In questo approfondimento, rilasciato per la rubrica “Sentieri di riflessione” della rivista Mozayk, il nostro Co-Founder Alessandro Bellato spiega l’importanza per le organizzazioni di ogni dimensione e settore di iniziare a percepire adeguatamente il cyber risk.
“L’emergenza Coronavirus e la conseguente “commutazione” forzata verso smart working hanno portato molte aziende e organizzazioni a fare scelte “emergenziali” per garantire il massimo livello di operatività in un tempo estremamente ridotto. Ciascuno di noi, a livello aziendale ma anche personale, deve oggi prendere nell’arco di poche ore decisioni che avrebbero richiesto mesi, investimenti e numerosi approfondimenti. Tuttavia la rapidità e l’urgenza dei cambiamenti, così come il crescente fenomeno del BYOD (Bring Your Own Device), ovvero l’uso crescente di dispositivi personali per scopi aziendali, hanno fatto sì che numerose imprese/organizzazioni si trovassero impreparate a questo trasformazione causando grosse lacune nell’ambito della sicurezza informatica. Colmare gap tecnici, di processo e anche “culturali” nell’arco di qualche giorno senza un adeguato supporto consulenziale e tecnologico (basti pensare alla difficoltà di acquisire dispositivi di classe Enterprise) ha aperto nuovi fronti sulla sicurezza informatica e sulla privacy.
Questo nuovo scenario rappresenta un “territorio fertile” per i cyber criminali, sempre molto attenti ad individuare ogni minima debolezza e a sfruttare le lacune della rapida trasformazione digitale imposta e guidata dall’emergenza sanitaria. Gli attacchi di phishing su dipendenti remoti per far installare strumenti di Remote Desktop Protocol sono notevolmente aumentati. Ma, anche il crescente utilizzo di piattaforme di web conference, come Zoom, WebEx e Microsoft Teams, ha attirato l’attenzione dei cyber criminali, basti pensare alle recenti notizie su come Zoom (non) è in grado di garantire la privacy dei propri utenti che ha spinto molte organizzazioni, Google in primis, a vietare l’uso di questa piattaforma per fini aziendali. Le probabilità che cyber attacchi colpiscano organizzazioni di ogni dimensione sono notevolmente aumentate e di conseguenza anche l’impatto di questi attacchi sull’attività delle organizzazioni stesse.
Bisogna abbandonare l’immagine romantica del ragazzino con il cappuccio nella cantina di casa: il cybercrime è un’industria organizzata con budget da multinazionali, laboratori di ricerca e personale specializzato full time. È crimine organizzato che punta al ritorno dell’investimento e alla riduzione del proprio rischio “industriale”: sono spesso le stesse organizzazioni che reinvestono in settori a basso rischio i profitti di altri crimini come ad esempio il narcotraffico. Secondo uno studio recente dell’FBI, nel 2019 i profitti monetari sono stati più di 3 miliardi di dollari con danni arrecati che superano oggi i 3 trilioni di dollari. Tuttavia il cyber risk non viene ancora preso seriamente dalla maggioranza delle PMI italiane: ogni imprenditore è molto bravo a valutare i rischi tipici del proprio business e del proprio mercato, ad esempio legate alla concorrenza, a piani di investimenti in produzione, rete vendita, etc., mentre il rischio Cyber non viene ancora adeguatamente percepito. È bene ricordare che sono ancora numerose le aziende devastate da incidenti informatici che potrebbero essere evitati abbastanza facilmente e che il rischio cyber è democratico: ogni settore e tipologia di organizzazione può venire potenzialmente impattata. Inoltre, in termini di probabilità, oggi è più facile che un cyber attack (come un comune attacco ransomware) vada ad impattare sulla business continuity dell’azienda, piuttosto che incendio o un terremoto.
Useremo il Data Breach come filo conduttore di questo paper: siamo nella società dell’informazione, confidenzialità, integrità e disponibilità dei dati sono sempre più importanti per ogni tipo di organizzazione. Per questo motivo, la definizione più completa di Data Breach è sicuramente quella adottata dal GDPR: “Non solo accesso ai dati, divulgazione o diffusione da parte di terzi non autorizzati, ma anche perdita, distruzione ed alterazione dei dati stessi”. Nello scenario attuale questi eventi crescono sia in termini di frequenza che in termini di quantità di dati compromessi. Al di là dell’eco mediatica dei data breach pubblici, incidenti molto comuni come attacchi ransomware hanno impatti devastanti: compromettendo il dato viene messa a rischio l’operatività diretta e il patrimonio stesso dell’azienda. Inoltre, i dati hanno un valore, anche monetario, non solo per l’organizzazione che ne è titolare ma anche un valore monetizzabile per gli attaccanti. Ricerche molto strutturate come il report Cost of Data Breach, rilasciato ogni anno da IBM ci forniscono interessanti chiavi di lettura delle violazioni di dati subite da oltre 500 organizzazioni mondiali e dell’impatto finanziario di questo fenomeno sulle aziende stesse. Gli incidenti Cyber e specialmente i Data Breach hanno un effetto ed un costo estremamente significativo con centinaia di fattori da tenere in considerazione: le probabilità che questi eventi accadano è mese dopo mese più alta, così come sta crescendo il tempo necessario per l’individuazione di questi incidenti. Secondo il Report, nel contesto italiano ogni violazione ha un costo mediano di 2.9 milioni di euro e, come per altri paesi, il valore è destinato ad aumentare nel corso del tempo. Il report ha inoltre evidenziato che il furto e la compromissione delle credenziali, oltre alle configurazioni errate dei server cloud, rappresentano le vulnerabilità più comuni, che causano quasi il 40% dei cyberattacchi. Lo studio di IBM rivela infatti che nel 2019 oltre 8,5 miliardi di record sono risultati vulnerabili e che in 1 caso su 5 gli attaccanti si sono serviti di e-mail e password non adeguatamente protetti per sferrare i propri attacchi.
Un’altra informazione molto interessante che ci fornisce il report è come il costo di un data breach sia più impattante e meno assorbibile per le organizzazioni più piccole. Il costo totale per le aziende più grandi (oltre 25.000 dipendenti) è in media di 5,11 milioni di dollari, pari a 204 dollari per dipendente, mentre, per le organizzazioni più piccole con un numero di dipendenti compreso tra 500 e 1.000 dipendenti ha un costo medio di 2,65 milioni di dollari, ovvero 3.533 dollari per dipendente.
Abbiamo citato in precedenza la presenza di centinaia di fattori di costo da tenere in considerazione quando un’organizzazione deve reagire ad un incidente cyber. I principali sono business e fiducia del cliente persi, mancata produttività (pensiamo ai fermi di un’azienda durante la risoluzione dell’incidente), costi diretti legati ad attività tecniche e legali. Un data breach spesso sconvolge l’azienda, determina nuove priorità e mettere a serio rischio l’immagine dell’azienda ed i rapporti con clienti e partner.
I risultati di questo report ci dimostrano che cyber risk non può essere ignorato o trascurato: le nostre PMI necessitano di una maggiore oggettività nella valutazione delle scelte e dell’efficacia degli investimenti effettuati in ambito CyberSecurity. Inoltre e, non solo per questioni normative, debbono indirizzare “by design” il crescente fabbisogno di cyber security e privacy nello sviluppo di nuovi prodotti e servizi. Per farlo devono essere supportate da un ecosistema di partner che possa fornire loro know-how, formazione, tecnologie efficaci. Un ecosistema che possa aiutarle nel valutare correttamente il cyber risk, nell’attribuire le giuste priorità alle azioni di miglioramento e soprattutto che consenta loro il massimo livello di resilienza operativa, economica e reputazionale in caso di eventi avversi.”