Mentre i dati sugli attacchi alle aziende si fanno sempre più drammatici, pare non esserci ancora una visione nitida del problema da parte delle potenziali vittime: ecco come trasformare un problema in opportunità per partner tecnologici e system integrator.
Stando al rapporto CLUSIT, l’associazione italiana per la sicurezza informatica, in Italia, in media, viene registrato un attacco informatico ogni 4 ore verso PMI. E nell’arco del 2022 si sono verificati, in media, 191 attacchi contro i 171 dell’anno precedente. E si parla, nella fattispecie, di attacchi dichiarati, senza dunque tenere conto di quelle realtà che non si sono accorte di essere cadute vittima dei cybercriminali, o di quelle che non hanno reso pubblico l’evento.
Il cybercrime, dunque, non fa sconti alle piccole e medie imprese e, anzi, l’impressione è che siano proprio queste a diventare sempre più obiettivi privilegiati dei criminali informatici. Aziende più strutturate hanno più risorse per contrastare gli attacchi informatici e, anche quando ne sono vittime, godono di una maggiore capacità di assorbirne le conseguenze. Conseguenze che, nel caso di PMI, possono avere impatti drammatici.
Una ricerca condotta e pubblicata da Proxyrack svela che l’Italia è all’ottavo posto, nel mondo, per costo medio dovuto a un data breach, cioè un attacco che comporta l’esfiltrazione di dati sensibili. Si parla, nella fattispecie, di 3,61 milioni di dollari per attacco: una cifra che metterebbe in ginocchio qualsiasi piccola-media impresa. Anche per le PMI, dunque, è arrivato il momento di affrontare il tema della cybersecurity in modo più strutturato ed efficace.
Alle PMI manca ancora la consapevolezza
“Il fatto”, racconta Simone Lodi, manager di XStream, uno dei principali operatori TLC e system integrator italiani, “è che c’è ancora inesperienza e inconsapevolezza da parte delle PMI sia nel riconoscere le minacce che identificare le soluzioni per proteggersi”.
Lodi sottolinea una volta di più come le aziende medio-piccole fatichino a riconoscere la reale portata della criminalità informatica e dei danni economici da essi determinati. La conseguenza è che le PMI tendono a sottostimare le proprie necessità in ambito di cybersecurity. “Quel che si sente dire molto spesso è che son talmente tante le minacce potenziali che se uno si dovesse proteggere da tutte non avrebbe altre risorse da investire”, conclude il manager.
Tante, troppe minacce digitali
Che le minacce potenziali siano molte è un dato di fatto: si stima che vi sia oltre un miliardo di malware attivi, anche se di software e codici malevoli, in senso allargato, ne vengono scoperti addirittura più di 560.000 al giorno.
Tuttavia, e questo è il tema sottolineato da Simone Lodi, a buona parte delle PMI mancano le competenze per comprendere che un adeguato piano di cybersecurity può metterle al riparo dalle principali minacce. Ed è su questo aspetto che le aziende IT e i system integrator dovrebbero spingere di più. “Ci vuole qualcuno”, chiosa Lodi, “che guidi la PMI nell’ampio scenario delle minacce cyber per capire come e dove investire le risorse, legando tutto al business che si vuole fare”. Lodi pone una particolare attenzione al tema del cybersecurity customer journey, affermando che oggi è possibile ridurre al minimo il rischio di attacchi digitali, un fenomeno che non può essere arrestato ma che può essere contenuto. Si parla di vulnerability assessment, quel processo che determina l’identificazione delle minacce e il monitoraggio e la gestione delle vulnerabilità.
L’importanza dell’awareness come approccio al tema della cybersecurity
L’approccio alle PMI, nell’offerta di soluzioni di cybersecurity, dovrebbe quindi partire da una valutazione della consapevolezza del potenziale cliente sul tema. Che ha inizio con un colloquio preventivo ma che, a seconda dei casi, può anche tradursi in una parte integrante del progetto.
Del resto, il framework ufficiale NIST, “Framework for improving critical infrastructure cybersecurity” considera le attività di awareness come parte integrante delle funzioni di base. Verificare e poi migliorare e testare a intervalli regolari la consapevolezza sul tema cybersecurity consente, quindi, di sviluppare progetti intagliati su misura per ogni cliente, nel pieno rispetto delle fasi delineate proprio dal framework: IDENTIFY, PROTECT, DETECT, RESPOND, RECOVER. Per capire, per esempio, fino a che punto un cybercriminale potrebbe sfruttare il “fattore umano”, che stando al “2022 Data Breach Investigation report” di Verizon è responsabile, in toto o in parte, del 82% delle violazioni a livello mondiale.
La sicurezza parte dall’infrastruttura
Il resto è demandato a competenze, professionisti e tecnologie. Al partner tecnologico di una PMI è dato, a questo punto, il compito di strutturare un piano di sicurezza che tenga conto della rete del cliente fin dalle basi. Dove, per basi, si intende l’infrastruttura: strategia, organizzazione delle reti, sistemi on-premise e cloud, e via dicendo.
Pochi sanno, per esempio, che in Italia, sempre stando al rapporto CLUSIT, gli attacchi basati in parte o in toto sul phishing sono aumentati di circa il 65% nel primo semestre 2022, rispetto allo stesso periodo dell’anno precedente. E questo significa che buona parte degli attacchi sono veicolati da trappole ed escamotage che si basano su un’involontaria interazione umana, spesso scatenata da scarsa attenzione o conoscenza. Ed è proprio qui che entra in gioco l’awareness e lo sviluppo di una cultura aziendale sulla cybersecurity. Se ne ricava, dunque, che l’unione tra attività di awareness e di system integration crea una base di sicurezza che riduce la necessità di investimenti legati al concetto di sicurezza in senso più stretto.
Se la sicurezza diventa un obbligo
Investimenti che, a quel punto, diventano meglio veicolabili coi potenziali clienti. È in questo frangente, per esempio, che si spiega alla PMI la necessità di adeguarsi a certi standard di sicurezza in chiave business. Simone Lodi, su questo aspetto, è drastico: “Siamo sempre più reti di imprese interconnesse, i processi di business sono integrati in supply chain articolate: è necessario, per questo, dotarsi di strumenti di protezione perché vengono richiesti dai partner”.