Home / Macroambiente / La sicurezza digitale? In azienda è un asset da tutelare da molteplici minacce

La sicurezza digitale? In azienda è un asset da tutelare da molteplici minacce

sicurezza digitale in azienda

Crescono con costanza numero e varietà di attacchi a danno delle aziende: gli esperti concordano però nel ritenere che la cybersecurity in azienda sia soprattutto questione di formazione ed educazione digitale

L’attacco ransomware alla SIAE1 ha riportato in questi giorni all’attenzione pubblica l’importanza della sicurezza digitale in azienda e più in generale in organizzazioni come enti pubblici, pubbliche amministrazioni e simili. In seguito all’attacco, infatti, 60 gigabyte di dati riguardanti artisti, contratti discografici ed editoriali, diritti di paternità delle opere sono stati esfiltrati dai database e in parte pubblicati sul dark web e in parte usati per chiedere alla stessa società un riscatto in bitcoin e agli artisti, via SMS, di pagare per non vedere pubblicamente rivelati i propri dati particolari.

L’aumento di rischi informatici durante la pandemia da coronavirus non sembra aver risparmiato neanche i business. CLUSIT, nel proprio rapporto periodico sulla sicurezza informatica, ha definito anzi il 2020 «l’anno peggiore» per quanto riguarda la cybersecurity aziendale: non solo sono aumentati del 12% rispetto alla sola rilevazione precedente gli attacchi informatici di pubblico dominio, ma ne è aumenta soprattutto la severity, ossia la gravità nelle conseguenze, con oltre 1800 tra i cyberattack rilevati classificati come «gravi».

gravità attacchi hacker 2020

Nel 2020 è aumentata anche la cosiddetta severity, ossia la gravità degli attacchi hacker a danno delle aziende. Fonte: CLUSIT

La sicurezza digitale in azienda? Costa, ma meno di non prendersene cura adeguatamente

Aver hackerati i sistemi informatici, essere vittime di phishing , subire un data breach o, appunto, un attacco ransomware sono azioni che si può dire rappresentino per l’azienda una double extortion (letteralmente una doppia estorsione) perché costringono a fare i conti non solo con l’eventuale riscatto da pagare ai criminali informatici per la restituzione dei dati, ma anche e soprattutto con diverse conseguenze ad ampio raggio non meno concrete e tangibili.

Uno studio sulla sicurezza digitale in azienda condotto da Cisco con un focus particolare sulle piccole e medie imprese, ancora in riferimento ai cyberattacchi con obiettivi business avvenuti nel 2020, ha mostrato che per esempio quasi una PMI su quattro ha impiegato più di otto ore per ripristinare l’operatività dei propri sistemi dopo aver subito una violazione grave 2. La percentuale è, anche se di poco, più alta tra le aziende di dimensioni maggiori, ma si tratta di un arco di tempo durante il quale a soffrirne sono state, in un caso e nell’altro soprattutto efficienza e produttività.

Ancora, un’azienda su tre tra quelle intervistate avrebbe perso tra i 10mila e i 100mila dati a seguito di un attacco informatico grave. Qualche volta si è trattato di dati aziendali o riguardanti la contabilità, ma non sono mancati neanche casi in cui a essere rubate sono state informazioni su nuovi progetti o coperte da segreto industriale. Più spesso il data breach ha avuto a oggetto informazioni e dati, anche personali e sensibili, che riguardavano i clienti e ciò ha inevitabilmente sommato al danno economico, anche eventualmente legato alle richieste di risarcimento da parte degli ultimi, un danno reputazionale non meno consistente. Ben oltre la metà del campione ha deciso infatti di rendere pubblica spontaneamente e prima che arrivasse a farlo la cronaca la violazione più significativa subita come prova di serietà e impegno nei confronti di clienti e partner.

Se la sicurezza digitale in azienda costa, sicuramente costa molto di più non farsene carico adeguatamente. È ancora CLUSIT a stimare quanto: varrebbero 945 miliardi di dollari i danni provocati a livello globale dal cybercrime nel 2020. A fronte di una spesa in sicurezza ICT di 145 miliardi di dollari in totale nello stesso anno significa che per ogni dollaro speso in sicurezza digitale in azienda ci sarebbero stati sette dollari di perdite.

La cybersecurity delle PMI è davvero più a rischio?

Le dimensioni contano meno di quanto si potrebbe immaginare sul tipo di perdita subita dalle aziende in seguito agli attacchi informatici. È ancora Cisco a sottolineare come gruppi internazionali, grandi aziende e piccole e medie imprese come quelle che rappresentano il grosso del tessuto industriale italiano siano altrettanto vulnerabili davanti al rischio informatico.

Per le realtà più piccole ci sono certamente alcuni aspetti più problematici: in un’impresa a conduzione familiare, per esempio, potrebbe non esserci un team dedicato alla sicurezza informatica con un chief information security officer (CISO) al capo, così come più difficile è che le imprese più piccole abbiano effettivamente implementato piani di recupero in caso di incidente informatico o li abbiano testati con esercitazioni pratiche.

pmi principali attachi digitali

Non sono tanto i rischi digitali a cui sono esposte PMI e aziende di maggiori dimensioni a essere diversi, quanto prontezza ed efficacia della risposta. Fonte: Cisco

Non sorprende che quello su cui spesso le PMI risultano più impreparate e più vulnerabili delle imprese di dimensioni maggiore è il costante aggiornamento “software” dei sistemi di sicurezza digitale aziendali: i criminali informatici per riuscire meglio nel proprio intento sarebbero, infatti, alla costante ricerca di software senza patch da minare e un 30% delle PMI del campione Cisco avrebbe subito proprio un incidente causato da una vulnerabilità senza patch con conseguente perdita di più di 10mila record di dati.

Mappare il rischio digitale in azienda

Considerato che, fatte le dovute eccezioni, le minacce informatiche a cui sono esposte le imprese rimangono invariate a prescindere da dimensione o fatturato, può valere la pena insomma provare a mappare la questione sicurezza digitale in azienda per tipo di minaccia o attacco subiti, settore d’attività o persino su base geografica.

Nel Sud Italia la sicurezza digitale in azienda è più vulnerabile

Stando all’analisi effettuata da Swascan nel Cyber Risk Indicators Report di agosto 2021, con un totale di 489 potenziali vulnerabilità rilevate, 536 email compromesse, 123 indirizzi IP e 346 servizi esposti su Internet le regioni del Sud Italia e le loro aziende sembrerebbero essere le più a rischio cybersecurity3. Più nel dettaglio Calabria, Basilicata e Sardegna avrebbero un’esposizione ai rischi informatici di tipo medio (con un numero di vulnerabilità rilevate tra 1 e 25). La Sicilia avrebbe un’elevata esposizione ai rischi informatici (qui il numero di vulnerabilità rilevate è compreso tra 26 e 50). Quello di Campania, Molise e Puglia sarebbe, invece, un livello critico con una media di oltre 50 vulnerabilità pubblicamente rilevate. Non è difficile ricollegare il “primato” delle regioni del Sud per quanto riguarda le vulnerabilità informatiche anche e soprattutto a ritardi sistemici negli investimenti in infrastrutture ICT adeguate.

attacchi informatici imprese sud

La mappa degli attacchi informatici in Italia mostra una maggiore vulnerabilità delle imprese del Sud, con il primato di Campania, Molise e Puglia. Fonte: Swascan

I cyberattacchi non conoscono limiti di settore e sono sempre più multi-target

Quanto ai settori in cui più si sono verificati attacchi informatici e minacce alla sicurezza digitale in azienda è ancora il Rapporto CLUSIT sulla sicurezza informatica 2021 a stilare una sorta di classifica. In basso, e meno soggetti cioè durante lo scorso anno a cyberattack, ci sono infrastrutture critiche (a cui è riferibile il 4% degli attacchi informatici totali), produttori di tecnologie hardware e software (5%) e banking & finance (8%).

Risalendo la classifica, ci si imbatte nei fornitori di servizi online (10%), nella ricerca e nell’istruzione (11%) e nella sanità (12%). Una buona fetta (il 14% sul totale) di attacchi digitali ha avuto come vittime militari, forze dell’ordine e intelligence. Gli attacchi informatici più comuni sarebbero stati, però, lo scorso anno del tipo «multiple target», cioè rivolti contemporaneamente e parallelamente verso soggetti diversi, molteplici e indifferenziati: così è classificabile un incidente informatico su quattro tra quelli rilevati da CLUSIT, percentuale che risulta comunque in calo (-4%) rispetto alla rilevazione precedente.

cybersecurity settori più a rischio

I settori nel 2020 maggiormente esposti ad attacchi informatici. Fonte: CLUSIT

I più comuni attacchi informatici a danno delle aziende

Andando invece alle tipologie di attacchi informatici più comuni4, c’è accordo tra gli addetti ai lavori nel sostenere che le principali minacce alla sicurezza digitale in azienda vengano oggi da malware e ransomware e dal phishing. I cybercriminali, però, progettano gli attacchi informatici diretti alle aziende sempre più spesso, facendo ricorso anche al social engineering o a più raffinate tecniche di supply chain , compromettendo quindi terze parti e arrivando all’obiettivo primario non prima di averne colpiti i contatti e aver fatto danni a numerosi obiettivi intermedi. Anche sfruttare vulnerabilità note nei sistemi ICT aziendali è però una tattica sempre più in uso tra i cybercriminali.

minacce informatiche più comuni

I malware sono di gran lunga gli attacchi informatici più frequenti a danno delle aziende. Cresce però anche il phishing e il ricorso da parte degli hacker al social engineering. Fonte: CLUSIT

Perché ora anche smart working e lavoro da remoto insidiano la sicurezza digitale in azienda

Con numerose aziende che durante i mesi di pandemia hanno fatto un ricorso tanto massivo quanto emergenziale a smart working e remote working, però, tra i rischi informatici più insidiosi con cui le stesse si sono trovate a fare i conti ci sono quelli legati all’uso promiscuo dei device connessi alle reti aziendali.

Secondo un’indagine svolta da YouGov PC, tablet, smartphone e altri dispositivi che i dipendenti hanno utilizzato indifferentemente per lavoro e per svago – quindi collegandosi ai social media , scaricando foto e video, facendo acquisti online o videochiamate personali, ma anche guardando film in streaming o giocando in Rete – sono stati oggetto di 1.5 attacchi informatici al minuto (quasi il 240% in più in due soli mesi, da febbraio ad aprile 2020).

Nove manager e responsabili su dieci si dicono così preoccupati della sicurezza degli endpoint5 e di come possa incidere sulla sicurezza digitale in azienda. Fermarsi a riflettere su quanto “secured” siano i device che si utilizzano per connettersi alle rete aziendale è una buona base da cui partire per assicurarsi di trovare soluzioni davvero efficaci in materia di sicurezza digitale in azienda.

Come creare una solida cultura della sicurezza digitale in azienda

La «cybersecurity fatigue», espressione che gli addetti ai lavori utilizzano per riferirsi agli sforzi ingenti che la maggior parte delle realtà business deve sostenere oggi per potersi garantire buoni risultati in termini di sicurezza digitale, potrebbe risultare notevolmente alleviata se si puntasse su una maggiore e più diffusa consapevolezza dei rischi informatici che si corrono durante il normale svolgimento delle proprie attività produttive e soprattutto su una maggiore e più diffusa cultura digitale.

Già un vecchio studio di Zurich forniva notizie rassicuranti in questo senso: nel 2016 almeno il 10% delle aziende si diceva più consapevole dei rischi digitali a cui era esposta6, anche se a maggior consapevolezza si associava maggior timore nei confronti degli stessi.

Oggi sono soprattutto addetti e responsabili della cybersecurity aziendale a essere consapevoli che per riuscire, in maniera efficace, nei propri obiettivi di tutela dell’integrità dei sistemi IT aziendali serve certamente che gli stessi camminino di pari passo con gli obiettivi di business (di questo si dice convinto il 46% dei partecipanti italiani al 2021 Security Outcomes Study di Cisco7), ma anche che si crei una cultura della sicurezza in azienda (punto su cui concorda il 42% degli intervistati), che si ottenga la fiducia della dirigenza (valido per il 40% dei rispondenti) e la partecipazione dei colleghi (39%).

sicurezza digitale in azienda obiettivi

Cosa rende più facile, anche per i reparti IT, raggiungere i propri obiettivi di sicurezza digitale in azienda. Fonte: Cisco

Anche quando declinata in ambito aziendale, una buona fetta della cybersecurity è in realtà questione di «human security». Non a caso puntare sulla formazione altamente specializzatacondividere buone pratiche “personali” di sicurezza digitale in azienda, tra dipendenti e collaboratori, sono punti comuni di molti vademecum che gli addetti ai lavori hanno messo a disposizione in occasione dell’European Cybersecurity Month (ECSM) di ottobre8 ai business che abbiano a cuore o vogliano investire in maniera più consistente sulla sicurezza digitale.

Cinque step indispensabili per mettere la propria azienda al riparo dai rischi digitali

In uno di questi Veeam ha riassunto in cinque “step” le azioni immancabili in ogni buona strategia di cybersecurity aziendale9.

Tutto parte dall’identificare le aree più critiche a seconda del settore di attività dell’azienda e del tipo di processi messo in atto quotidianamente, taggando per rendere immediatamente riconoscibili le risorse e gli asset aziendali più critici e sviluppando soprattutto un piano per assicurarsi la continuità aziendale anche in caso di attacco.

Il passo successivo è proteggere quelle stesse aree individuate come critiche per il proprio business: servono formazione e non limitatamente al reparto sicurezza, ma anche incentivare buone pratiche di igiene digitale come usare password efficaci e diverse da utente a utente e per servizio e servizio, aggiornare i software e creare copie di backup (almeno tre) di ogni dato critico.

Step come rilevare e rispondere alle minacce informatiche di cui si è vittime potrebbero sembrare il “cuore” di ogni buona strategia di sicurezza digitale e lo sono almeno in parte: tempismo e proattività sono essenziali in queste fasi e assicurano che anche il più piccolo incidente non sfoci in danni irreparabili per le infrastrutture, il portafoglio, la reputazione dell’azienda.

La fase di recupero e soprattutto poter contare in questo frangente su piani di recovery già predisposti e completi rappresentano il punto nevralgico di qualsiasi intervento di cybersecurity: minimizzare i danni ed evitare che si ripetano è l’obiettivo di questo step e quello a cui dovrebbe mirare una buona strategia per la sicurezza digitale in azienda.

Note
  1. Wired
  2. Cisco
  3. Swascan
  4. Osservatori Digital Innovation
  5. SecureNews
  6. Digital4
  7. Cisco
  8. ECSM
  9. Veeam
Altre notizie su:

© RIPRODUZIONE RISERVATA È vietata la ripubblicazione integrale dei contenuti

Resta aggiornato!

Iscriviti gratuitamente per essere informato su notizie e offerte esclusive su corsi, eventi, libri e strumenti di marketing.

loading
MOSTRA ALTRI