili da usare, o consentire segnalazioni aggiornate una volta che l'incidente sia stato meglio compreso. Per fornire un punto di partenza per queste discussioni, la Cyber Threat Alliance, l'Institute for Security and Technology e altre sei organizzazioni hanno recentemente pubblicato un quadro di riferimento per sviluppare efficacemente tali quadri.

Nei prossimi anni la maggior parte delle giurisdizioni sarà soggetta a regimi di segnalazione obbligatoria, indipendentemente dal fatto che le aziende siano favorevoli o meno all'idea. Se tali regimi sono impostati correttamente, le imprese potrebbero trarne evidenti benefici. Il raggiungimento di questo stato di cose non è ovviamente scontato; i Governi potrebbero teoricamente implementare requisiti di rendicontazione che causano più danni che benefici, o creare un numero tale di regimi di rendicontazione in conflitto tra loro che le imprese non possono materialmente rispettarli tutti. Pertanto, la comunità imprenditoriale deve cogliere l'opportunità di modellare questi regimi di rendicontazione in una struttura che non solo sia vantaggiosa per i Governi e la società, ma anche per le singole aziende.

Michael Daniel è presidente di The Cyber Threat Alliance, dove si occupa di migliorare la sicurezza informatica del nostro ecosistema digitale. In questo sforzo ha più di 20 anni di esperienza di lavoro con il governo federale, tra cui cinque anni come coordinatore della cybersecurity del Paese.