Cybersecurity risks, salute e sicurezza sul lavoro, tutela della privacy: una visione integrata
L’indagine sui rischi che le organizzazioni si trovano ad affrontare nel mutevole e turbolento contesto planetario, periodicamente condotta sotto l’egida dell’ECIIA (European Confederation of Institutes of Internal Auditing) registra il permanere, in prima posizione, di quello “Cybersecurity and data security”, anche nelle previsioni a tre anni. Continua, fra quelli censiti, a restare nelle posizioni più basse quello attinente a “Health, safety and security” (SSL), presumibilmente per la maggiore strutturazione normativa, governabilità e assetto dei controlli che lo connota.
Va da sé, che i rischi non si manifestano a compartimenti stagni e che i cyberattack possono impattare su qualsiasi variabile organizzativa, dunque anche sulla SSL, ad esempio mettendo in default impianti tecnologici serventi alla gestione delle emergenze.
Un discussion paper pubblicato dell’EU-OSHA (Agenzia Europea per la salute e la sicurezza sul lavoro) fornisce stimoli per approcciare una lettura più complessa delle interrelazioni fra i due predetti rischi, con refluenze anche sul versante della protezione della privacy.
Si tratta del documento “Incorporating occupational safety and health in the assessment of cybersecurity risks“, elaborato da Isabella Corradini, Direttore scientifico del Centro Ricerche Themis, esperta di Human factors & Digital awareness, in cui si evidenzia che, nell’individuazione degli impatti degli attacchi cyber, il fatto di considerarli una minaccia esterna può indurre a non prestare sufficiente attenzione agli aspetti della salute fisica e mentale dei lavoratori, in quanto la SSL è gestita internamente.
Occorrerebbe invece che il processo di risk management integri la salute e la sicurezza sul lavoro nella valutazione dei rischi per la sicurezza informatica, non tralasciando le connessioni fra privacy (degli interessati) e SSL per il personale delle organizzazioni.
Per inquadrare la portata della questione, va rimarcato che il crimine informatico a livello globale si muove su livelli crescenti: c’è chi addirittura stima che nel 2025, cioè domani, il “valore” del cybercrime possa raggiungere la quota di 10,5 trilioni di dollari (cioè 10.000.005.000.000 banconote da un dollaro…), considerando oltre al danno economico diretto anche ad es. i danni alle base-dati, l’impatto sui processi operativi, i danni reputazionali, la ridefinizione delle misure di difesa, le conseguenze legali, anche in campo privacy.
Inoltre, la fase COVID-19 ha comportato innovazioni di processo nelle diverse organizzazioni che sul versante tecnologico hanno ampliato la frontiera da difendere e moltiplicato le possibilità di attacco che in prospettiva diventeranno sempre più temibili anche in considerazione degli sviluppi dell’IT quantistica (che fra l’altro, banalmente, dal punto di vista della criminalità hacker diventa uno strumento - temibile – per la tenuta delle difese crittografiche).
Tocca all’analista del cyberisk mettere ben a fuoco la scena del crimine in cui oltre alla dimensione organizzativo tecnologica (livello macro) emerge anche quella umana (livello micro).
In primo luogo non va tralasciato che spesso l’attaccante esterno riesce a trovare varchi per correntezze comportamenti dei lavoratori dovuti a errore o a situazioni di stress (phishing, social engineering, ingenuità nella gestione delle credenziali IT) pur in presenza di precise policy aziendali, con impatti che possono essere macro sull’organizzazione; per i lavoratori, poi, occorre considerare impatti che possono essere anche devastanti: oltre alle lesioni fisiche – che risulta più agevole censire – anche le lesioni inerenti alla salute mentale (ansia o frustrazione) pure in funzione della rilevanza degli incidenti anche con riguardo alla privacy.
Corradini richiama ad esempio il senso di colpevolezza o di frustrazione che può generarsi nei lavoratori colpiti o tramite cui possono avvenire attacchi informatici; il danno psicologico può essere particolarmente forte per chi opera in quelle organizzazioni, come quelle finanziarie, ove una violazione dei dati è in grado di produrre conseguenze assai gravose. Senza contare che l’esposizione dei propri dati personali può essere particolarmente impattante (talvolta con scelte anche estreme).
Al riguardo menziona la posizione, dal fronte medico, che considera come la violazione della privacy possa avere effetti negativi sulla salute mentale degli individui; segnala inoltre il fenomeno della vittimizzazione da crimine informatico che può colpire il personale adibito alla security IT in termini di decadimento della fiducia professionale.
Infine, l’esperta sottolinea come sia importante considerare i fattori psicologici tra le cause degli incidenti: la quota del personale che potrebbe incorrere in errori sarebbe del 52% per stress, del 43% per stanchezza, del 26% quando esausto.
Ciò conduce a diverse riflessioni:
a) il diritto alla privacy andrebbe salvaguardato non solo in quanto diritto di cittadinanza ma anche in quanto indispensabile per salvaguardare l’identità personale, la salute mentale delle persone, come prospetta il clinico Elias Aboujaoude . Per tutelare la privacy le organizzazioni devono porre in essere idonee misure previa esaustiva analisi del rischio;
b) la cybersecurity non dovrebbe essere tesa alla sola protezione di sistemi IT e informazioni ma, poiché è implicata la salute delle persone, in primis dei lavoratori, andrebbe adottato un approccio multidisciplinare che preveda anche raccordi – nel rispetto delle rispettive competenze – della funzione di sicurezza IT come di quella SSL: una analisi integrata del cyber risk non può tralasciare il lato umano delle difese da porre in essere;
c) emerge inoltre come spunto di miglioramento l’esigenza che le organizzazioni considerino il campo dell’human-computer interaction (HCI), dell’interazione fra uomo e risorsa IT, per progettare interfacce HCI per ridurre al minimo i rischi connessi alla security IT e alla SSL, in un mondo dove il luogo di lavoro diventa sempre più decentrato, fluido, liquido.
Va sottolineato che una visione come quella prospettata non vada letta nel senso di negare o tralasciare che negli incidenti cyber possano esservi responsabilità dei singoli lavoratori: piuttosto andrebbe considerata nel senso che - escluso in generale il caso di dolo – ove possa ricorrere la colpa, grave o lieve che sia, è possibile che contestualmente vi abbiano contribuito fattori gestionali o di processo che andrebbero preventivamente depotenziati da una adeguata analisi del rischio.
In conclusione, il lavoro di Corradini è uno stimolo, un pungolo alla riflessione, prospettando - a chi si interessa alle tematiche della sicurezza IT, della SSL e della privacy vs la minaccia cyber - questioni piuttosto che risposte: queste vanno trovate da tutti i soggetti coinvolti su tali tematiche.