Quale responsabilità degli amministratori per un cyberattacco a danno della società?

Con la crescita dei rischi di cyberattacco, è importante valutare se gli amministratori di una società colpita da un attacco ransomware, ad esempio, hanno delle responsabilità per negligenza nella mancata adozione di condotte volte a limitare il rischio.

Durante le ultime settimane, ho avuto il piacere di tenere una presentazione sulla gestione del rischio di cyberattacchi ransomware per le società a favore dei componenti del corso di formazione “In the Boardroom” dedicato ai professionisti che sono o ambiscono a diventare componenti del Consiglio di Amministrazione di società quotate in borsa. Quale parte della presentazione, abbiamo cercato di dare indicazioni pratiche e di condividere alcune “lessons learnt” da precedenti cyberattacchi. E il numero di domande ricevute ha mostrato come la questione relativa ai rischio collegati ad un cyberattacco sia di rilievo, anche in termini di possibile responsabilità per gli amministratori.

Questo articolo vuole fornire delle raccomandazioni agli amministratori di società quotate e non quotate sulle azioni da adottare in via preventiva, durante e dopo un cyberattacco.

Le dimensioni del cyber rischio per le aziende non possono essere sottovalutate

Per dare una indicazione delle dimensioni del rischio cyber per le aziende, c’è di media un attacco informatico ogni 39 secondi, il che non vuol dire che ogni attacco ha successo, ma che c’è un tentativo di accesso ai sistemi informatici delle aziende con questa frequenza.

Secondo una ricerca condotta da IBM, il costo medio per le aziende di un data breach nel 2022 è di US $ 4,35 milioni che aumenta a US $ 4,54 in caso di attacchi ransomware. Ovviamente si tratta semplicemente di una stima e il costo medio è superiore in certe giurisdizioni come gli Stati Uniti dove sfiora di US $ 10 milioni e l’Italia in cui è in linea con la media.

Sulla base della mia esperienza questa stima addirittura è ottimistica se si considerano casi in cui il business dell’azienda è globale. Inoltre, il costo dipende dal tempo necessario ad identificare l’accesso abusivo ai sistemi informatici che di media è superiore a 6 mesi. Più lungo è questo tempo di identificazione, tanto maggiore è la quantità di dati che potrebbero essere stati esfiltrati finché l’accesso è identificato. E ciò spesso accade quando l’hacker, il c.d. threat actor, inizia a criptare i sistemi informatici.

Inoltre, le conseguenze operative di un cyber attacco non vanno analizzate solo in termini di compromissione dei dati personali dei propri clienti e dipendenti. La criptazione dei sistemi informatici può bloccare l’operatività aziendale, anche perché gli attacchi di solito avvengono quando la società è meno pronta a reagire e.g. a Natale, durante il periodo estivo e durante i week-end. Se i dati criptati non possono essere ripristinati la linea di produzione, i negozi, i siti di eCommerce e tutta l’operatività aziendale sono bloccati e ci potrebbe essere perfino un problema di affidabilità del bilancio aziendale, senza considerare il possibile danno reputazionale che può portare alla perdita di clienti.

A ciò si aggiunga che esiste il rischio di sanzioni (che non sono assicurabili) non sono ai sensi della normativa privacy ma anche sulla base delle normative in materia di cybersecurity che ora stanno proliferando. Non ci sono state in Europa numerose class action per cyberattacchi, ma se l’attacco impatta clienti che si trovano ad esempio in California, il rischio di una azione di classe è elevato. A ciò si aggiunge che anche in Europa stanno aumentando notevolmente le azioni civili seriali degli individui i cui dati sono stati compromessi da un data breach che sono supportate da studi legali che hanno accordi di success fee.

Quali obblighi e responsabilità a carico degli amministratori per prevenire un cyberattacco?

Viste le dimensioni del cyber rischio per le aziende, il Consiglio di Amministrazione di società, soprattutto in caso di aziende quotate, deve monitorare le azioni intraprese per prevenire un cyberattacco e adottare prontamente le azioni correttive.

Purtroppo, questa situazione in alcuni casi non succede. Anche a causa dei costi della pandemia, ma in generale a causa della sopravvenienza di altre priorità, alcune aziende a volte

• non svolgono periodici penetration test e analisi dello stato di maturità delle misure tecniche e organizzative adottate per ridurre il cyber risk;
• quando queste analisi segnalano delle debolezze, non le gestiscono immediatamente, ma vengono aggiunte ad una “to-do-list” senza una specifica scadenza; e
• fanno affidamento su di un incident response plan che non è stato testato e quindi potrebbe non funzionare correttamente in caso di attacco.

Non si tratta unicamente di raccomandare investimenti in misure di sicurezza perché il 95% dei cyberattacchi avvengono a causa di un errore umano. Ad esempio, un dipendente che ha cliccato su di un’e-mail di phishing, che utilizza sempre le stesse credenziali di autenticazione per account lavorativi e privati o che collega i dispositivi aziendali a chiavette USB o siti da cui il threat actor può entrare nei sistemi.

L’analisi del rischio cyber deve avere una notevole componente di formazione e di analisi dei processi organizzativi di controllo. Poiché non si può del tutto escludere il rischio di cyberattacco perché i cyber criminali sono sempre più avanti delle proprie vittime

• le società devono essere in grado dimostrare di aver adottato tutte le misure richieste dalla normativa privacy e in materia di cybersecurity tramite un programma di cybersecurity compliance che richiede sofisticate conoscenze sia legali che tecniche perché l’onere della prova sarà sull’azienda;
• l’adozione di una polizza assicurativa a copertura del rischio cyber può minimizzare gli effetti economici negativi sull’aziende e consentirgli di fare affidamento sui sistemi di incident response e sui consulenti del panel delle compagnie assicurative.

Cosa gli amministratori devono fare se accade cyberattacco a danno dell’azienda?

Sulla base della mia esperienza, se un’azienda subisce un cyberattacco di notevoli dimensioni l’amministratore delegato, il direttore generale e il Consiglio di Amministrazione sono immediatamente coinvolti. Mi è capitato di essere “catapultato” davanti all’AD di multinazionali per analizzare il rischio derivante da un cyberattacco durante le vacanze natalizie, le festività ed interminabili week-end. Il rischio per l’azienda derivante da un attacco cyber è così elevato che il top management dell’azienda è immediatamente coinvolto.

In questo contesto, alcuni degli scenari peggiori dal punto di vista della responsabilità degli amministratori, qualora un cyberattacco si verifichi, sono i seguenti

• le azioni sopra elencate sono state discusse nel Consiglio di Amministrazione, ma nessuna attività è stata adottata;
• le azioni di analisi del rischio sono state intraprese, una debolezza dei sistemi informatici è stata identificata, ma l’azienda non ha fatto nulla (o poco) per correggerle tempestivamente;
• l’azienda realizzi di non aver pagato il rinnovo della polizza assicurativa a copertura del cyber rischio ritenendolo remoto e valutando la polizza eccessivamente costosa.

Tutti questi scenari si sono verificati sulla base della mia carriera professionale e i Consigli di Amministrazione dove sono stati analizzati non sono stati piacevoli.

Il CDA dovrà, tra gli altri,

• analizzare le azioni correttive da adottare per minimizzare le conseguenze negative del cyber attacco,
• valutare l’impatto economico dell’attacco, anche in termini di possibili sanzioni, per eventualmente informare gli azionisti e creare una riserva di bilancio, e
• decidere se l’accaduto deve essere notificato alle autorità competenti e comunicato agli individui i cui dati sono stati compromessi.

Ma l’argomento più “spinoso” riguarda certamente la decisione di pagare o meno il riscatto in un attacco ransomware. Normalmente quando un attacco ransomware accade, succedono delle trattative stile “film poliziesco americano” con i cyber criminali per guadagnare tempo, ridurre l’importo richiesto e ottenere l’eventuale approvazione da parte della compagnia assicurativa. Nella maggior parte dei casi l’azienda farà di tutto per evitare di pagare il ransom perché

• a seconda della giurisdizione e dell’identità del threat actor, potrebbe essere illegale,
• non dà una garanzia che i dati saranno decriptati il che richiede anche una analisi della reputazione e del track record del threat actor; e
• ci potrebbero essere dei danni reputazionali.

Tuttavia, in alcuni casi, l’azienda è con le spalle al muro perché ad esempio anche le copie di backup dei dati sono state criptate e non c’è modo di ripristinare i dati. In tal caso, l’azienda potrebbe considerare di pagare il ransom se non viola una normativa locale. Però il problema più complesso è di come approvare nel Consiglio di Amministrazione il pagamento del ransom. Non c’è un’unica risposta corretta e nessuna risposta è al 100% perfetta, si dovranno analizzare le circostanze del caso.

Come va comunicato il cyberattacco al pubblico?

Aldilà degli obblighi regolatori di notifica, la comunicazione di un cyberattacco al pubblico è decisamente delicata.

L’errore peggiore che si può fare è di “mentire”, negando l’accaduto. Ad oggi, gli hacker hanno spesso dei siti Internet e ci sono siti Internet dedicati alle informazioni relative ai cyberattacchi. Inoltre, il threat actor probabilmente pubblicherà dei dati esfiltrati sul dark web per fornire la prova dell’esfiltrazione e sollecitare il pagamento del ricatto.

Bisogna fare in modo che il pubblico abbia notizia del cyberattacco dall’azienda prima di averla dalla stampa per poter mantenere un rapporto di fiducia. Inoltre, in caso di cyberattacchi globali, si deve tener conto della cultura locale nella comunicazione. E’ possibile creare delle FAQs per rispondere ai quesiti ma è necessario un call center o in ogni caso avere delle persone dedicate a rispondere alle (numerose) richieste di chiarimento da parte dei clienti e dipendenti.

La maggior parte delle autorità privacy hanno un indirizzo e-mail dedicato per gestire i reclami degli utenti e il CSIRT monitora tutti gli attacchi che impattano le aziende, il che rende il rischio di sanzioni maggiore.

Cosa gli amministratori devono raccomandare dopo l’emergenza del cyberattacco per evitare responsabilità?

Capita sempre più spesso che le aziende vittima di un cyberattacco ne subiscano un altro nei 12/24 mesi successivi. In questi casi, le aziende non hanno analizzato accuratamente la dinamica dell’attacco, non possono assicurarsi che il threat actor non sia ancora nei sistemi aziendali e non hanno adottato le azioni correttive per rimediare all’attacco.

Nei casi di un cyberattacco successivo, una eventuale responsabilità degli amministratori potrebbe essere ancora più difficile da gestire perché l’azienda sarebbe un recidivo.

Questo articolo illustra solo alcuni dei punti di attenzione per gli amministratori nella gestione del rischio cyber, fermo restando che la dinamica degli attacchi è in continua evoluzione e quindi anche le azioni correttive vanno adottate. Su di un simile argomento, può essere interessante l’articolo “Il report ENISA 2022 sugli attacchi ransomware fornisce nuove indicazioni rilevanti”.