La situazione oggi.
La pandemia, con cui conviviamo ormai da più di un anno, ha influenzato, tra gli altri, anche il mondo digitale. In particolare, durante il 2020 si è registrato un aumento importante di cyber attacks, tanto che viene considerato “l’anno peggiore di sempre” in termini di evoluzione e crescita degli attacchi cyber.
Per avere un’idea della gravità della situazione basti pensare che, negli ultimi 4 anni (2017-2021), gli attacchi sono aumentati del 66% e i danni globali causati dalle minacce cibernetiche rappresentano una cifra pari, se non superiore, al PIL italiano.
Dal punto di vista qualitativo, poi, la rapidissima evoluzione degli attori, della modalità e dell’efficacia degli attacchi hanno determinato l’inadeguatezza dei sistemi di cyber sicurezza.
Parlando di costi, nel Report 2021 di CLUSIT (Associazione Italiana per la Sicurezza Informatica) è indicato che, a fronte di 945 miliardi di dollari di danni generati dal cyber crime nel 2020 (nel 2018 l’ammontare era di 600 miliardi), la spesa globale in ICT security è stata di appena 145 miliardi di dollari (di cui 1,5 miliardi in Italia).
Ciò significa che per ogni dollaro investito in sicurezza informatica, gli attaccanti hanno causato perdite per 7 dollari.
Alla luce di ciò, la risposta non può che essere quella di aumentare sensibilmente gli investimenti destinati all’implementazione di misure di prevenzione e quindi in sicurezza informatica.
Se, ad oggi, il budget medio investito è pari al 2,5% del fatturato, sarebbe opportuno arrivare nei prossimi anni al 10%, oltre che introdurre le agevolazioni e gli incentivi necessari.
Chi sono le vittime?
Nessuno è immune da questo tipo di attacchi. Le imprese, gli studi professionali, le strutture sanitarie e ospedaliere, il settore dell’istruzione e anche i singoli individui che fanno uso, per le ragioni più disparate, di internet utilizzando strumenti informatici possono essere vittime di questi attacchi con conseguenze gravi sia in termini di protezione dei propri dati personali (nome, cognome, età, indirizzo, dati sanitari e giudiziari ecc.) sia in termini di business continuity.
Infatti, un attacco hacker può mettere fuori uso il sistema informatico di un’azienda, bloccando l’attività e causando consistenti perdite economiche (oltre che rilevanti conseguenze sanzionatorie).
Quali sono i cyber attack, cosa mirano a ottenere e quali mezzi utilizzano?
Il Rapporto 2020 di Willis Towers Watson, società multinazionale operante nel settore della consulenza per la gestione del rischio, evidenzia che i cyber attacks più frequenti sono:
- data breach
- ransomware
- phishing
Per data breach si intende una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Una violazione può compromettere la riservatezza, l’integrità o la disponibilità dei dati personali.
I ransomware sono malware in grado di cifrare i file di dati con l’obiettivo di richiederne un riscatto, generalmente attraverso pagamenti in criptovalute.
Oggi, questa tipologia di attacco informatico si è evoluta e mira a realizzare una c.d. doppia estorsione. Infatti gli attaccanti, oltre a costringere la vittima a pagare un riscatto per ottenere la de-cifratura dei file per potervi avere nuovamente accesso, minacciano di procedere alla diffusione pubblica dei contenuti dei file (dati aziendali, contabilità, dati della clientela, progetti, segreti industriali ma anche corrispondenza elettronica, conversazioni private, cronologia di navigazione sul web, ecc.) e di venderli all’asta nel dark web.
Infine, il phishing è una particolare tipologia di truffa realizzata soprattutto attraverso l’impiego di e-mail e SMS, con cui si intendono carpire informazioni e dati personali degli utenti, che vengono invitati a cliccare su un link fasullo e ad inserire credenziali di autenticazione.
Soluzioni.
Al fine di arginare il più possibile il rischio che si verifichino tali attacchi è opportuno dotarsi di strumenti di prevenzione, sia a livello organizzativo che a livello informatico.
Per quanto riguarda l’aspetto organizzativo è necessario:
- dotarsi di policy aziendali per istruire e mettere in guardia i soggetti che trattano dati nell’esecuzione della prestazione lavorativa (es.: policy data breach);
- formare il personale autorizzato al trattamento dei dati e all’uso dei mezzi informatici, attraverso la partecipazione a corsi di formazione con aggiornamenti periodici;
- sottoscrivere una polizza assicurativa contro il cyber risk.
A livello informatico invece è necessario (come minimo):
- installare un firewall;
- installare un antivirus;
- effettuare una valutazione dei rischi (c.d. risk assessment);
- effettuare verifiche periodiche sulla sicurezza dei sistemi informatici aziendali, eventualmente anche programmando dei penetration test per individuare eventuali falle e porvi rimedio in via preventiva.
Fonti: Report 2021 CLUSIT, Rapporto 2020 di Willis Towers Watson.