L’impatto della guerra Russia-Ucraina sulle imprese è già forte, e le conseguenze delle dure sanzioni imposte dall’Europa dureranno a lungo, anche per molte organizzazioni che non hanno connessioni dirette con il teatro di guerra. Con la crisi dei mercati finanziari, i prezzi delle materie prime in forte rialzo, le Supply Chain a rischio interruzione, i servizi IT non garantiti, a preoccuparsi sono diverse società, anche italiane, che rischiano di pagare care le conseguenze del conflitto, se, come nessuno si augura, dovesse prolungarsi a lungo. I responsabili del risk management sono al lavoro per correre ai ripari. Per loro, gli analisti di Forrester hanno stilato una lista di interventi prioritari per una gestione del rischio più efficace possibile.
Mettere in sicurezza le filiali nelle zone di guerra
Le più a rischio sono ovviamente imprese con attività in Bielorussia, Russia o Ucraina e fra queste ci sono anche multinazionali italiane, come Danieli, Buzzi Unicem, Webuild, Ferrero, Maschio Gaspardo. Queste realtà potrebbero trovarsi di fronte a scenari complicati, ad esempio quello di non essere più connesse in modo affidabile, nell’ipotesi che il fornitore di connettività e cloud non fosse più in grado di fornire servizi alle filiali con sede in una zona di conflitto o nelle sue vicinanze, se fosse soggetto a sanzioni o a danni diretti alle attività commerciali nelle zone di guerra. Per questo motivo, secondo Forrester i risk manager, i CISO e gli IT manager devono urgentemente rivedere le loro dipendenze dai provider tecnologici chiave nella regione e valutare rapidamente la possibilità di cambiare fornitore in caso di necessità. Serve rivedere i piani di business continuity, la supply chain, i fornitori, e assicurarsi che i dirigenti coinvolti siano autorizzati a prendere velocemente decisioni quando necessario.
Aggiornare i dipendenti sull’aumento del rischio
Se un’azienda è impattata dalla crisi, occorre comunicare in modo opportuno e assicurarsi che tutti in azienda siano consapevoli dei potenziali attacchi. Il consiglio è di essere concreti e sintetici nella comunicazione per evitare di incutere paura inutilmente, mostrando empatia se ci sono persone che potrebbero essere direttamente colpite dall’evento. È fondamentale proteggersi sul fronte della Cyber Security, assicurarsi che i collaboratori siano preparati a potenziali attacchi e conoscano la forma che questi possono assumere. Attenzione in particolare al phishing: sono in circolazione e-mail fraudolente ideate per raccogliere denaro, sfruttando questa drammatica situazione. I destinatari vengono attirati con un invito per una donazione destinata a fondi di supporto ucraini falsi.
Prepararsi a ulteriori interruzioni della Supply Chain
Proprio quando sembrava che i problemi della catena di approvvigionamento globale potessero diminuire, la guerra in Ucraina ha dato un altro colpo al sistema. Le aziende dovrebbero prepararsi a nuove carenze, interruzioni di fornitura e sanzioni che destabilizzano le supply chain per almeno 24 mesi. Ricordiamo che la Russia fornisce più di un terzo del gas naturale europeo ed è il secondo più grande esportatore di petrolio al mondo; inoltre, la Germania ha già bloccato il gasdotto Nord Stream 2. È probabile, in questo scenario, un aumento dei prezzi del carburante, che potrebbe scarseggiare. Dal momento che l’UE ha chiuso il suo spazio aereo a tutti i voli russi e che FedEx e UPS hanno fermato le spedizioni, sia in Russia che in Ucraina, bisognerà aspettarsi un aumento dei costi e interruzioni dei viaggi e del trasporto merci. Inoltre, la guerra in Ucraina esacerberà la carenza di chip: i gas xeno e neon sono entrambi essenziali per la produzione di semiconduttori, e l’Ucraina produce circa il 70% del totale globale di entrambi i gas. La lista continua: Russia e Ucraina insieme rappresentano il 25% delle esportazioni mondiali di grano.
Mappare la filiera sia a monte che a valle
In parallelo alle operazioni militari, i cyberattacchi contro i servizi finanziari e governativi ucraini sono in pieno svolgimento. Molte aziende, anche se non hanno (o non sanno di avere) fornitori strategici (essenziali) nella regione, si troveranno coinvolte nella guerra, che è digitale e fisica. Le aziende dovrebbero iniziare immediatamente a mappare l’ecosistema di relazioni: operations, asset, dati o beni in queste aree (si pensi al carburante, metalli, gas industriali, mais e grano). Più di 3.300 aziende statunitensi ed europee hanno fornitori di primo livello in Russia, e più di 650 aziende statunitensi ed europee hanno fornitori di primo livello in Ucraina. Avere pronti dei piani d’emergenza è essenziale.
Monitorare le restrizioni e l’ecosistema di partner
I controlli di routine su policy e normative che permettono di decidere se lavorare con un cliente, un partner, un venditore o un fornitore sono diventati più complicati. Gli Stati Uniti hanno già imposto nuove regole su investimenti, commercio e finanza nelle regioni della Repubblica Popolare di Donetsk e della Repubblica Popolare di Luhansk in Ucraina. In questo momento, l’Australia, l’Unione Europea, il Giappone, la Nuova Zelanda, la Svizzera, Taiwan, il Regno Unito e gli Stati Uniti hanno imposto sanzioni contro il sistema finanziario russo, il commercio e l’accesso ai semiconduttori, hanno tagliato l’accesso a conti bancari svizzeri per le aziende e gli individui sanzionati e hanno espulso diverse banche russe dal circuito SWIFT, tagliandole così fuori dal sistema finanziario globale. Nuovi interventi arriveranno. Anche su questo, occorre essere proattivi, controllando le terze parti, compresi i partner, le affiliate straniere e i clienti.
Fare attenzione a termini e condizioni delle polizze assicurative informatiche
Le polizze di responsabilità civile hanno in genere una clausola che cita la guerra. Le polizze di assicurazione per la cyber security possono anche avere un regolamento che limita la copertura quando un attacco è considerato cyberterrorismo. Almeno dal 2020, le società di assicurazione informatica si rifiutano di pagare le richieste di risarcimento relative ad attacchi attribuiti ad attori finanziati dallo stato. In particolare, i Lloyd’s di Londra hanno aggiunto un ampio regolamento alle loro polizze, escludendo la copertura per i cyberattacchi, considerati un risultato diretto o indiretto di un atto di guerra informatica. Chiedere supporto a un team legale o un consulente esterno è una buona idea.
Rivedere i piani di Disaster Recovery (DR) e alta disponibilità (HA)
Le infrastrutture informatiche, fondamenta dell’operatività di ogni azienda, sono costruite con un mix di infrastrutture on-premise, di cloud pubblico e privato. È importante non solo avere un playbook di Disaster Recovery (DR) pronto, ma anche capire come implementare quel workflow. Serve verificare con i colleghi IT che si stanno effettivamente eseguendo gli step chiave del piano di DR con backup frequenti e revisione delle connessioni utilizzate. I piani di High Availability possono essere molto efficaci per mitigare le interruzioni e i danni, ma solo se sono attivamente mantenuti e sempre aggiornati.