Sicurezza informatica nelle Imprese Italiane

Con l’avvento del GDPR abbiamo tutti sentito parlare di Data Breach, protezione dei dati e sicurezza informatica. Eppure, solo a luglio, abbiamo visto come gli hacker abbiano violato le informazioni sanitarie di un quarto della popolazione di Singapore, primo ministro incluso, o come abbiano sottratto 7,7 milioni di dollari in criptovaluta da una piattaforma di crowdfunding.

Nella prima metà del 2018, il report “Cyber attack trends” riporta che gli attacchi informatici sono raddoppiati rispetto alla seconda metà del 2017, con il 42% delle organizzazioni colpite – rispetto al 20,5% del periodo precedente. Ma qual è la dimensione di questo fenomeno? E come reagiscono le imprese italiane a questa minaccia?

I numeri del cyber-crime

Il più recente rapporto italiano Clusit definisce l’ultimo anno come “il salto quantico della cyber-insecurity”. Il rapporto si basa sull’analisi di 1.127 attacchi nel 2017, in crescita rispetto ai 1.050 dell’anno precedente (+7%). Questi sono solo gli attacchi gravi, attacchi che hanno avuto un impatto significativo sulle vittime in termini di perdite economiche, danni di immagine e reputazione, o diffusione di dati sensibili. Il rapporto dell’associazione mette anche in guardia contro il vero numero di attacchi effettuati, molti dei quali non diventano mai di dominio pubblico, o lo diventano dopo anni solo quando le vittime ne vengono a conoscenza.

Solo per citare alcuni esempi italiani, nel 2017 in Italia sono stati registrati: un attacco alla Farnesina, in particolare al sistema crittografato per le comunicazioni classificate, ed uno al Dipartimento della Funzione Pubblica, con la pubblicazione dei dati di 9.000 utenti; un attacco alla banca Unicredit, con cui sono stati svelati i dati di 400mila clienti, mentre l’attacco all’operatore mobile Tre ha compromesso 130 mila utenti. Nel mondo possiamo ricordare il sistema SWIFT, il network globale di telecomunicazione bancario costato 81 milioni di dollari; l’attacco al sistema di trasporti di San Francisco e alla rete elettrica Ucraina, e alcuni dei randsomware più costosi di sempre.

Questi attacchi sono rivolti alle istituzioni governative (16%), il settore bancario e finanziario ed i siti di informazione (10%), ma più spesso coinvolgono obiettivi multipli, attaccando indistintamente più categorie di privati ed imprese nel 20% dei casi. Secondo il rapporto Clusit, questo dimostra come oramai “tutti sono diventati bersagli, ma anche che gli attaccanti sono diventati sempre più aggressivi e conducono operazioni su scala sempre maggiore, con una logica ‘industriale’, […] puntando a massimizzare il risultato economico o il danno inflitto alle vittime”.

Il report stilato da McAfee ed il Centro Studi Strategici ed Internazionali, valuta il costo del crimine informatico in circa 600 miliardi di dollari, in cui includere la perdita di proprietà intellettuale ed il furto di informazioni personali, frodi e manipolazione finanziaria, costi per il ripristino dei sistemi informatici ed altri crimini finanziari. Di questi 600 miliardi, circa 200 sono stati sottratti ai privati. Secondo il rapporto Clusit, il solo costo italiano ammonta ad almeno 10 miliardi. Secondo Accenture e l’istituto Ponemon, questo costo è dovuto principalmente a malware ed attacchi web, ma anche codice malevolo inserito da impiegati, consulenti ed altri partner, per un valore medio di circa 6,7 milioni di dollari.

Come rispondono le imprese italiane?

Secondo i dati dell’Osservatorio “Information security & privacy” del politecnico di Milano, il mercato italiano per la sicurezza supera di poco il miliardo di Euro. L’investimento è guidato dall’adeguamento al GDPR, per il quale il 58% delle aziende analizzate ha un budget dedicato, seguito dall’assicurazione contro il rischio cyber, per cui il 27% delle imprese ha una polizza assicurativa. La dimensione dell’impresa è determinante: il 93% delle medie imprese utilizza soluzioni dedicate, mentre le PMI contano per il 22% della spesa complessiva. Importante anche l’impatto sul mercato del lavoro: il 40% delle imprese ha personale dedicato, ed il 28% si affida a consulenti esterni.

Il rapporto Clusit evidenzia tuttavia come nel nostro paese gli investimenti raggiungano appena un decimo del costo stimato per il crimine informatico. Gli autori evidenziano come questa spesa sia insufficiente, nonostante una crescita annua del 12%, quando li confrontiamo con il valore del più ampio mercato italiano dei beni e servizi informatici, del valore di oltre 60 miliardi di Euro. Altri autori sottolineano che gli investimenti in compliance (ad esempio per il GDPR) sono fondamentali, ma non sono sufficienti a garantire la sicurezza e la protezione del business. Anzi, le imprese dovrebbero cercare un nuovo bilanciamento negli investimenti, per includere esplicitamente le tecnologie di sicurezza nella stessa ricerca di opportunità e innovazione che guida la crescita del business.