rischi-per-i-mass-media

Rischi per i mass media

Il moltiplicarsi dei canali di diffusione e dei contatti con il pubblico si traduce in maggiori rischi per le aziende attive nella comunicazione e nell’informazione. Parallelamente, la superficie di attacco si è aperta anche alle minacce dei pirati del web, come evidenzia Filippo Todaro, responsabile architetture e sicurezza del gruppo Mediaset

I cambiamenti portati dal digitale hanno avuto un impatto anche nel settore dei media: maggiore visibilità e ampia disponibilità di contenuti sono quanto principalmente attrae i pirati del web. Come spiega Filippo Todaro, responsabile architetture e sicurezza del gruppo Mediaset, è una complessità che va al passo con i tempi: "Se un tempo trasmettevamo contenuti solo in Tv, oggi ci siamo necessariamente aperti alle opportunità del digitale con una forte presenza sul web con offerte free e a pagamento: questo non solo ha aumentato la complessità, ma ci espone ai rischi di un sistema aperto come internet". 

La trasmissione in broad band espone i contenuti e i sistemi dell’azienda all'accesso fraudolento di pirati che utilizzano software rintracciabili in aree più o meno legali del web. Le aziende di produzione e trasmissione di contenuti hanno dovuto quindi alzare le difese, modificando notevolmente la struttura di controllo precedente che era incentrata sul controllo interno: "L’adozione del cloud come piattaforma preferenziale per i servizi web cambia completamente l’approccio alla difesa: non si tratta più di dotarsi di antivirus potenti e di firewall ma di predisporre servizi di difesa erogati da un Security Operation Center”, un cambiamento che comporta uno sforzo notevole da parte delle aziende, non solo economico ma anche di organizzazione, che deve prevedere un controllo pervasivo e h24 .


Furto di dati, frodi e danno d’immagine

I rischi a cui si espongono le imprese del settore media hanno diversa natura e livello di complessità: “Il più importante è l’attacco DDOS (denial of service) che punta a creare un danno economico e di immagine all’azienda. Sono attacchi che non è difficile mettere in atto, e sono altrettanto facili da sventare, ma richiedono costosi servizi di protezione. Nel nostro caso gli obiettivi sono di solito gli eventi a elevata risonanza , il calcio in particolare”. Rilevante anche il rischio di frode, finalizzato ad avere un accesso diretto ai servizi senza pagamento di fee o al furto di contenuti da dirottare sul commercio illegale: “Il danno in questo caso è soprattutto economico. La frode va individuata tramite un’attività specifica di intelligence che esce dal perimetro tradizionale dell’azienda e per la quale è necessario affidarsi a chi si occupa di indagini su internet e il deep web. Questi professionisti monitorano quanto accade in relazione al nome dell’azienda, se necessario si effettuano ricerche approfondite e, se è il caso, si mettono in atto delle azioni legali”. Ci sono poi attacchi di tipo generico che possono essere rivolti a qualsiasi azienda e che ricercano debolezze nel sistema per sottrarre dati o danneggiare i sistemi: “Questi tipi di attacco puntano in genere ad aziende meno strutturate che sono spesso anche meno difese, così come il fishing o malware: per questi utilizziamo sistemi che autoapprendono e puntiamo a ridurre il rischio lavorando sull’organizzazione e sulla formazione del personale, con buone pratiche che riducono la possibilità di un danno reale”.


Investimenti per difendersi dal rischio cyber

Lavorare sulla difesa di un sistema molto complesso che include Tv, pay tv, radio, news, piattaforma web e app, richiede uno sforzo economico e organizzativo notevole, tanto che Mediaset destina circa il 5% del budget It alla difesa dal rischio cyber. L’information security ha oggi il compito non solo di proteggere dati e beni, ma assume un ruolo di salvaguardia dell’immagine del gruppo: “Il nostro obiettivo è di costruire un programma sostenibile che permetta di conciliare le esigenze di protezione con quelle di gestione del business, tanto che il piano di gestione del rischio viene concordato con i business owner e presentato al top management interno e agli organi di vigilanza ”.

Le attività collegate all’Information Security sono definite in un framework documentale in quattro livelli:
1-    l’Information Security Policy (ISP) che contiene le responsabilità e i principi in ambito Information Security;
2-    le Linee Guida di Information Security, definite sulla base dei principi formalizzati nella Isp, divisi nei quattro ambiti : Information Security Governance, Ict Security Engineering, Ict Security Operation e Utilizzo degli strumenti informatici;
3-    le procedure operative attuative delle Linee Guida;
4-    la documentazione di verifica delle procedure attuative.

L’attuazione dei principi di information security del gruppo è stata demandata a tre funzioni interne appositamente costituite:
–    l’Information security officer;
–    il Comitato direzionale di information security;
–    il Comitato di emergenza.

Tra le prossime sfide, una delle principali sarà l’attuazione del Gdpr, il regolamento europeo sulla privacy che entrerà in vigore da maggio 2018.