Cybersecurity, come le aziende si difendono dagli attacchi

138
cyber security come le aziende si difendono

Non siamo a Caccia a ottobre rosso, o in un film di spionaggio industriale. Non siamo in tempi di guerra fredda, furti di brevetti o affascinanti spy-story di questo genere. Ma siamo nell’era della rete incontrollata, del flusso di dati senza limiti, e anche i crimini (e i criminali) si adeguano, come è naturale, al contesto.

All’utente è necessario quindi difendersi, e più di tutti, da questo punto di vista, a difendersi dagli attacchi informatici devono essere le aziende, per le quali diventano sempre più importanti gli investimenti nell’ambito della sicurezza informatica. Cybersecurity, si dice in gergo, intendendo quella sottoclasse del concetto di “information security” che definisce l’ambito di quest’ultima dipendente dalla tecnologia informatica. Un ambito costantemente “in progress”, se si considerano i cambiamenti e le evoluzioni anche da un punto di vista di minacce e quindi anche di rischi e vulnerabilità dei cosiddetti asset, e la necessità di protezione dagli attacchi capaci di creare danni enormi a una azienda o realtà economica, ma anche politica o sociale.

Anche in questo caso, come in tanti altri, sul tema della cybersecurity il nostro paese appare un po’ in ritardo, sebbene i trend degli ultimi mesi siano confortanti. Un recente studio della Banca d’Italia, “Indagine sulle imprese industriali e dei servizi” ha approfondito le dimensioni economiche del fenomeno nel settore privato.

Si sono scelte, per l’analisi, le imprese con un organico superiore ai venti addetti, chiedendogli di fornire dati rispetto alle misure difensive adottate, agli investimenti fatti nel campo della sicurezza informatica, alla portata dei danni e alle iniziative prese successivamente agli attacchi.

I dati degli anni precedenti mostrano che fino al 2016 le imprese italiane non erano troppo attente alla prevenzione degli attacchi informatici, spendendo una somma pari al quindici per cento circa della retribuzione annuale lorda di un lavoratore. Il quadro emerso dal paper “The price of cyber (in)security” appariva poco rassicurante, sebbene vi fossero delle differenze rilevanti.

La prima, per esempio, riguarda il comparto ICT (Information and Communication Technolgy), in cui la cifra saliva naturalmente a livelli più alti (dai 4.530 euro medi ai 19.080 ICT, e con enorme differenza rispetto ai 3.420 delle imprese a bassa intensità tecnologica); ancora, lo scarto tra nord e sud del paese, giustificato semplicemente dalla differenza di dimensioni e di specializzazione delle singole realtà aziendali meridionali e settentrionali.

Dai dati dei nuovi rapporti, si diceva, si evince una crescita, tanto in termini numerici, che di “mentalità”. Quasi tutte le aziende coinvolte nella indagini della Banca d’Italia, hanno dichiarato di utilizzare degli anti-virus, anche se è difficile capire con che frequenza questi vengano aggiornati, elemento fondamentale per combattere le evoluzioni e i progressi dei criminali informatici. Ben due terzi delle compagnie hanno dichiarato di investire nella formazione dei dipendenti per aiutarli ad attuare dei “comportamenti informatici” sicuri, mentre molto meno diffusa è la pratica della cifratura dei dati, utilizzata da quasi l’ottanta per cento delle aziende del campo ICT, ma pochissimo da tutte le altre.

A seconda che si preferisca guardare il bicchiere mezzo pieno o vuoto, si può analizzare questo dato in maniera differente. Se le imprese infatti appaiono vulnerabili per scarsa consapevolezza del rischio, più che per la poca volontà di spendere in risorse e prevenzione (anche perché, oggi come oggi, esiste la possibilità di cifrare dati gratis), d’altro canto è vero che questa mancanza di conoscenza e consapevolezza offre la sponda a chi vende e fornisce sistemi difensivi, dandogli la possibilità di vendere a prezzi molto alti soluzioni assai più economiche, che avrebbero gli stessi risultati, e che soprattutto sarebbero più alla portata, o comunque più adatte, alla dimensione della piccola e media impresa.

Più che la consapevolezza rispetto alla necessità di prevenzione, quello che oggi spinge maggiormente le aziende a investire in cybersecurity è infatti la paura, soprattutto conseguente all’aver subito in passato attacchi di questo genere. Non è un caso che a spendere di più nel 2016, siano state quelle aziende che hanno individuato una intrusione di cyber-criminali nei propri circuiti, e hanno sentito la necessità di rafforzare le proprie difese subito dopo. Chi non li ha scovati, o non è stato interessato dagli attacchi, invece, continua a spendere una cifra modesta negli ambiti della tutela e della prevenzione.

È vero che, in caso di attacco, i danni sono abbastanza variabili per dimensione ed entità. Sempre dal recente rapporto, si evince che circa il settanta per cento delle aziende colpite ha dovuto temporaneamente interrompere le proprie attività ordinarie, aumentando il numero di ore lavorative per il ripristino di una situazione di agibilità e sicurezza.

Quantificare il costo in termini economici non è facilissimo, ma si parla di danni che vanno dai diecimila fino anche (in casi molto rari) ai cento o duecentomila euro, includendo anche la pratica (meno frequente) della perdita o furto di dati. È però importante mantenere alta una soglia di attenzione, anche perché, come sottolinea anche l’indagine inglese Cyber Security Breaches Survey, nonostante i costi nella maggior parte dei casi relativi imposti alle aziende rimaste vittime di attacchi, sono proprio quelli più piccoli e meno percepibili a essere un veicolo per quelli più grandi e importanti, capaci di mettere letteralmente in ginocchio una azienda.