E-Commerce sotto attacco. Arriva la NIS2

In passato, ogni nostro singolo acquisto (analogico) era e rimaneva anonimo, oggi con la crescente interdipendenza dalle tecnologie, i pagamenti elettronici, le connessioni transfrontaliere, aumenta l’importanza di assicurare la sicurezza dei nostri dati personali, preservare la resilienza delle infrastrutture che ogni giorno siti e-commerce e fornitori di servizi digitali utilizzano.

Dopo che il supporto di Magento 1 è stato terminato quasi 3000 negozi Magento 1 sono stati presi di mira dal gruppo hacker MageCart, stessa sorte è capitata anche Shopify, Prestashop e Woocommerce. Tra gli attacchi più noti quello alla compagnia British Airways, Ticketmaster, leader mondiale nella vendita di biglietti di eventi, ma anche Warner Music e svariate catene alberghiere.

Nel 2022 i ricercatori hanno scoperto quasi 10.000 siti web contenenti skimmer, un codice ofuscato presente spesso nei plugin di pagamento, ma anche in Google Analytics o il Pixel di Meta che preleva informazioni personali, solitamente legate alla modalità di pagamento.

La Direttiva (UE) 2016/1148 NIS (Network and Information Security) ha introdotto per prima alcune misure organiche nell’ambito della sicurezza dei sistemi informativi dell’UE; la NIS2 entrata in vigore lo scorso 17 gennaio 2023 (che dovrà essere recepita entro il prossimo 18 ottobre 2024, n.d.r.) alza ulteriormente il livello di attenzione sul rischio degli attacchi informatici e la consapevolezza che gli Stati membri devono acquisire sui riflessi che un cyber attacco avrebbe sulla vita economica e sociale di un paese.

La Direttiva NIS2 prova ad armonizzare l’affollato quadro normativo e regolamentare europeo, dove insieme al GDPR, il Regolamento Generale sulla Protezione dei Dati UE 2016/679, ci sono il Regolamento DORA (Digital Operational Resilience Act), la Direttiva CER (Critical Entity Resilience), il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.

Se l’obiettivo principale del legislatore europeo rimane quello di rafforzare le misure di cybersecurity soprattutto delle infrastrutture ritenute critiche, la NIS2 distingue all’art.2 tra servizi “essenziali” nel settore di energia, acqua e gas compresi, trasporti, servizi finanziari e sanitari, di infrastruttura digitale e quelli definiti “importanti”.

Tra le aziende che si occupano di servizi digitali (DSP – Digital Service Provider) che devono essere preservati, compaiono ora: i siti e-commerce (chiamati mercati online), i motori di ricerca, i servizi di condivisione di file, quelli di posta elettronica, i servizi di social media, i siti di informazione (content delivery network), di cloud e edge computing, sia pubblico che privato, che ibrido, comprendendo sia chi offre il servizio a livello di infrastruttura (IaaS), che a livello di piattaforma (PaaS), che a livello di software (SaaS) oltre a livello di rete (NaaS).

Ivi compresi tutti coloro che prestano servizi ICT B2B, comprese le pubbliche amministrazioni, gli enti di ricerca e le scuole di ogni ordine e grado.

Sebbene la NIS2 si applichi a Digital Service Provider che svolgano la loro attività all’interno della UE di “medie dimensioni”, questa limitazione scompare per coloro che svolgono servizi di registrazioni dominio di primo livello, i fornitori di reti e di servizi di comunicazioni elettronica, come nel caso di provider di e-mail.

L’infrastruttura dei sistemi di nomi di dominio, la risoluzione dei DNS è ritenuta fondamentale per garantire il funzionamento e l’integrità di Internet.

Tra i servizi che rientrano nell’applicazione di NIS2, indipendentemente dalle dimensioni ci sono anche i servizi di creazione, verifica e convalida di firme elettroniche, PEC e certificati SSL.

E-commerce. Cosa fare

A prescindere dalla piattaforma e-commerce adottata, se SAAS o open-source, gli standard di sicurezza informatica dovranno essere proporzionati ai rischi che potrebbero affrontare in caso di attacco informatico; per proteggere sia i dati personali che quelli finanziari di clienti e fornitori con cui si opera.

Se il GDPR impone di notificare il data breach entro le 72 ore dal momento in cui se ne viene a conoscenza, con NIS2 il fornitore di servizi digitali dovrà notificare alle autorità competenti eventuali incidenti di sicurezza una comunicazione pre-allarme entro 24 ore (art.23), la notifica entro 72 ore ed una relazione dettagliata finale entro 30 giorni dalla comunicazione di notifica.

Comunicazione di pre-allarme alle autorità competenti, entro 24 ore.

I siti e-commerce sono diventati un obiettivo attraente per i criminali informatici, poiché conservano una quantità considerevole di dati personali.

I titolari di piattaforme di commercio elettronico devono valutare i rischi legati ai loro fornitori di servizi digitali e garantire che i loro partner siano conformi alla Direttiva NIS2, verificando che questi adottino misure di sicurezza adeguate.

La Direttiva NIS2 promuove la collaborazione tra gli operatori dei servizi e le autorità competenti, per affrontare le minacce alla sicurezza cibernetica in modo efficace e collaborativo, condividendo informazioni rilevanti per la cyber-difesa.

È importante predisporre fin da subito un piano di adeguamento al fine di uniformare per gradi i vari asset aziendali e il personale con opportuni cicli formativi periodici.

Una volta stabilito se si rientra fra i soggetti obbligati (e dovrebbe essere l’ENISA a redigere questo elenco), occorre definire, tramite una gap analisys, ovvero uno studio formale di ciò che si sta facendo, quale direzione si desidera adottare, per poi individuare quali saranno le misure tecniche, operative e organizzative per colmare il divario (gap).

Come per il GDPR, vale il principio di “Accountability” pertanto occorrente adottare un tipo di approccio multirischio (art.21 p.1).

L’art. 32 del NIS2 elenca quali le misure da adottare e politiche di analisi dei rischi e di sicurezza dei sistemi informatici:

  • gestione degli incidenti;
  • continuità operativa, gestione del backup ripristino in caso di evento disastroso;
  • sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
  • sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
  • strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di sicurezza informatica;
  • best practices di igiene informatica di base e formazione in materia di sicurezza informatica;
  • policy e procedure relative all’uso della crittografia e, se del caso, della anonimizzazione o pseudomizzazione;
  • sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione dei varchi attivi;
  • uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.

Occorre prevedere una procedura di Data Breach Recovery, perché in caso di incidente significativo, si deve rispettare l’iter di notifica alle autorità competenti organizzato in 3 fasi.

La Direttiva NIS2 definisce come “incidente significativo” quando l’attacco ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato e/o se esso si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Oltre al danno di immagine, di tempo e risorse economiche investite o da risarcire, arriva la beffa delle sanzioni che possono essere di natura amministrativa o penale che nel primo caso può raggiungere i 7 Milioni di €uro o 1,4 % del totale del fatturato mondiale globale.

Un’altra importante novità della NIS2 è l’obbligatorietà, da parte dell’organizzazione vittima dell’attacco, di pubblicare sui propri canali la violazione subita.

Queste attività si ritengono essenziali per proteggere i dati dei consumatori e per garantire la fiducia nel commercio elettronico.