Il Risk Management applicato al mondo dei soggetti pubblicamente esposti (VIP)

Il Risk Management è un processo aziendale volto alla gestione completa ed integrata dei rischi, mediante attività sistematiche quali identificazione, misurazione, valutazione e trattamento del rischio. La funzione del Risk Management è quella di proteggere e incrementare il valore di un’azienda a vantaggio dei suoi stakeholder. Tale modello può essere applicato anche a soggetti pubblicamente esposti.

Il segmento che riguarda la protezione dei dati personali di personaggi pubblici (VIP) da minacce cibernetiche è senza dubbio in rapida ascesa ed ovviamente è strettamente collegato al “Risk Management”. La continua esposizione pubblica e mediatica nel mondo televisivo e/o dei social media li rende facile bersaglio di hacker e soggetti criminali sempre pronti a distruggerne la reputazione oppure a trarne ingiusti profitti.

La principale difesa dalle minacce deriva soprattutto dalla consapevolezza della sicurezza (cd. security awareness). Hacker, stalker ed altri soggetti criminali sono sempre più preparati e rappresentano una seria minaccia per le persone pubblicamente esposte. La protezione dei VIP è molto complessa, ma non del tutto ingestibile. I professionisti del “Security Management” hanno l’obbligo di attuare specifici protocolli di sicurezza dove le parole chiave sono la valutazione delle minacce e l’attività di intelligence. Per svolgere tali attività è necessario essere assistiti e consigliati da professionisti del Security Risk Management al fine di essere protetti e formati.

I soggetti pubblici vivono evidentemente di immagine. Oltre alle apparizioni televisive, oramai quasi secondarie, ci sono i social media. In quest’ultimo caso i soggetti attaccanti sono sempre pronti a seguire pedissequamente tutte le mosse dei VIP per cercare di rubare foto, carpire dati sensibili oppure capire i luoghi frequentati. Molti video di soggetti pubblicamente esposti vengono trasmessi in diretta streaming ed i loro contenuti pubblicati sui social media resi disponibili alla visione di un pubblico vasto ed eterogeneo. Alcuni soggetti possiedono le capacità di usare apposite “App” per condividere le apparizioni dei VIP postando spesse volte anche la posizione.

I social media sono anche il mezzo preferito da molti soggetti pubblici per la pubblicazione di dettagli personali. I professionisti del Security Risk Management devono costantemente monitorare i contenuti dei social media e dei relativi post al fine di evitare comportamenti, posti in essere dai VIP, potenzialmente nocivi. In tale contesto è necessario monitorare in tempo reale anche eventuali post negativi ai loro danni poiché tali atteggiamenti potrebbero rappresentare potenziali minacce per la persona, familiari e beni.

Cyber Risk e gestione delle minacce Social

Un programma di gestione del rischio segue in genere questi passaggi:

a) Identificazione dei rischi che potrebbero compromettere la sicurezza informatica. Questo di solito comporta l'identificazione delle vulnerabilità della sicurezza informatica nel sistema e delle minacce che potrebbero sfruttarle;

b) Analisi della gravità di ciascun rischio valutando quanto è probabile che si verifichi e quanto significativo potrebbe essere l'impatto in caso affermativo;

c) Valutazione del rischio e livello predeterminato di rischio accettabile.

La gestione del rischio informatico è un processo continuo, dove occorre sempre monitorare i rischi per assicurarsi che siano ancora accettabili, rivedere i controlli per verificare che siano ancora idonei allo scopo e apportare le modifiche necessarie. I rischi cambiano continuamente mentre il panorama delle minacce informatiche si evolve ed è sempre necessario essere aggiornati e seguiti da professionisti del settore.

Con l'esplosione di Internet ed il crescente utilizzo di smartphone e app di social media, i responsabili del Security Risk Management devono monitorare e raccogliere qualsiasi tipologia di informazione utile alla protezione dei soggetti pubblicamente esposti. Tali attività vengono svolte attraverso l’utilizzo di tecniche OSINT1 e SOCMINT2 con l’ausilio di software specifici. I professionisti del Security Risk Management avranno l’arduo compito di monitorare grandi quantità di informazioni e raccogliere elementi utili che aiuteranno i soggetti pubblicamente esposti a gestire al meglio la propria immagine al fine di proteggere sé stessi, i propri familiari ed i propri beni da azioni criminali. La protezione da tali minacce dovrà essere assicurata da personale altamente qualificato e dovrà necessariamente essere guidata da attività di intelligence.

Minaccia, vulnerabilità e impatto generano il rischio. Le minacce sono rappresentate da un qualsiasi elemento che possa comportare un rischio di alterazione dei dati e quindi, in ultima analisi, possa determinare un impatto sui soggetti interessati.

Le vulnerabilità sono tutte quelle fasi di debolezza che espongono soggetti pubblici o privati ad attacchi da parte di soggetti criminali. In questo contesto le vulnerabilità informatiche sono le più pericolose e prevedono malfunzionamenti, configurazioni sbagliate o semplicemente errori presenti in un sistema. La loro presenza rende un sistema vulnerabile ed esposto agli attacchi informatici. Nel caso della sicurezza informatica, i pericoli che attaccano un sistema vulnerabile sono per l’appunto hacker e virus.

Per gestire i rischi è necessario prima identificarli, valutarne la probabilità di accadimento e stimare l’impatto che potrebbero avere sul progetto di Security Risk Management.

I team di Security Risk Management affrontano oggi un conflitto asimmetrico mentre difendono le proprie risorse digitali. Gli attori delle minacce vanno da cybercriminali altamente istruiti a persone relativamente inesperte che utilizzano offerte ransomware-as-a-service. Quindi, mentre alcuni attacchi diventano sempre più sofisticati, altri aumentano in frequenza man mano che le barriere di ingresso si abbassano.

In questo contesto, i soggetti pubblicamente esposti (VIP) hanno bisogno di una politica di sicurezza che si estenda oltre il perimetro della rete convenzionale per includere anche e soprattutto le risorse digitali. I professionisti della sicurezza hanno anche bisogno di strumenti per fornire un moltiplicatore di forza quando si affrontano le numerose minacce sempre più in continua espansione nel vasto mondo online.

L'automazione, insieme all'intelligenza artificiale, offre un moltiplicatore di forza in grado di scansionare migliaia di siti Web e account social, affrontare la sfida dei big data e concentrarsi sulle informazioni più critiche. Una politica solida, personale qualificato e strumenti adeguati potranno essere l’unica arma utile per azioni di intelligence preventiva.

Permetteteci, in qualità di autori di questo elaborato, di fare una riflessione che non è centrata sul tema dell’articolo, ma ne riprende gli argomenti. Riteniamo che, le stesse accortezze suggerite per chi è un personaggio pubblico, dovrebbero valere per tutti coloro che utilizzano i social media o in generale qualsiasi altra tipologia di piattaforma web. È necessario prestare attenzione alle informazioni condivise che riguardano noi, i nostri familiari, i nostri amici, ovvero, i nostri conoscenti. Si deve avere sempre la consapevolezza che le informazioni pubblicate potrebbero essere incancellabili, immodificabili ,oppure, utilizzate per scopi diversi e con conseguenze non preventivabili.

Autori:
Dott. Claudio Lisi - Senior Security Manager UNI 10459:2017 III° livello - Area Manager Dogma S.p.A.
Dott. Dimitri Russo - Amministratore Delegato Dogma S.p.A.
 

Note:

1 L’Open source Intelligence – Osint -, ovvero l’analisi delle fonti aperte, è un metodo di ricerca ed analisi che permette di rilevare informazioni e notizie:

• Legali;
• Pubbliche.

Attraverso questo metodo di ricerca è possibile rilevare, analizzare e processare le informazioni in modo veloce e preciso. Il metodo di ricerca è sviluppato attraverso l’utilizzo di query, motori di ricerca, metamotori, software e molto altro. Oltre agli strumenti, è importante però evidenziare il metodo, che è composto da quattro fasi:

• Discovery, ovvero l’individuazione della fonte;
• Discrimination, ovvero la selezione delle fonti;
• Distillation, ovvero l’estrapolazione di quanto effettivamente utile;

Dissemination, ovvero la diffusione tempestiva del documento al cliente.

2 Il Social Media Intelligence – Socmint – è un metodo di ricerca relativamente giovane nato con lo sviluppo dei social network.

Ad oggi, non è immaginabile una seria ricerca online che non contempli i social network.
Come per l’analisi più generale, con approccio Osint, anche per l’analisi all’interno del grande universo dei social network, è necessario utilizzare:

• Query costruite, per incrociare nominativi, città, date di nascita, etc;
• Strumenti per l’analisi della proiezione digitale all’interno dei social network;
• Software che consentano l’individuazione di account riferiti ai target di interesse.