Il gruppo inglese TalkTalk ha affermato nei giorni scorsi che ha stimato un costo una tantum di 53 milioni di dollari per il recente attacco cyber con perdita di dati per 156.959 clienti. Si tratterebbe delle spese legate alla perdita di fatturato di ecommerce (il sito della società è rimasto down per 3 settimane), costi aggiuntivi per IT e tecnologie, maggiori chiamate al call center, costi legati all’Incident Response. Per evitare il churn dei clienti, TalkTalk ha prontamente offerto un upgrade gratuito di vari servizi ai suoi clienti: contenuti TV free, una SIM mobile con free text, dati e chiamate, chiamate fisso e mobile illimitate in UK, “health checkup” gratuito del servizio internet a banda larga[1].
In generale qual è il costo che un’azienda deve sostenere in caso di attacco hacker? Una nota ricerca che risponde a questa domanda è quella svolta annualmente da Ponemon Institute, che nel 2014 ha stimato un costo medio di 145 dollari per record perso o rubato contenente informazioni critiche[2].
Nell’indagine di quest’anno[3] Ponemon Institute, sulla base di interviste con 252 organizzazioni medio grandi in vari Paesi, stima che gli incidenti hanno un costo medio che va da 15 milioni di dollari negli USA a circa 3 milioni di dollari in altri paesi (Australia, Russia, Brasile). Il costo medio varia anche considerando il settore (mondo finanziario e utilities devono affrontare i costi più alti) e naturalmente dipende molto dalle dimensioni dell’azienda. Secondo la ricerca però il costo per persona è maggiore nelle PMI: le strutture di dimensioni minori hanno un costo complessivo per anno da incidenti cyber di 1.388 dollari per utente, quelle di dimensioni maggiori di 431 dollari per utente.
La stima del costo di un incidente cyber include numerose voci: da un lato i costi affrontati internamente, per rilevare il breach, ripristinare i sistemi, per investigazioni e gestione dell’Incident Response. Dall’altro lato, nell’elaborazione del danno economico per l’azienda, vanno aggiunte tutte le spese esterne post incidente: i costi dovuti alla perdita di informazioni rilevanti, come ad esempio i dati dei clienti o l’Intellectual property, brevetti, informazioni critiche. Poi, i costi dovuti all’interruzione del business, al danneggiamento di materiali e sistemi, alla perdita economica legata al calo del fatturato. Non sono invece compresi nella stima di Ponemon i costi che normalmente le aziende sostengono per la security, dalle misure preventive a tutti i costi per la compliance a standard, policies aziendali e norme di settore.
Quali sono per le aziende che hanno subito un incidente cyber le voci di costo più elevate?
- Al primo posto l’impatto economico della Business Disruption, che complessivamente pesa per il 39% del costo complessivo.
- A seguire, il danno per la perdita di informazioni (35% del costo), che include tutti i costi di notifica di un data breach ai clienti, di rimborso ai clienti delle spese per il controllo del credito (credit monitoring), distribuzione di nuove carte di credito in caso di furto del numero della carta, costi per multe e spese legali associate al furto dei dati (class action, cause intentate all’azienda).
- Terzo costo importante, la perdita di fatturato (21% del costo), dovuta principalmente al danno di reputazione.
Per quanto riguarda l’Italia, l’Osservatorio Attacchi Informatici, giunto alla sua quinta edizione, arriva a una stima di un costo medio di 2.630 euro per attacco, considerando però solo il costo di ripristino della situazione informatica e non tutti gli altri costi ex post.
Queste analisi fanno riferimento a campioni ampi di aziende e arrivano ad estrapolare il costo del cyber crime che impatta singoli settori di mercato: è possibile però estendere queste valutazioni e stimare il costo complessivo per la comunità internazionale. Nello studio “Net Losses: Estimating the Global Cost of Cybercrime”[4] del CSIS (Center for Strategic and International Studies) si affronta con ampiezza il tema della spesa legata al cybercrime, permettendoci di vederlo da punti di vista diversi, alcuni di assoluta novità. L’analisi rende esplicite tutte le possibili voci di costo causate dal cybercrime, con alcune aggiunte rispetto allo studio Ponemon, ossia i costi diretti e indiretti per la società nel suo complesso dovuti a:
- Perdita/ furto di asset finanziari, di informazioni personali e di business
- Perdite specifiche del settore manifatturiero per sottrazione di brevetti o, più in generale, di Intellectual Property
- Posti di lavoro persi a causa di crimini cyber
- Costi addizionali per mettere in sicurezza i sistemi informatici e le reti
- Spese per il ripristino a seguito di un attacco cyber, quindi costi per danni fisici, legati al danno di reputazione e costi legali.
L’analisi si pone il problema di effettuare una stima globale, e quindi tra le fonti di informazione non ci sono solo aziende, ma anche istituzioni pubbliche, centri di ricerca, governi, la Commissione Europea. Da questo punto di vista, il limite dell’analisi è che per molti Stati le informazioni risultano incomplete (vedi Figura 1), per cui la stima si basa su un’assunzione generale di incidenza dei costi del cybercrime sul PIL del Paese considerato[5].
Figura 1: Grado di confidenza dei dati forniti dai singoli Paesi
(Fonte = CSIS “Net Losses:Estimating the Global Cost of Cybercrime” June 2014)
I dati relativi delle perdite, forniti dai principali Paesi con informazioni qualificate a disposizione, sono riportati in Figura 2 espressi in percentuale rispetto al PIL nazionale. L’Italia è tra i Paesi in cui per vari motivi (tra cui anche la mancanza di sufficienti informazioni qualificate) l’incidenza del costo del cyber crime rispetto al PIL registra uno dei valori più bassi (circa lo 0,04%).
Figura 2: Incidenza del cybercrime sul PIL nei principali Stati
(Fonte = CSIS “Net Losses:Estimating the Global Cost of Cybercrime” June 2014)
L’aggregazione di questi dati, insieme alle assunzioni di cui si è parlato poc’anzi, porta il CSIS a valutare come costo globale del cyber crime una cifra pari a 400 miliardi di dollari, ossia lo 0,8% del PIL mondiale. Secondo questa stima, il costo che la società deve sopportare per il cyber crime vale circa un 16% del totale del valore dell’intera Internet Economy, valutata intorno ai 2.500 miliardi di dollari. Per permetterci di cogliere la portata di questo importo complessivo, lo studio lo confronta con dati sull’incidenza di altre attività criminali a livello globale (vedi Tabella 2)
Tabella 2: Incidenza delle attività criminali sul PIL
(Fonte = CSIS “Net Losses:Estimating the Global Cost of Cybercrime” June 2014)
A livello macroeconomico, la soglia entro la quale un’attività criminale viene considerata “tollerabile” si situa intorno al 2% del PIL, quindi il cybercrime sarebbe ben al di sotto di quella soglia, ma il tema è che si tratta di un’attività in costante crescita. Da una parte i cyber criminali sono incentivati a moltiplicare gli attacchi, anche se, come viene correttamente rilevato, essi non sempre riescono a monetizzare completamente i dati sottratti. Inoltre, questa attività criminale presenta pochi rischi, costi relativamente bassi, e ritorni elevati. Al contrario chi deve difendersi affronta alti costi ed altissime probabilità di essere vittima di un data breach.
Continua a leggere l'Articolo
