Sappiamo tutti che la sicurezza informatica è un elemento critico del rischio aziendale. Ma quanto critico? Le sale del consiglio di alcune organizzazioni sembrano prestare poco più di un semplice servizio verbale alla sicurezza e riescono comunque a evitare gravi ripercussioni. Ecco perché un nuovo rapporto dell’assicuratore globale Hiscox offre una lettura interessante. In realtà afferma che molte organizzazioni europee e americane sono arrivate vicino all’insolvenza dopo gli attacchi informatici subiti. E mentre la spesa è in aumento, meno aziende globali che mai sono descritte come “cyber-ready experts“.
È chiaro che sapere dove indirizzare gli investimenti nella sicurezza informatica non è mai stato così importante. Allora cosa fanno gli esperti per evitare il fallimento? Secondo il rapporto, è in gran parte una miscela di basi delle best practice e la volontà di imparare da attacchi informatici precedenti.
Una minaccia esistenziale
Il rapporto riporta le interviste fatte a 5.000 aziende negli Stati Uniti, Regno Unito, Belgio, Francia, Germania, Spagna, Paesi Bassi e Irlanda. Alcuni dei risultati si conoscevano già. Ma ci sono alcune sfumature interessanti. Per esempio:
- Sette degli otto paesi classificano gli attacchi informatici come la minaccia numero uno per le loro attività.
- La metà (48%) degli intervistati ha segnalato un attacco informatico negli ultimi 12 mesi, rispetto al 43% dell’anno scorso.
- Un quinto (19%) degli intervistati ha segnalato un attacco ransomware, rispetto al 16%. Due terzi delle vittime hanno pagato i loro aggressori.
Finora, tutto nella norma. Tuttavia, c’è un grande abisso nella percezione tra coloro che hanno subito un attacco e coloro che non l’hanno fatto. Più della metà (55%) delle vittime di attacchi informatici considera la sicurezza informatica un’area ad alto rischio, ma la cifra scende a solo il 36% per coloro che non hanno subito una compromissione. Allo stesso modo, il 41% delle persone attaccate afferma che la propria esposizione al rischio è aumentata, ma per l’altro gruppo la cifra è inferiore a un quarto (23%).
Altro dato interessante: i criminali informatici sembrano prendere di mira sempre più le aziende più piccole. Quelli con un fatturato compreso tra 100.000 e 500.000 dollari possono ora aspettarsi tanti attacchi informatici quanti sono coloro che guadagnano da 1 milione di dollari a 9 milioni di dollari all’anno.
Il costo di un attacco alle aziende è alto
Questo è importante, poiché un quinto delle aziende che hanno risposto agli attacchi informatici afferma che la loro solvibilità è stata minacciata, con un aumento del 24% rispetto allo scorso anno. Sebbene non descritti nel rapporto, i costi di violazione possono includere:
- Interruzioni operative.
- Spese legali.
- Straordinari IT e costi forensi di terze parti.
- Multe regolamentari.
- Fidelizzazione dei clienti.
- Produzione e vendite perse.
- Danno reputazionale a lungo termine.
Questo potrebbe in parte spiegare perché la spesa in cybersecurity è in aumento. Secondo il rapporto, infatti, la spesa media degli intervistati per la sicurezza informatica è aumentata del 60% nell’ultimo anno a 5,3 milioni di dollari ed è aumentata del 250% dal 2019.
In che modo gli aggressori stanno compromettendo le organizzazioni?
Per capire meglio come un’organizzazione può evitare il fallimento, bisogna prima sapere in che modo gli attori delle minacce riescono a procurare così tanti danni alle vittime dei loro attacchi informatici. Secondo il rapporto, i principali vettori di attacco sono:
- Server cloud (41%)
- E-mail aziendale (40%)
- Server aziendali (37%)
- Server di accesso remoto (31%)
- Dispositivi mobili di proprietà dei dipendenti (29%)
- DDoS (26%)
Ciò si abbina ai risultati di altri rapporti e alla narrazione secondo cui il lavoro a distanza, gli investimenti legati alla pandemia nell’infrastruttura cloud e le sfide alla sicurezza del lavoro a distanza sono alcuni dei maggiori rischi che le organizzazioni devono affrontare oggi. Questi si sono combinati con l’errore umano per creare un’ampia superficie di attacco a cui mirare gli attori delle minacce.
Cosa fare dopo
Desta preoccupazione il fatto che i punteggi di cyber-readiness stimati da Hiscox siano diminuiti del 2,6% su base annua, portando a un forte calo del numero di aziende classificate come “esperte” – dal 20% a solo il 4,5%. Anche la proporzione classificata come novizi è diminuita in modo significativo, lasciando la maggior parte come “intermedi”. La prontezza informatica è importante perché i costi mediani degli attacchi, come percentuale dei ricavi, sono due volte e mezzo più alti per le aziende classificate come “cyber-novizie”.
Allora, che aspetto ha un’organizzazione matura predisposta per la cybersecurity? Fortunatamente, non dipende tutto da quanti soldi sono disponibili da spendere. Vengono evidenziate diverse best practices, tra cui le seguenti:
- Formalizzare la sicurezza informatica con ruoli chiaramente definiti e adesione al consiglio di amministrazione o all’alta dirigenza.
- Assicurarsi che i top manager abbiano una chiara visibilità e coinvolgimento con la sicurezza informatica.
- Seguire gli standard delle best practice come il quadro NIST (National Institute of Standards and Technology) degli Stati Uniti.
- Distribuire l’investimento sulle cinque funzioni chiave del NIST: identificare, proteggere, rilevare, rispondere e recuperare.
- Concentrarsi sulla pianificazione della risposta agli attacchi informatici e sulle simulazioni di attacco alla luce dell’attuale incertezza geopolitica.
- Valutare regolarmente i dati aziendali e l’infrastruttura tecnologica.
- Fornire un’efficace formazione sulla consapevolezza della sicurezza informatica.
- Garantire che fornitori e partner aziendali rispettino i requisiti di sicurezza.
- Concentrarsi sui processi di patching, pentesting e backup regolari.
Presi insieme, questi passaggi aiuteranno a ridurre al minimo le possibilità che un attacco porti un’organizzazione al fallimento.
di Phil Muncaster, Welivesecurity by ESET
