Come i singoli family office possono proteggersi dagli attacchi informatici.
Un alone di segretezza circonda i single family office (SFO), soprattutto in materia di violazioni informatiche. L’esperto informatico Martin Clements ha incontrato la rappresentante di una di queste società per parlare delle misure di sicurezza che possono proteggere il denaro e i segreti dei beneficiari dai criminali online e, a seguire, fornisce alcuni consigli su come migliorare ulteriormente tale protezione.
Gli attacchi informatici sono un rischio per i singoli family office
I dieci maggiori single family office del Nord America gestiscono complessivamente attività per un valore di circa USD 451 miliardi.1 Nonostante i loro bilanci abbiano dimensioni comparabili a quelli di una grande multinazionale, gli SFO tendono a destinare alla sicurezza informatica una quantità di risorse molto inferiore e spesso sono caratterizzati da una minore consapevolezza sul tema.
Imogen Tempest, la cui competenza nell'SFO dove lavora include la sicurezza informatica, ammette: “Nel mio precedente lavoro gestivo l'infrastruttura IT di una società quotata e il mio team contava circa 80 collaboratori. Qui collaboro con un’unica persona tramite una terza parte. Le risorse di cui disponiamo sono molto ridotte e probabilmente rappresentiamo un bersaglio più facile”.
“Criminalità informatica” è il termine utilizzato per descrivere una violazione intenzionale dei sistemi di sicurezza informatica di un'organizzazione. L'obiettivo finale è spesso la truffa, ma i criminali potrebbero anche cercare informazioni per le quali la famiglia sarebbe disposta a pagare pur di garantirne la riservatezza, o informazioni che potrebbero persino mettere a rischio la sicurezza della famiglia stessa.
Identificare per tempo le lacune nella sicurezza informatica
Gli SFO che desiderano conoscere il proprio livello di sicurezza informatica potrebbero iniziare effettuando un test di penetrazione (pen test), per evidenziare le eventuali vulnerabilità.
“Quando abbiamo eseguito il nostro primo pen test, abbiamo analizzato i risultati e abbiamo prioritizzato le misure da introdurre”, afferma. Questo approccio progressivo ha prodotto buoni risultati. Secondo Tempest: “Ora accettano tutti di buon grado i propri compiti: anche modifiche regolari delle password con password complesse, che possono risultare laboriose”.
Gli attacchi informatici stanno diventando sempre più sofisticati
Assicurarsi che l'SFO sia adeguatamente preparato è fondamentale, poiché la questione non è se, ma quando avverrà un attacco informatico. Tempest, che ha accettato di parlare a condizione che il suo nome venisse modificato, per evitare di esporre il suo SFO a ulteriori rischi di attacco informatico, ritiene che l'attacco più probabile si presenterà nella forma della truffa del CEO. Ciò si verifica quando i criminali, fingendo di essere membri del senior management, richiedono via e-mail un pagamento fraudolento. La cosa più preoccupante, sostiene, è che questo tipo di truffa risulta sempre più difficile da individuare.
“Alcuni anni fa era semplice smascherarle, perché di solito le richieste erano malamente formulate”, afferma. “Di recente, invece, mi sono stati mostrati esempi che risultano più credibili. Se una persona viene colta alla sprovvista un venerdì pomeriggio, generalmente il momento prescelto per questo tipo di frodi, è possibile che richieda il pagamento. Resta da sperare che il personale del settore finanziario sia sufficientemente vigile da comprendere che si tratta di una richiesta insolita e che disponga di ulteriori sistemi di controllo volti a ridurre i rischi. Ma non vi è alcuna garanzia che ciò avvenga.”
Oltre alla truffa del CEO, Tempest sottolinea che la lista delle minacce informatiche comprende: attacchi di phishing, con i quali i criminali cercano di ottenere informazioni che consentano loro di accedere ai conti bancari; attacchi trojan, che introducono virus nel sistema informatico tramite link dannosi; hacking del sistema per acquisire dati sensibili da utilizzare a fini di estorsione; ransomware, che consentono ai criminali di bloccare i sistemi informatici fino al ricevimento di un pagamento; frode interna.
Queste misure di sicurezza informatica sono utili
In ogni caso, la protezione richiede non solo un atteggiamento vigile, ma anche un senso di responsabilità condivisa. Fortunatamente, non sono necessarie ingenti risorse o tecnologie sofisticate. Di fatto, nell'SFO in cui lavora Tempest, la parola d'ordine è “prevenzione”.
“La maggior parte delle misure correttive può essere implementata a costi piuttosto contenuti. Il nostro personale, ciò che fa e le informazioni di cui dispone sono il nostro patrimonio più prezioso, pertanto dovremmo essere disposti a spendere del denaro per garantirne la protezione”, afferma. Di conseguenza, il suo SFO dispone di alcuni efficaci strumenti di controllo, dai più basilari ai più complessi, quali ad esempio:
- autenticazione multifattoriale;
- applicazione tempestiva di patch/aggiornamenti software;
- limitazione dell'accesso al sistema a dispositivi preregistrati;
- modifica mensile delle password utilizzando password complesse;
- ricorso a uno specialista terzo per fornire consulenza in materia di sicurezza informatica;
- utilizzo di software collaudati per monitorare le e-mail e rimuovere eventuali virus utilizzando una metodologia CDR (Content Disarm and Reconstruct);
- includere la sicurezza informatica tra le competenze della dirigenza senior;
- formazione del personale in materia di sicurezza informatica e verifiche periodiche delle loro conoscenze e prassi;
- ridurre al minimo la presenza online della famiglia e dell’SFO, incluso sui social media, in modo da limitare la capacità da parte dei truffatori di reperire informazioni utili.
Sensibilizzare i dipendenti sul pericolo degli attacchi informatici
Per quanti siano i controlli adottati, un SFO non sarà in grado di sconfiggere i criminali se non favorisce la giusta cultura. In parte, ciò consiste nel chiarire che la sicurezza informatica è una priorità, anche se comporta la limitazione della tipologia di dispositivi che il personale e i beneficiari possono utilizzare. Afferma Tempest: “Questo è un ambiente Windows 10 Pofessional. Se qualcuno desidera utilizzare un MacBook, dico semplicemente che mi spiace ma non è possibile. Implementiamo un unico standard. È molto più facile da controllare”.
Inoltre, è particolarmente attenta per quanto concerne l'applicazione delle misure di sicurezza. Per esempio, una volta al mese incontra la sua unità di supporto IT per valutare eventuali modifiche necessarie alla luce dell'evolvere delle minacce. “Non vorrei mai che qualcuno pensasse che per noi la sicurezza informatica non è una priorità assoluta, perché è esattamente l’opposto”, aggiunge.
Stabilire standard di sicurezza informatica anche con i clienti
Questa vigilanza si estende anche ai titolari, figure chiave in tutti gli SFO, che però troppo spesso si ritengono esenti da queste regole, sebbene solitamente, possedendo più dispositivi, abitazioni e uffici, abbiano maggiore probabilità di subire un attacco.
Per ottenere il pieno sostegno da parte dei titolari, Tempest ha avviato un confronto aperto, così da spiegare per quale ragione potrebbero rappresentare un bersaglio e per illustrare le possibili conseguenze in caso riesca l’attacco informatico. Tra queste, rientrano la compromissione della sicurezza della famiglia, danni reputazionali e ovviamente, la truffa. Allo stesso tempo, ha spiegato chiaramente l’importanza di porsi come guida.
“Il titolare deve dare l'esempio che gli altri dovrebbero seguire. Se entra a far parte del gioco, le altre persone prenderanno la questione molto più seriamente in considerazione di quanto farebbero normalmente”, afferma.
Controlli di sicurezza regolari per prevenire gli attacchi informatici
Oggi, sebbene il suo ufficio disponga evidentemente di un buon livello di sicurezza informatica, ammette che il suo approccio può ancora essere migliorato. In particolare, non ha ancora eseguito una simulazione di cosa potrebbe accadere se si verificasse un attacco. “Lo abbiamo fatto mentre coprivo il mio ruolo precedente, ma non qui. Sicuramente è qualcosa su cui riflettere”, afferma.
Un esercizio di simulazione produce quattro risultati. Serve prima di tutto a ricordare alle persone le azioni da intraprendere in caso di attacco, come, ad esempio, disattivare i sistemi ed esaminare gli audit di accesso. In secondo luogo, mostra al personale che l’SFO prende in seria considerazione la sicurezza informatica e che è necessario seguire le procedure corrette. In terzo luogo, consente di individuare gli aspetti su cui occorre intervenire ulteriormente per la massima protezione. Infine, in caso l’attacco vada a buon fine, un pen test eseguito di recente consente di ridurre al minimo le possibilità di subire azioni legali o recriminazioni personali.
Per usare le parole di Tempest: “È inutile congratularsi con sé stessi per tutte le misure messe in atto, se ancora non si è in grado di localizzare le eventuali lacune e di porvi rimedio”.
Le copie analogiche sono in grado di attutire un attacco cibernetico
Un altro aspetto che rischia di essere trascurato è l’individuazione dei “gioielli della corona”, ovvero quelle informazioni che necessitano di particolare protezione.
Potrebbero essere inclusi in questa categoria la pianificazione successoria, le cartelle cliniche dei beneficiari e persino le fotografie. Custodire questi documenti unicamente in formato fisico all’interno di una cassaforte consentirebbe di tenerli fuori dalla portata dei criminali informatici. Tuttavia, se vi sono informazioni strettamente confidenziali che devono essere in formato digitale, è consigliabile tenerle solo su una pen drive (nota anche come chiave USB), con una copia master e fino a due back-up in caso di smarrimento, tutti custoditi separatamente.
Tempest afferma che non ha ancora trovato un SFO con difese di sicurezza informatica migliori di quelle adottate da lei, ma “ciò non significa che non ne esistano”. Nel corso di questa breve conversazione, ha convenuto che vi sono ulteriori misure che potrebbero essere introdotte per proteggere meglio il patrimonio dei suoi beneficiari, ma anche i beneficiari stessi. Data la determinazione dei criminali informatici e la diffusione della criminalità informatica, è interesse di ogni SFO accertarsi di conoscere il proprio scenario informatico e adottare ogni misura praticabile in nome della prevenzione.
1https://www.insead.edu/sites/default/files/assets/dept/centres/gpei/docs/insead-student-family-offices-global-landscape-and-key-trends-2020.pdf