Circa un anno fa la SEC (Security Exchange Commission, l’equivalente statunitense della nostra Consob) iniziò a richiedere alle aziende quotate in borsa di rendere pubblici gli attacchi informatici, unitamente alla stima dei costi che questi comportano. La ragione della richiesta, secondo quanto dichiarato dal senatore John Rockfeller, è relativamente semplice:
Cibercriminali hanno rubato proprietà intellettuale del valore di miliardi di dollari e gli investitori ne sono stati tenuti totalmente all’oscuro. Questa linee guida cambiano ogni cosa.
La divulgazione di questi attacchi non è immune da rischi e la stessa SEC mette in chiaro nell’introduzione del proprio provvedimento che si intendono trattare i rischi inerenti l’informatica come ogni altro rischio, ben sapendo che questo crea ulteriori rischi per la cybersecurity:
Abbiamo preparato queste regole di condotta in coerenza con le considerazioni rilevanti rispetto alla divulgazione di qualunque altro rischio di impresa. Abbiamo ben presente che rivelazioni dettagliate potrebbero compromettere le iniziative di cibersicurezza.
A distanza di pochi mesi era piuttosto chiaro come le aziende facessero orecchi da mercante e, passato un anno, è ancora più evidente. Ad oggi il motivo principale per non procedere alla pubblicazione delle informazioni in merito è quello relativo al danno che ne conseguirebbe per la propria reputazione.
La SEC comunque sta inviando richieste di informazioni in merito ad attacchi informatici a diverse aziende quotate ed almeno sei (tra cui Amazon e Google) sembrano essere sostanzialmente obbligate a riportare periodicamente sul tema. L’ente non ha il potere di obbligare le aziende a dotarsi di sistemi per la sicurezza informatica, ma obbligandole a svelare rischi e vulnerabilità conta di ottenere un effetto analogo. È lo stesso senatore Rockfeller che, in una lettera al Presidente della SEC del maggio 2011, scrive chiaramente To attract capital, companies might then have to take steps to reduce the risks, per attirare capitali le aziende potrebbero doversi trovare a prendere iniziative per ridurre i rischi.
Trovare un punto di equilibrio tra le diverse esigenze in gioco parrebbe difficile in quanto dover pubblicare periodicamente gli attacchi subiti o i rischi di attacco potrebbe fornire informazioni preziose ai concorrenti ed a quanti volessero perpetrare un attacco informatico. Questo ragionamento però vale anche per tutti gli altri rischi dei quali le aziende devono riportare agli investitori e per i quali ottemperano già oggi.
L'autore
Iscriviti alla newsletter
Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo
