Di fronte della proliferazione degli attacchi informatici, sono sempre di più le aziende che si pongono il problema di come affrontare le nuove minacce. La questione che si pongono è quella di capire non è più “se” ma “quando” subiranno anche loro un cyberattacco. Nel seguente intervento, sviluppato a margine di un webinar organizzato il 20 settembre scorso da Bonelli Erede e Ital Brokers Spa, l’avvocato Enrico Vergani mette in fila le principali problematiche, suggerendo qualche possibile soluzione.
Il webinar “Cybersecurity: management and control”, tenutosi lo scorso 20 settembre e che ha visto diversi contributi in materia di rischio cibernetico, valutazione e gestione del medesimo, arriva con singolare tempismo, per la concomitanza con eventi tragici nell’ambito di un panorama geopolitico particolarmente complesso e teso, con l’impiego di sistemi di hackeraggio quali vere e proprie armi da guerra.
Per quanto riguarda gli aspetti economici e, in particolare, il settore della logistica, è meritevole di segnalazione la pubblicazione del Maritime Barometer Report 2023-2024 della International Chamber of Shipping, in cui il rischio cibernetico emerge come fortemente percepito dagli operatori del mercato, i quali evidenziano un incremento sostanziale del rischio non controbilanciato da un’analoga crescita della consapevolezza sui mezzi per prevenire e gestire il fenomeno. Analoghe conclusioni sono contenute nel Risk Barometer di Allianz e nel rapporto 2023 Cyber Trends and Maritime Insights in the Maritime Environment pubblicato dalla US Coast Guard. Con visione più generale il cyber threat appare altresì nel rapporto annuale di McKinsey sulla percezione del rischio da parte dei principali leader del mercato.
Il dato è stato interpretato da alcuni commentatori come un richiamo alla prudenza, per cui, nonostante la digitalizzazione sia ormai riconosciuta come un’esigenza non ulteriormente procrastinabile per l’operatore di logistica moderno ed internazionale, il rischio cibernetico si contrapporrebbe in maniera drastica, richiamando ad un ripensamento o, perlomeno, ad un rallentamento del processo.
I risultati delle nostre discussioni dello scorso venerdì, fortunatamente, aprono, fin dal titolo (management and control: gestione e controllo) uno scenario completamente diverso, in cui il rischio cyber si combatte (o, meglio, si gestisce in maniera efficiente) implementando i sistemi ed introducendo un approccio culturale diverso ed innovativo.
Certamente, e bene lo ha sottolineato il Prof. Paolo Ciocca dell’Università Guido Carli (LUISS) in apertura del convegno, ci sono eventi del tutto straordinari, che interessano il perimetro di sicurezza a livello dei singoli Stati o delle Organizzazioni Internazionali. Tuttavia la gestione del rischio cyber è qualcosa che può e deve essere condotta in maniera efficiente e con successo. L’asserzione “it is not a matter of if, it is a matter of when”, impiegata per suscitare la percezione di un rischio reale, non deve essere però impiegata per giustificare atteggiamenti lassisti e catastrofali.
Il primo aspetto riguarda la predisposizione ed implementazione di procedure aziendali. Fermiamoci, per il momento, allo shipping, anche se il discorso può essere agevolmente esteso a tutta la catena logistica. Il testo di riferimento è la IMO Resolution MSC.428 (98) che prevede che a partire dal 1° gennaio 2021 il Cyber Risk Management faccia parte del Safety Management System, secondo quanto previsto dall’International Sefety Management (ISM) Code.
Nell’adempimento di tale prescrizione normativa l’atteggiamento è stato nel senso di un’adesione di forma, senza alcuna reale gestione della problematica cyber all’interno di un sistema integrato, ovvero la predisposizione di una manualistica intricata ed intrisa di tecnicismi che si pone quale un corpo separato rispetto al concetto ed alla cultura dello ship management.
Ed allora, premesso che è decisamente preferibile una lista di otto adempimenti condivisi al più altro livello del management aziendale rispetto ad ottantasei, od anche settecento ottantasei che si smarcano in modo meccanico, l’approccio da adottare ragionato, realistico, condiviso ai livelli più elevati del management ed olistico, con l’enfasi sulle competenze trasversali, a coinvolgere ed interessare i valori e gli obiettivi dell’azienda.
Se davvero le imprese vogliono essere adeguate per un mercato internazionale e complesso, non solo nel settore cruciale della logistica, ma in ogni manifestazione economica e dell’ingegno le domande da farsi ed a cui saper rispondere, credo, siano queste:
o dove siamo e cosa ci succede attorno (Geopolitica)
o come proteggiamo la nostra gente (TRM – travel risk management e declinazione dell’ESG oltre la tutela dell’ambiente, con attenzione a “S” di social e “G” di governance)
o come gestiamo e proteggiamo con adeguata cultura della cyber security i dati nostri e di chi si rapporta con noi, che, assieme al tempo, sono il reale valore del mondo attuale.
La sfida è aperta e stimolante: non credo serva scappare.