Sappiamo tutti che la sicurezza informatica è un elemento critico del rischio d'impresa. Ma quanto critico? Un nuovo rapporto dell'assicuratore globale Hiscox sostiene che molte organizzazioni europee e americane abbiano sfiorato l'insolvenza in seguito a violazioni della sicurezza. E mentre la spesa è in aumento, sono sempre meno le aziende globali che si definiscono "esperte" e cyber-ready.
È chiaro che sapere dove indirizzare gli investimenti in cybersecurity non è mai stato così importante. Quindi, cosa fanno gli esperti per evitare il fallimento? Secondo il rapporto, si tratta in gran parte di un mix di best practice di base e della volontà di imparare dagli incidenti precedenti.
Una minaccia esistenziale
Il rapporto è stato redatto sulla base di interviste a 5.000 aziende di Stati Uniti, Regno Unito, Belgio, Francia, Germania, Spagna, Paesi Bassi e Irlanda. Alcuni dei risultati erano già noti. Ma ci sono alcune sfumature interessanti. Per esempio:
- Sette Paesi su otto classificano un attacco informatico come la minaccia numero uno per le loro aziende.
- La metà (48%) degli intervistati ha riferito di aver subito un attacco informatico negli ultimi 12 mesi, rispetto al 43% dell'anno scorso
- Un quinto (19%) degli intervistati ha segnalato un attacco ransomware, in aumento rispetto al 16%. Due terzi delle vittime hanno pagato gli aggressori.
Fin qui, tutto normale. Tuttavia, c'è un grande divario di percezione tra chi ha subito un attacco e chi no. Più della metà (55%) delle vittime di attacchi informatici considera la sicurezza informatica un'area ad alto rischio, ma la percentuale scende ad appena il 36% per coloro che non hanno subito una compromissione. Allo stesso modo, il 41% di coloro che sono stati attaccati afferma che la loro esposizione al rischio è aumentata, ma per l'altro gruppo la percentuale è inferiore a un quarto (23%).
Un altro dato interessante: i criminali informatici sembrano prendere sempre più di mira le aziende più piccole. Quelle con un fatturato compreso tra i 100.000 e i 500.000 dollari possono ora aspettarsi lo stesso numero di attacchi di quelle che guadagnano da 1 a 9 milioni di dollari all'anno.
Costi elevati per le aziende
Si tratta di un dato importante, poiché un quinto delle aziende che hanno risposto all'attacco ha dichiarato di aver rischiato la propria solvibilità, con un aumento del 24% rispetto allo scorso anno. Sebbene il rapporto non lo indichi in modo dettagliato, i costi delle violazioni possono includere:
- Interruzioni operative
- costi legali
- costi straordinari per l'IT e per la ricerca forense da parte di terzi
- Multe regolamentari
- Rinuncia da parte dei clienti
- Perdita di produzione e di vendite
- Danni alla reputazione a lungo termine
Questo può spiegare in parte perché la spesa è in aumento. Secondo il rapporto, la spesa media degli intervistati per la cybersecurity è aumentata del 60% nell'ultimo anno, raggiungendo i 5,3 milioni di dollari, ed è cresciuta del 250% dal 2019.
Come fanno gli aggressori a compromettere le organizzazioni?
Per capire meglio come la vostra organizzazione può evitare la bancarotta, dobbiamo prima sapere come gli attori delle minacce stanno facendo così tanti danni. Secondo il rapporto, i principali vettori di attacco sono:
- Sequestri nel cloud (41%)
- Posta elettronica aziendale (40%)
- Server aziendali (37%)
- Server di accesso remoto (31%)
- Dispositivi mobili di proprietà dei dipendenti (29%)
- DDoS (26%)
Questo dato è in linea con i risultati di altri rapporti e con l'idea che il lavoro da remoto, gli investimenti in infrastrutture cloud legati alle pandemie e le sfide di sicurezza del lavoro da remoto siano alcuni dei maggiori rischi che le organizzazioni devono affrontare oggi. Questi si sono combinati con l'errore umano per creare un'ampia superficie di attacco a cui gli attori delle minacce possono puntare.
Cosa fare dopo
È preoccupante il fatto che i punteggi di preparazione informatica stimati da Hiscox siano diminuiti del 2,6% rispetto all'anno precedente, con un conseguente forte calo del numero di aziende classificate come "esperte", dal 20% ad appena il 4,5%. Anche la percentuale di imprese classificate come "novizie" è diminuita in modo significativo, lasciando la maggior parte delle imprese come "intermedie". La preparazione informatica è importante perché i costi mediani degli attacchi, in percentuale del fatturato, sono due volte e mezzo più alti per le aziende classificate come "novizie informatiche", secondo il rapporto.
Come si presenta quindi un'organizzazione matura e pronta per affrontare una cyber sfida? Fortunatamente, non dipende solo dalla quantità di denaro disponibile. Sono state evidenziate diverse best practice, tra cui le seguenti:
- Formalizzare la cybersecurity con ruoli chiaramente definiti e il coinvolgimento del consiglio di amministrazione o dell'alta dirigenza.
- Assicurarsi che i vertici aziendali abbiano una chiara visibilità e un chiaro impegno in materia di cybersecurity.
- Seguire standard di best practice come il framework del National Institute of Standards and Technology (NIST) degli Stati Uniti.
- Distribuire gli investimenti sulle cinque funzioni chiave del NIST: identificare, proteggere, rilevare, rispondere e recuperare.
- Concentrarsi sulla pianificazione della risposta agli incidenti e sulle simulazioni di attacco alla luce dell'attuale incertezza geopolitica.
- Valutare regolarmente i dati aziendali e l'infrastruttura tecnologica
- Fornire una formazione efficace sulla consapevolezza della cybersecurity
- Assicurarsi che i fornitori e i partner aziendali rispettino i requisiti di sicurezza.
- Concentrarsi sui processi "a basso impatto" come patch, pentesting e backup regolari.
L'insieme di queste misure contribuirà a ridurre al minimo le possibilità che un attacco finisca per mandare in bancarotta l'organizzazione.