Dal Regional Risks for Doing Business Report 2019, realizzato dal World Economic Forum in collaborazione con i colossi assicurativi internazionali Zurich e Marsch, emerge come il cyber risk sia la prima preoccupazione delle imprese italiane.
Il mondo nel 2019 è più intrecciato e più complesso che mai. Ma mentre le interconnessioni hanno portato un certo grado di stabilità negli ultimi decenni, attraverso relazioni commerciali affidabili, i sistemi strettamente collegati stanno diventando più vulnerabili e in molti ambiti si intravedono fili sfilacciati nel tessuto che avvolge la società. Il lavoro sui rischi globali del World Economic Forum serve a segnalare quali fili, se tirati, potrebbero portare a un disfacimento di interi sistemi. Per questo motivo, dal 2018 il World Economic Forum sviluppa il rapporto annuale sui rischi regionali per le imprese in collaborazione con Marsh&McLennan Companies (MMC) e Zurich Insurance Group, rivolto a oltre 13.000 business leader in 130 Paesi nel mondo con lo scopo di classificare i principali timori legati allo svolgimento della loro attività nei prossimi 10 anni.
Gli attacchi informatici si evolvono e si diversificano
Nei sondaggi del World Economic Forum rispettivamente sulle Executive Opinion e sulla Global Risks Perception vengono tracciate cinque categorie di rischio: economico, ambientale, geopolitico, sociale e tecnologico. Quella relativa ai rischi tecnologici costituisce l’unica categoria classificata nelle cinque preoccupazioni più urgenti da entrambe le serie di intervistati. “Attacchi informatici” e “frode o furto di dati” sono il secondo e il settimo rischio globale che probabilmente aumenteranno entro i prossimi 10 anni nella visione del settore privato mondiale e sono stati percepiti come il quarto e il quinto rischio più grande dalla più ampia rete di multi-stakeholder intervistati per il Global Risks Report 2019.
Il fatto che le minacce informatiche preoccupino la comunità imprenditoriale tanto quanto il mondo accademico, la società civile, i governi e altri leader di pensiero mostra quanto sia dirompente questo rischio per tutti gli aspetti della vita.
Mentre le economie e le società continuano a essere digitalizzate, gli attacchi informatici diventano infatti sia più redditizi per gli aggressori che più pericolosi per le vittime.
Secondo lo studio del costo annuale del crimine informatico di quest’anno, condotto dal Ponemon Institute in collaborazione con Accenture, i crimini informatici sono costati alle aziende in media il 12% in più tra il 2017 e il 2018 e stanno cambiando a causa di:
- obiettivi in evoluzione: il furto di informazioni è la conseguenza più costosa e in più rapida ascesa del crimine informatico. Ma i dati non sono l’unico obiettivo. I sistemi di base, come i controlli industriali, vengono violati in una pericolosa tendenza a interrompere e/o distruggere;
- impatto in evoluzione: mentre i dati rimangono un obiettivo, il furto non è sempre il risultato. Una nuova ondata di attacchi informatici vede i dati non più semplicemente essere copiati ma distrutti, o addirittura modificati nel tentativo di generare sfiducia. Attaccare l’integrità dei dati è la prossima frontiera;
- tecniche in evoluzione: i criminali informatici stanno adattando i loro metodi di attacco. Stanno prendendo di mira il livello umano – l’anello più debole nella difesa informatica – attraverso un aumento del ransomware e attacchi di phishing e ingegneria sociale come percorso di accesso. Può addirittura verificarsi che Stati o gruppi di attacco associati usino questo tipo di tecniche per attaccare imprese commerciali. Si tenta di classificare gli attacchi da queste fonti come “atti di guerra” nel tentativo di limitare i risarcimenti assicurativi in casi di violazioni della sicurezza informatica.
Come mostrato dalla seguente figura, gli attacchi basati sulle persone sono aumentati in misura maggiore.
Tre passaggi per sbloccare il valore nella sicurezza informatica
- Dare priorità alla protezione dagli attacchi basati sulle persone: contrastare le minacce interne è ancora una delle maggiori sfide con un aumento degli attacchi di phishing e ransomware, nonché degli insider malintenzionati.
- Investire per limitare la perdita di informazioni e l’interruzione dell’attività: quella che era già era la conseguenza più costosa degli attacchi informatici, ora comporta una preoccupazione crescente in ragione dele nuove normative sulla privacy come GDPR e CCPA.
- Mirare alle tecnologie che riducono i costi in aumento: utilizzare l’automazione, l’analisi avanzata e l’intelligence sulla sicurezza per gestire l’aumento dei costi necessari per scoprire gli attacchi, che sono la principale componente della spesa.
Dal canto suo, anche Symantec ha avvertito nel suo Rapporto sulle minacce alla sicurezza di Internet come siano emerse nuove forme di minacce informatiche – ad es. il formjacking, un codice malevolo che ruba i moduli di acquisto dai siti Web di e-commerce – mentre le aziende e le persone continuano a rimanere esposte a forme più onnipresenti di ransomware e cryptojacking.
Ecco perché rilevare, difendere e scoraggiare nuovi crimini informatici è importante quanto la gestione delle minacce note.
Infattim secondo il WEF, le preoccupazioni relative agli “attacchi informatici” sono al top tra i leader delle quattro maggiori economie dell’Unione europea – Germania, Francia, Italia e Regno Unito – e al primo posto in altri sei Paesi in tutto il continente. Alla fine del 2018 e per tutto il 2019, diversi Paesi europei hanno subito attacchi informatici e attacchi con furto di dati ad agenzie statali e grandi imprese: la Germania ha visto attacchi su account di posta elettronica di parlamentari, militari e diverse ambasciate nel novembre 2018, mentre vari tipi di attività dannose sono stati riscontrati nella fase culminante delle elezioni europee di maggio. Attacchi simili si sono verificati prima delle elezioni finlandesi in aprile e contro le istituzioni pubbliche in Croazia e Repubblica ceca in aprile e agosto, rispettivamente. Inoltre, dal 2018 sono aumentati gli incidenti informatici rivolti al settore imprenditoriale europeo: il 61% delle imprese ha riferito di incidenti informatici, rispetto al 45% dell’anno precedente.
Per mitigare queste minacce, aziende e autorità stanno rispondendo con centri di formazione informatica specificamente designati. A livello regolamentare, l’UE ha adottato nel marzo 2019 il Law Enforcement Emergency Response Protocol – un protocollo di risposta alle emergenze di cyber security pensato al fine di contrastare gli attacchi su larga scala – e nel maggio 2019 ha implementato un nuovo quadro sanzionatorio al fine di utilizzare strumenti più efficaci per scoraggiare gli attaccanti.
In Italia, il cyber risk occupa il primo posto della classifica:
“La Survey Regional Risks for doing Business 2019 mostra dati che ritroviamo perfettamente nel comportamento delle imprese nostre clienti” ha dichiarato Elena Rasa, Chief Underwriting Officer di Zurich Italia. “Rispetto a qualche anno fa, stiamo assistendo a una crescente richiesta di protezione e tutela assicurativa sul fronte cyber, a dimostrazione di quanto il tema della sicurezza informatica sia divenuto ormai cruciale per la pianificazione e la gestione del proprio business. Attacchi informatici, furti di dati personali, falle e intrusioni tecnologiche possono generare, infatti, crisi reputazionali difficili da sanare”.
Sulla stessa lunghezza d’onda Andrea Bono, AD di Marsh Italy, per il quale “i risultati della survey mostrano chiaramente un cambio di percezione in merito al rischio cyber da parte dei business leader italiani ed europei che lo pongono ora al vertice della classifica dei rischi. Tale percezione (…) è un segnale importante e spetta a noi continuare a supportare le aziende per favorire una crescente cultura di mitigazione di questo rischio e una maggiore consapevolezza dell’importanza del tutelarsi contro eventuali attacchi.”
In effetti, sebbene la Direttiva europea NIS in tema di cyber security abbia definito le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi e il decreto attuativo nazionale si applichi agli Operatori di Servizi Essenziali (OSE) e ai Fornitori di Servizi Digitali (FSD), nel nostro Paese un’azione diffusa di valutazione del cyber risk risulta ancor più necessaria in considerazione della peculiare struttura del sistema economico-aziendale, la cui ossatura vede una forte prevalenza delle piccole e medie imprese: vale a dire soggetti maggiormente esposti, in termini sia di preparazione e comprensione del rischio che di capacità di affrontarlo.
Articolo a cura di Sergio Guida
Da economista aziendale ha maturato esperienze in gruppi industriali diversi per settori, dimensioni e caratteristiche. Specializzato in pianificazione e controllo di gestione, finanza, risk e project management, sistemi di rendicontazione integrativi (sociale, ambientale e intangible assets), è stato relatore in convegni e seminari e ha pubblicato articoli di economia, finanza, strategie e compliance.
Forti interessi verso complessità, multidisciplinarietà, innovazione tecnologica, concentrati ora su digital economy, interazione uomo-macchina (aspetti etici, cognitivi ed epistemologici), data protection & privacy regulations.
https://www.ictsecuritymagazine.com/articoli/i-rischi-di-cyber-attacchi-in-vetta-alla-classifica-dei-rischi-aziendali-piu-temuti-sia-in-europa-che-in-italia/