Le continue notizie relative a data breach e blocchi dei sistemi come conseguenza di attacchi informatici dipingono una situazione sempre più grave con riferimento ai rischi cyber. I tentativi di attacco osservati dalle aziende italiane sono numerosi, la lista aumenta di anno in anno, e in un numero sempre maggiore di casi gli incidenti informatici comportano conseguenze gravi. Come emerge anche dalla Survey “Cyber Risk Management 2020”, condotta da The Innovation Group tra dicembre 2019 e gennaio 2020 su un campione di 74 aziende, dei diversi settori e di diversa dimensione aziendale, le identità degli utenti e gli endpoint aziendali sono gli ambienti più colpiti, ma i problemi non si limitano al perimetro noto dell’azienda, perché anche il cloud e l’Internet degli oggetti sono oggi vulnerabili. L’indagine, che sarà resa pubblica in occasione del CYBERSECURITY SUMMIT 2020, il prossimo 14 maggio a Roma, punta a misurare il livello di maturità sui temi della Cybersecurity raggiunto dalle organizzazioni dei diversi settori nel nostro Paese.
Per affrontare queste sfide con successo, chi si occupa di Cybersecurity deve oggi richiede con urgenza un maggiore coinvolgimento del vertice aziendale. Il CEO/il top management, inoltre, devono valutare attentamente quali sono gli impatti più gravi di un eventuale incidente di cybersecurity, e fare il possibile per essere pronti ad affrontarli.
Obiettivo dell’indagine “Cyber Risk Management 2020” di TIG è stato quest’anno quello di analizzare aspetti come: quali sono state le minacce informatiche osservate nell’ultimo anno; come cambia il ruolo del CISO / Security Manager e della funzione di ICT Security; il programma per la Cybersecurity e sua efficacia; la Data Protection e adeguamento al GDPR; l’organizzazione, la misurazione e il Reporting della Cybersecurity al Top Management; la Sicurezza degli ambienti OT (IIoT, ICS, SCADA). Le risposte, confrontate con quelle fornite nell’indagine simile svolta a fine 2018, hanno evidenziato le principali tendenze nel mercato italiano della Cybersecurity.
Trova conferma il fatto che le minacce che quotidianamente le aziende devono affrontare sono numerose, e che soltanto l’8% delle aziende dichiara di non osservarne alcuna (una percentuale che era l’11% nel 2018, e che andrebbe ricondotta a una cattiva gestione dei rischi cyber piuttosto che a un’effettiva mancanza di minacce). Gli attacchi più spesso osservati dalle aziende sono il phishing, il malware, il ransomware, indicati rispettivamente dal 71%, 58% e 43% delle aziende, percentuali in crescita per le prime due categorie rispetto all’analogo risultato di 2 anni fa.
La classifica delle minacce, con qualche piccola variazione, non subisce grandi scostamenti (come mostra la figura successiva), come se in qualche modo il tema dei rischi cyber si fosse stabilizzato e vedesse il ripresentarsi di pattern simili anno su anno. Un aspetto questo che dovrebbe aiutare chi è deputato alla risposta a queste minacce. Il risultato è però anche conseguenza del fatto che alcuni attacchi non solo sono maggiormente frequenti (phishing, malware), ma sono anche più facilmente osservabili. Il phishing è sicuramente un tipo di attacco massivo, ma essendo basato su comunicazioni via mail, è anche facile da scoprire. Invece, gli attacchi APT (che nel campione sono stati indicati da una minoranza di aziende), oltre ad essere più difficili da realizzare (più costosi e numericamente inferiori), sono svolti tenendo grande attenzione al passare inosservati, quindi è naturale che risultino numericamente di meno.
Per capire quali possono essere le conseguenze di un attacco informatico andato a segno, i Responsabili aziendali dovrebbero partire dalla considerazione generale che oggi, gran parte degli attacchi osservati dalle aziende ha all’origine un intento criminale, volto a sottrarre informazioni critiche o a danneggiare direttamente l’azienda con una frode disegnata ad hoc. Predisporsi alla difesa è sempre di più un obbligo se si vuole far fronte alla possibilità di subire una di queste frodi, per preservare quindi la stessa sostenibilità del business.
Una valutazione attenta deve poi considerare le statistiche su quelli che sono gli effetti più comuni degli attacchi informatici. Nel giro di pochi anni, abbiamo assistito ad eventi, come la diffusione pandemica di WannaCry, o il ransomware, da Cryptolocker al più recente e temuto Ryuk (che si accompagna ad attacchi mirati con richieste di riscatto milionarie), in grado di mettere realmente in crisi grandi organizzazioni.
Quali sono quindi i danni maggiori che si possono subire se non si presta attenzione a porre in atto tutte le misure di cybersecurity? Abbiamo chiesto alle aziende quali sono stati nel 2019 gli ambienti colpiti con maggiore frequenza. Come riporta la figura successiva, a subire compromissioni sono in primis le identità degli utenti (account email o social che sono trafugati dal cyber crime), oltre che gli endpoint dell’azienda. Va detto che parlare di account ed endpoint significa, oltre a notare che si tratta di ambienti molto esposti e molto collegati alla “debolezza umana”, citare anche i vettori che – una volta colpiti – permettono agli attaccanti di raggiungere i propri obiettivi, ossia le informazioni critiche che si vogliono sottrarre / le identità che possono permettere di accedervi o di congegnare attacchi più sofisticati.
Se identità ed endpoint sono ambienti coinvolti in incidenti informatici per 1 azienda su 2, va osservato però che tra gli ambienti colpiti oggi figurano anche database e sistemi di backup (20% delle risposte), Sito web (18%), chiavette usb (14%). E non ultimo, il cloud (sia SaaS, per il 14% dei rispondenti, sia IaaS/PaaS per il 5%). In aggiunta, un tema che in futuro potrà acquisire maggiore importanza, ad essere hackerati avremo oggetti di varia tipologia connessi a Internet (ad esempio, stampanti, telecamere o altro). Qualcuno (il 4% dei rispondenti) si è già accorto di aver subito un attacco rivolto a questi device.
Non tutti gli attacchi informatici andati a segno hanno conseguenze gravi per le aziende. Nella maggior parte dei casi (36% delle risposte) gli incidenti con conseguenze serie (in termini di perdita di dati o indisponibilità/danni a sistemi e servizi) sono stati in un numero compreso tra 1 e 10 nel corso del 2019. Per il 51% delle aziende, non ci sono state conseguenze negative.
Analizzando nel dettaglio quali sono state le conseguenze tra chi ha avuto un impatto negativo da incidenti di cybersecurity, al primo posto (54% delle risposte) figurano i “leggeri disagi” per le persone. Al secondo posto però (35% delle risposte) la situazione appare già più grave, in quanto il blocco ai sistemi ha determinato la completa impossibilità di lavoro per gli utenti.
Perdita di dati e mancata produttività delle persone sono quindi gli impatti con conseguenze economiche rilevanti: quelli che le aziende devono temere di più. Non è un caso che il Ransomware sia diventato un fenomeno così devastante: porta contemporaneamente ad entrambi gli effetti, crittografando i dati (in mancanza di backup si rischia quindi di perdere del tutto) e rendendo le macchine inutilizzabili.
Sempre più spesso le aziende decidono quindi di rivolgersi a chi può coprire, con una soluzione di tipo assicurativo, il rischio di incorrere in costi elevati per la perdita di dati (quindi oggi anche le multe salate arrivate con il GDPR) o l’arresto e l’indisponibilità dei sistemi ICT.
La quota di aziende che si è dotata di copertura cyber, o cyber insurance – sul campione intervistato, composto prevalentemente da attori medio grandi, dei diversi settori – è in continua crescita. Oggi siamo al 29%, con un ulteriore 4% di aziende che pianifica di acquistarla a breve, e un 25% che ha cominciato a interessarsi al tema. Analizzando quali sono oggi le aziende che compongono la domanda di assicurazioni cyber, si osserva che in prevalenza si tratta di organizzazioni di medio grande dimensione. I settori invece possono essere disparati.
A cura di:
Elena Vaciago
Associate Research Manager, The Innovation Group
