In un mondo sempre più interconnesso e digitalizzato, gran parte delle nostre attività si svolgono online. Internet è uno strumento che offre numerose opportunità, ma allo stesso tempo nasconde minacce e pericoli che aumentano l’esposizione ai rischi informatici, pregiudicando sia gli individui che intere organizzazioni.
L’Institute of Risk Management definisce il “cyber risk” o “rischio informatico” qualsiasi rischio di perdita finanziaria, distruzione o danno alla reputazione di un’organizzazione dovuta ad un malfunzionamento del sistema informativo (hardware, software, banche dati, etc.) in seguito al verificarsi di eventi accidentali o azioni dolose. Secondo l’Allianz Risk Barometer 2023, per il secondo anno consecutivo (è la prima volta che si verifica), i rischi informatici e l’interruzione di attività si classificano come il rischio più importante a livello globale e rappresentano i principali timori delle aziende.
I principali impatti di un attacco informatico
Le ricadute a seguito di un cyber attacco possono creare una rapida spirale negativa per qualsiasi organizzazione e i danni che ne conseguono sono vari e di diversa natura. Scopriamo i principali!
- Danni ad impatto fisico: quando viene compromesso un sistema aziendale il cui malfunzionamento è in grado di creare problemi all’ambiente e/o compromettere l’incolumità e la salute delle persone. Si pensi, ad esempio, ad un macchinario ospedaliero che a causa di un attacco informatico diventi inutilizzabile mettendo a rischio la vita di un paziente che ne ha urgentemente bisogno.
- Danni economici da interruzione operativa e da ripristino: nel caso di danneggiamento di sistemi critici aziendali che vengono resi inutilizzabili per diversi giorni. L’interruzione di attività che ne deriva rappresenta una perdita economica per l’azienda. Tale danno può assumere dimensioni rilevanti se il sistema informatico gestisce reparti importanti come il magazzino e/o la produzione. Oltretutto, a seguito di qualsiasi incidente cyber, le attività di ripristino dei dati, dei software e dei sistemi informatici richiedono denaro, tempo, risorse umane interne e, spesso, costose risorse esterne.
- Sanzione economica dovuta alla mancata conformità al Regolamento Europeo 2016/679 (meglio conosciuto come GDPR): in caso di inadempienze le sanzioni per le aziende private possono arrivare fino a 20 milioni di euro o al 4% del fatturato a livello globale. Bisogna poi aggiungere che quando un attacco informatico ha un impatto negativo su clienti, fornitori o altri stakeholder, si verificano spesso conseguenze legali per l’azienda. La difesa dei reclami può essere estremamente costosa e richiedere molto tempo.
- Danni che derivano dal furto della proprietà intellettuale, di informazioni sensibili, progetti e schemi aziendali: possono essere consegnati ai competitor e/o venduti al miglior offerente.
- Danno reputazionale e perdita dei clienti: la fiducia è un elemento essenziale della relazione con clienti e fornitori. Un data breach è spesso accompagnato da una copertura mediatica poco lusinghiera, che danneggia la reputazione del brand, con conseguenze ancora più disastrose per la fedeltà dei clienti, partner, investitori e altre parti coinvolte nel business dell’azienda.
Statistiche nel mondo e in Italia
Negli ultimi quattro anni, a livello mondiale, si è registrato un innalzamento del numero di attacchi cyber gravi: 2.489 è il numero degli incidenti rilevati nel 2022, 440 in più rispetto al 2021, il 60% in più rispetto al 2018. Oltre che in quantità, nel 2022 gli attacchi sono cresciuti anche in gravità, arrivando a livelli di impatto elevato o critico nell’80% dei casi, ovvero con una ripercussione rilevante per le vittime a livello di immagine, di aspetto economico, sociale e dal punto di vista geopolitico. Secondo i dati che emergono dall’ultimo Rapporto Clusit – Associazione Italiana per la Sicurezza Informatica, pubblicato a Marzo 2023, in Italia si assiste ad una crescita degli attacchi rivolti verso di essa dal 3,4% del 2021 al 7,6% del 2022 e il livello di gravità degli attacchi è in linea con i dati provenienti da tutto il mondo.
Con una percentuale del 22%, le principali vittime sono i Multiple Targets (obiettivi generici, non specifici), attraverso campagne di attacco non mirate che continuano a causare effetti consistenti. Dopo i Multiple Targets, segue il settore governativo e delle Pubbliche Amministrazioni (12%) che nell’arco di cinque anni ha visto un incremento complessivo del 25%: a subire attacchi sono soprattutto i settori della Sanità, dell’Industria Informativa, della Scuola e Università.
Sono cresciuti in maniera costante gli attacchi ai settori Finanziario Assicurativo e Manufacturing, probabilmente a causa della crescente diffusione dell’IoT (Internet of Things) e dalla tendenza verso l’interconnessione dei sistemi industriali, spesso non sufficientemente protetti. Anche le vittime nel settore News e Multimedia, dopo un calo drastico dal 5% al 2% tra il 2018 e il 2020, sono state protagoniste di un raddoppio tra il 2020 e il 2022, arrivando a rappresentare il 5% degli obiettivi. Una componente di questi aumenti è riferibile al conflitto in Ucraina, soprattutto nell’ambito di attività di disinformazione, propaganda e disruption di media, considerati nemici da colpire.
In Italia, il settore più attaccato nel 2022 è quello Governativo, con il 20% degli attacchi, seguito a brevissima distanza dal comparto Manifatturiero (19%). In coerenza con quanto avviene a livello globale, si ha anche in Italia la maggiore crescita percentuale per la categoria “Multiple Targets”. Inoltre, va sottolineato che gli attacchi nel nostro Paese crescono di pari passo con il grado di maturità tecnologica negli specifici ambiti.
Per effettuare i loro attacchi, i cyber-criminali si servono di malware (37%), vulnerabilità (12%), phishing e social engineering (12%), attacchi DDoS – Distributed Denial of Service (4%) e tecniche multiple (7%).
Investire in cyber security: 3 consigli utili
Evitare di subire un attacco informatico è praticamente un obbligo per le organizzazioni: la cyber security viene in aiuto di ogni realtà, di qualsiasi dimensione e settore.
Per indirizzare efficacemente gli investimenti organizzativi in cyber security, ti suggeriamo 3 consigli utili.
- Effettua una valutazione dei rischi cyber (o cyber risk assessment): rappresenta il punto di partenza per un’efficace gestione della sicurezza informatica aziendale. Questa attività permette di identificare le potenziali minacce per il sistema informatico dell’organizzazione con l’obiettivo di minimizzare il rischio cyber e la probabilità di incidente informatico, attraverso l’implementazione di contromisure di natura tecnica e organizzativa. A tal fine si prevede la stesura di un piano di trattamento del rischio. Specifica rilevanza all’interno di tale piano è data agli elementi che non solo generano un rischio, ma che causano una non conformità rispetto alle norme e alla legislazione applicabile.
- Trasforma la mentalità riparativa con una mentalità preventiva: il detto “prevenire è meglio che curare” non è mai stato così valido come in tema di sicurezza informatica. Attività come Penetration Test, Vulnerability Assessment e Network Scanning eseguite regolarmente sono utili per individuare e correggere anzitempo tutte le potenziali criticità tecnologiche che potrebbero causare danni all’azienda.
- Investi in formazione e sensibilizzazione del personale: considerato che il principale rischio per la cyber security aziendale è rappresentato dal fattore umano e la maggior parte dei tentativi di attacco, più dell’80%, sono lanciati contro i dipendenti aziendali, è di fondamentale importanza educare il personale alla sicurezza informatica, rendendolo consapevole di:
– come si presentano i cyber attacchi;
– quali sono le conseguenze e gli impatti di un attacco informatico;
– come riconoscere e comportarsi davanti ad un tentativo di attacco cyber.
Skilla propone due percorsi formativi: “Cybersecurity” e “Cyber Gym” grazie a cui il personale aziendale può apprendere come riconoscere e difendersi dai principali rischi della rete. Tra micro-lezioni di esperti, allenamenti in una cyber-palestra, giochi, premi ed openbadge, la cyber security si trasforma da necessità in passione quotidiana.
