Sale il costo del cybercrime: l’impatto finanziario degli attacchi informatici sta diventando sempre più significativo per le imprese e le conseguenze spesso devastanti dei crimini informatici rendono improcrastinabile una profonda riflessione circa riallocazione delle risorse ed investimenti in materia di sicurezza. Gran parte del fatturato dei cyber criminali è infatti realizzato attaccando decine di migliaia di medie, piccole e micro imprese, completamente impreparate ad affrontare tale minaccia: i cybercriminali ne bloccano l’operatività, rubano i loro asset, spiano le loro strategie di business.
Lo dimostra il “Cost of Cyber crime study”, un’indagine realizzata da Accenture in collaborazione con Ponemon Insitute, relativa ai costi pagati dalle aziende nel 2017 per gli attacchi alla sicurezza, che ha coinvolto 2.182 professionisti informatici ed esperti di sicurezza in 254 aziende in tutto il mondo, in un arco temporale di dieci mesi. Sono state esaminate le quattro principali conseguenze di un attacco informatico, ovvero la perdita di ore lavorative, di informazioni, di ricavi ed i danni alle infrastrutture.
Secondo il report, in media ogni impresa subisce 130 violazioni all’anno, con un aumento del 27% rispetto al 2016. Le società dei settori dei servizi finanziari e dell’energia sono le più colpite, con un costo medio annuo rispettivamente pari a 18,28 e 17,20 milioni di dollari. Il cyber crime nel 2017 costerà mediamente 11,7 milioni di dollari per azienda, il 23% in più rispetto ai 9,5 milioni del 2016 e il 62% in più rispetto alla media degli ultimi cinque anni.
Il costo medio più alto è attualmente sostenuto dagli Stati Uniti, passati da 17,36 milioni di dollari nel 2016 a 21,22 milioni di dollari del 2017; nello stesso periodo in Germania i costi sono saliti da 7,84 a 11,15 milioni, in Giappone da 8,39 a 10,45 milioni.
Qualche dato relativo al nostro Paese: 9 miliardi di euro persi ogni anno a causa di cyber attacchi e minacce informatiche in costante aumento: si pensi all’incremento del 50% del cd. Phishing, un tentativo di truffa realizzato mediante il furto di dati personali dell’utente, e del 135% dei cd. Ransomware, software automatizzati in grado di bloccare l’accesso ai dati presenti in un dispositivo sino al pagamento di un “riscatto”.
Nel solo 2015 le vittime note di Ransomware sono state oltre 2.500 e sono stati pagati oltre 24 milioni di dollari di riscatto. Un’azienda su tre ha deciso di pagare; una su cinque, tuttavia, non è neppure riuscita a rientrare in possesso dei propri dati.
Lo studio ha inoltre messo in evidenza l’aumento del tempo necessario a rimediare alle criticità conseguenti ad un cyber attacco: si è stimato che le violazioni che necessitano di un maggior tempo di intervento sono quelle poste in essere da attacchi interni, per le quali occorrono in media 50 giorni, mentre il Ransomware richiede in media 23 giorni per il ripristino della funzionalità del sistema aziendale.
L’effetto più dannoso si riscontra nella perdita di informazioni, menzionata dal 43% delle organizzazioni intervistate. Di contro, i costi legati all’interruzione dell’attività, quali ad esempio quelli relativi a malfunzionamenti dei processi aziendali, è sceso dal 39% del 2015 al 33% registrato nello studio di quest’anno.
Il valore del mercato italiano della cybersecurity è oggi stimato in 850 milioni di euro, ma solo il 33% del Top management italiano valuta la sicurezza informatica come una priorità di investimento per la propria azienda. Dati allarmanti, se si pensa che il cyber crime costa all’Italia oltre 9 miliardi l’anno.
A cosa può ricondursi tale insensibilità al tema del data security?
In primo luogo, all’insufficiente approccio strategico delle aziende al problema della sicurezza ed all’assenza di ruoli organizzativi dedicati al security management. A ciò si aggiungano le difficoltà nella mappatura dei rischi, nella quantificazione costi-benefici dei differenti interventi tecnologici, nella definizione di strategie aziendali a lungo termine.
Secondo Accenture, infatti, solo il 28% delle imprese utilizza tecnologie avanzate di machine learning, in grado di raccogliere informazioni da diverse fonti e di offrire indicazioni di priorità sugli interventi. Eppure, con 2,2 milioni di dollari, tali sistemi hanno registrato il terzo maggior valore di risparmio tra le tecnologie di sicurezza.
“Le conseguenze sempre più costose e devastanti che le aziende subiscono a causa dei crimini informatici sottolineano l’importanza crescente di una pianificazione strategica ed un monitoraggio costante degli investimenti in sicurezza” ha dichiarato Kelly Bissel, Managing Director di Accenture Security, che ha aggiunto “I criminali informatici sono sempre più determinati e utilizzano mezzi sempre più sofisticati. E’ quindi necessario che le organizzazioni adottino una strategia di sicurezza dinamica e agile, che costruisca resilienza dall’interno e non si focalizzi sulla difesa del perimetro”.
E allora vediamo nel dettaglio in quale direzione dovrà svilupparsi questo processo di revisione dei sistemi produttivi aziendali volto al miglioramento dell’efficacia delle misure di cybersecurity e, soprattutto, con quali costi per le imprese.
Il Research Center of Cyber Intelligence and Information Security dell’Università Sapienza di Roma lo scorso mese di marzo ha pubblicato l’Italian Cybersecurity Report 2016, che propone e sviluppa 15 Controlli Essenziali di Cybersecurity che possono essere adottati ed implementati da medie, piccole o micro imprese per ridurre il numero di vulnerabilità presenti nei loro sistemi. Eccoli indicati di seguito:
1) Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale;
2) I servizi web (social network, cloud computing, posta elettronica, spazio web, ecc..) offerti da terze parti a cui si è registrati sono quelli strettamente necessari,
3) Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti;
4) È stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici;
5) Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di Cybersecurity che risultino applicabili per l’azienda;
6) Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc..) regolarmente aggiornato;
7) Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori);
8) Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati;
9) Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza;
10) Il personale è adeguatamente sensibilizzato e formato sui rischi di Cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato, …). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza;
11) La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite;
12) Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (identificati al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente;
13) Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione).
14) In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto;
15) Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.
Lo studio elabora inoltre una stima economica del carico degli investimenti da effettuare per implementare tali controlli essenziali, ipotizzando una riduzione del rischio cyber di circa l’80%.
Prendendo a riferimento il cd. danno medio finanziario derivante alle piccole e medie imprese da incidenti informatici, calcolato da Kaspersky Lab intorno ai 35 mila euro annui per azienda e comprensivo di costi di recovery, di perdita di volume d’affari, di tempi di inattività e danno all’immagine, si stima che il primo anno una piccola impresa dovrà sostenere un investimento di poco superiore ai 10 mila €, ben più basso della stima di danno medio per PMI fornita.
Nel caso invece di una media impresa, il costo degli investimenti al primo anno, di poco meno di 25 mila € risulta di circa il 30% inferiore alla stima di danno medio.
Dati alla mano, è dunque fondamentale che le aziende prendano maggiore consapevolezza dell’importanza di allocare una parte non trascurabile del proprio budget all’ammodernamento ed all’implementazione dell’architettura IT, guardando alle nuove tecnologie ed investendo nell’innovazione, così da sviluppare un approccio predittivo e non meramente reattivo, in grado di tutelare la realtà aziendale, con un occhio alla sicurezza ed uno alle prestazioni.
