Per i leader informatici, i rischi informatici stanno diventando personali.
Nel 2023, le nuove norme statunitensi sulla divulgazione delle violazioni dei dati hanno aumentato la pressione sul personale addetto alla sicurezza delle aziende, in particolare sui Chief Information Security Officer (CISO), proprio mentre agenzie e tribunali segnalavano che gli individui potevano essere ritenuti responsabili degli incidenti.
L'anno scorso, ad esempio, l'ex capo della sicurezza di Uber, Joe Sullivan, è stato condannato dalle autorità statunitensi a tre anni di libertà vigilata e una multa di 50.000 dollari per aver nascosto una violazione dei dati del 2016. Era stato informato dagli hacker di una falla di sicurezza che aveva esposto le informazioni personali di quasi 60 milioni di conducenti e passeggeri sulla piattaforma di ride-hailing. Si è trattato del primo procedimento penale contro un dirigente aziendale per la gestione di una violazione dei dati.
Poi, solo pochi mesi dopo, la Securities and Exchange Commission degli Stati Uniti ha accusato il CISO di SolarWinds, Timothy Brown, di frode e di errori di controllo interno, dopo che la società IT era stata violata da hacker russi come parte di una campagna di spionaggio. L’autorità di regolamentazione ha accusato sia la società che Brown di aver fuorviato gli investitori non rivelando i “rischi noti” e non rappresentando accuratamente le sue misure di sicurezza informatica.
“Se si parla all'interno della comunità CISO, ogni CISO che conosco è preoccupato per questo”, afferma Wagner Nascimento, vicepresidente e CISO presso Synopsys, produttore di strumenti per la progettazione di chip.
Di conseguenza, alcuni dipendenti dell'azienda scelgono di non ricoprire il ruolo di CISO o di non far parte dei comitati di divulgazione delle loro aziende, per evitare di assumersi loro stessi la responsabilità e il rischio. Si tratta di uno sviluppo che sta esacerbando il problema della carenza di talenti nei ruoli di sicurezza informatica.
Nascimento, tuttavia, vede i cambiamenti normativi come un’opportunità che i CISO dovrebbero cogliere, come un modo per ritagliarsi un ruolo più attivo e influente nella governance aziendale.
“Lottiamo da molto tempo per questo posto”, afferma. “Ora hai l’opportunità di sederti al tavolo, di parlare con il CEO e di prendere parte alla conversazione”.
I leader informatici sono diventati sempre più importanti poiché le aziende hanno subito trasformazioni digitali e hanno dovuto affrontare una gamma più ampia di minacce di hacking. Più recentemente, il passaggio al lavoro a distanza e una crescente minaccia di guerra informatica in un contesto di crescenti tensioni geopolitiche – in particolare, intorno al conflitto Russia-Ucraina – hanno ulteriormente elevato il ruolo della sicurezza interna.
Di pari passo, è cresciuto l’onere normativo dei professionisti della sicurezza informatica. Le nuove regole della SEC impongono alle società pubbliche di divulgare, nei documenti normativi, qualsiasi incidente ritenuto “materiale” entro un periodo di quattro giorni lavorativi dopo che è stato stabilito come tale. Qualsiasi azienda pubblica deve inoltre riferire, annualmente, su come governa e gestisce internamente i rischi di sicurezza informatica.
Queste regole garantiscono trasparenza agli investitori, possono aiutare le agenzie governative a supportare meglio le aziende e potrebbero persino rivelare modelli di attacchi informatici e vettori di attacco. “Questo è un passo drammatico verso una maggiore trasparenza e responsabilità e migliorerà notevolmente la nostra preparazione alla sicurezza informatica come nazione”, ritiene Amit Yoran, amministratore delegato di Tenable, una società di gestione dell’esposizione alla sicurezza informatica.
Alcuni esperti di sicurezza informatica notano, tuttavia, che le informazioni divulgate dai leader informatici sono probabilmente incomplete e potrebbero fornire dettagli chiave sulle vulnerabilità delle loro aziende ai potenziali aggressori informatici.
In alcuni casi, le nuove norme potrebbero addirittura essere utilizzate per aumentare la pressione sulle vittime affinché paghino un riscatto.
Ad esempio, un gruppo di ransomware, noto come ALPHV/BlackCat, ha denunciato una delle sue stesse vittime, MeridianLink, alla SEC per non divulgazione dopo che la società di software si era rifiutata di pagare. ALPHV/BlackCat ha poi minacciato di pubblicare i dati compromessi se la società non avesse pagato entro 24 ore.
MeridianLink ha rilasciato una dichiarazione affermando di non aver individuato alcuna prova di accesso non autorizzato ai propri sistemi.
In diversi modi, quindi, le nuove normative aumentano i rischi legali per le aziende pubbliche: esponendole a cause legali per violazioni della privacy, nonché sollevando lo spettro di accuse e sanzioni finanziarie per i loro singoli CISO.
“Oggi all’interno della comunità della sicurezza informatica c’è molta preoccupazione per il fatto che . . . potrebbero essere conseguenze per cose che ritengono siano ancora fuori dal loro controllo”, afferma Hugh Thompson, presidente esecutivo della conferenza sulla sicurezza informatica RSA e socio amministratore del gruppo di venture capital Crosspoint Capital Partners.
Secondo gli esperti di sicurezza informatica, le risposte alle nuove regole sono state diverse. Le aziende hanno adottato soglie diverse per gli incidenti informatici “materiali” e molte non sono state eccessivamente dettagliate nelle loro informative o hanno fornito pesanti avvertenze.
“Una questione di reale preoccupazione per i CISO è qualsiasi delta [or variation] tra dichiarazioni precedenti sulla loro posizione di sicurezza”, afferma Igor Volovich, vicepresidente della strategia di conformità presso il gruppo di conformità della sicurezza informatica Qmulos. Avverte che, se le aziende dichiarassero di essere cyber-resilienti nei confronti di terzi quando hanno conosciuto carenze di sicurezza, ciò potrebbe essere considerato illecito aziendale o frode degli azionisti.
Gli esperti consigliano ai leader informatici di condurre controlli di sicurezza regolari e di delineare chiari piani di risposta agli incidenti che allineino i loro dipartimenti legale, di sicurezza, di pubbliche relazioni e finanziario.
Thompson dice che si sta intraprendendo un'azione. Sta “vedendo investimenti più significativi” da parte dei leader informatici nel “definire i processi di gestione del rischio”.
Alcuni stanno cercando di determinare in anticipo cosa conterebbe come “materiale” se parte della loro attività fosse colpita da un attacco informatico e stanno svolgendo “esercizi simulati” [discussion-based assessment sessions].
Ma Vivek Jetley, vicepresidente esecutivo e responsabile dell’analisi presso la società di analisi dei dati EXL, aggiunge che i CISO “devono documentare le decisioni, anche quelle più minuscole, ed essere pronti a difenderle, non solo internamente ma anche davanti alle autorità di regolamentazione e agli ispettori”.
Nascimento esorta le aziende a mettere in atto protocolli per quando c’è disaccordo su ciò che costituisce la materialità. In alcuni casi “per l’avvocato potrebbe non essere rilevante, per il CISO lo è”, spiega, “Quando [that] succede, qual è il percorso?”