Cosa conosciamo dello scenario del cyber risk?
Attacco Hacker! Furto o blocco dei dati, Ransomware, Cryptolocker, Cyber War, spionaggio politico o industriale inondano i giornali e il web. Il Rischio informatico è sempre più elevato, ma non è solo criminale: guasti ed errori umani sono cosa di tutti i giorni, anche se fanno meno clamore. E le conseguenze? Aziende o infrastrutture critiche ferme, reputazioni distrutte, concorrenza sleale, denunce e cause che durano anni. Fare un Cyber Risk Assessment e consultare un consulente assicurativo specializzato può salvare il business. Per prendere decisioni è tuttavia prioritario acquisire un buon grado di consapevolezza sullo scenario in cui ci si muove, sul rischio e le possibili contromisure. Di cosa stiamo parlando?
Dati sotto attacco. Sono il petrolio del XXI secolo
Il Dato analogico si estingue, il Dato digitale è la vera ricchezza delle nostre aziende. Si parla a questo proposito di dati sensibili riguardanti le persone (i consumatori o il personale per esempio) e dati critici per il business (la proprietà intellettuale, i brevetti, i nostri accordi commerciali, le transazioni e i dati dei nostri clienti di cui siamo responsabili,…).
Nel 2016 la criminalità informatica è costata tra i 300 e i 500 miliardi di dollari. 8 aziende su 10 avrebbero subito attacchi informatici. Ma vediamo qualche dato più aggiornato.
Lo scenario del cyber risk mondiale
Riportiamo qui alcuni dati da varie fonti, cominciando da quanto ci dice il Rapporto Clusit 2019 dell’ominima Associazione Italiana per la Sicurezza Informatica:
8471 sono le organizzazioni colpite da attacchi tra il 2014 e 2018. L’incremento percentuale degli attacchi risulta sostanzialmente contenuto tra il 2014 ed il 2017 (in media si è registrato un +9.2 % annuo): è tra il 2017 ed il 2018 che si registra un incremento percentuale anomalo degli attacchi pari a +35% circa. Si consideri che Clusit raccoglie esclusivamente informazioni di dominio pubblico.
Da Cyber-observer.com, 2018-2020, altri dati e proiezioni sul prossimo futuro
- La spesa mondiale per la sicurezza informatica raggiungerà $ 133,7 miliardi nel 2022. (Gartner)
- Il 68% dei dirigenti d’azienda ritiene che i rischi per la sicurezza informatica stiano aumentando.
- Il danno relativo al crimine informatico dovrebbe raggiungere i 6 trilioni di dollari all’anno entro il 2021.
- Le violazioni della sicurezza sono aumentate dell’11% dal 2018 e del 67% dal 2014. (Ponemon Institute)
- Le violazioni dei dati hanno interessato 4,1 miliardi di record nella prima metà del 2019. (RiskBased)
- Il costo medio di una violazione dei dati è di $ 3,92 milioni a partire dal 2019. (Security Intelligence)
- Il 71% delle violazioni era motivato finanziariamente e il 25% era motivato dallo spionaggio. (Verizon)
- Il 52% delle violazioni riguardava l’hacking, il 28% riguardava malware e il 32–33% includeva rispettivamente phishing o social engineering. (Verizon)
- Gli hacker attaccano ogni 39 secondi, in media 2.244 volte al giorno. (Università del Maryland)
- Il tempo medio per identificare una violazione nel 2019 è stato di 7 mesi. (IBM)
- Il ciclo di vita medio di una violazione è durato quasi 11 mesi dalla violazione al contenimento (IBM)
con evidenti impatti sul business e il bilancio aziendale (Business Interruption).
Le 8 cause più comuni di violazione dei dati
- Credenziali deboli e rubate
- Backdoor, vulnerabilità delle applicazioni
- Malware
- Ingegneria sociale
- Cattiva gestione delle credenziali e dei livelli di autorizzazione
- Minacce interne
- Configurazione errata ed errore dell’utente
Il fenomeno dell’hacking ai danni di siti, database, piattaforme social o infrastrutture critiche conquista ormai quotidianamente le cronache dei giornali. Ciò che non fa notizia, ma accade tutti i giorni con effetti più o meno grandi, sono il guasto delle apparecchiature e software abilitanti e l’errore umano del dipendente o responsabilità professionale del partner ICT
Se le aziende vogliono operare e restare sul mercato, devono imparare a gestire complessivamente
- Attacchi malevoli interni o esterni;
- Errore umano, incuria o negligenza di personale interno o fornitori critici
- Malfunzionamento o fermo dei sistemi informatici
Nello scenario Cyber Risk, un’Italia sempre più digitale
L’Italia è un paese con 60,51 Mio di abitanti residenti in città per il 70%. Se nel 2016 si contavano 37,67 Mio di utenti internet attivi, oggi sono 49,48 Mio con 80,4 Mio di connessioni mobili (133% della popolazione!)
Dai 28 Mio di utenti social attivi, si è passati a 35 Mio. 24 Mio di utenti social via mobile attivi, 80,29 Mio connessioni mobili (+134% rispetto alla popolazione). Nel 2016 il 48% di tutti gli utenti internet attivi aveva effettuato almeno un acquisto online in un mese, nel 2019 lo ha fatto il 77% degli internet user tra i 16 e i 64 anni il cui metodo di acquisto passa per il 44% via mobile device contro il 23% del 2016.
Il 79% degli utenti internet pratica il gioco online e il 7,9% si è dotato di smart home device per un totale di 1,77 Mio di case “domotiche”. Infine il 4,8% degli abitanti italiani possiede e usa cryptovaluta. (Fonte: We are social – Digital in Italy 2016-2020)
Questi sono gli utenti con cui le “aziende digitali” (nella definizione contenuta nella ricerca MIT – Deloitte Digital 2015 si definiscono tali se usano Social Media e Tecnologie Collaborative, Tecnologie Mobili, Big Data & Analytics, Cloud Computing Services) interagiscono; molti di loro portano le proprie tecnologie o account in azienda (BYOD ovvero Bring your own device).
Per un focus sui dati Italia più recenti relativi al Cyber Risk rimandiamo al nostro articolo sul Rapporto Clusit 2020 presentato in streaming in piena pandemia Covid19.
GDPR: La protezione dei dati risk based
Da maggio 2018 è in vigore il Regolamento Europeo sulla Privacy o GDPR. Esso amplia le definizioni di Data Breach e di Dato Personale e dunque amplia la platea delle aziende che detenendo questo genere di informazione dovranno essere compliant e saranno costrette alla disclosure, ovvero alla notifica al Garante e ai soggetti privati coinvolti, piuttosto che ad affrontare cause per danni.
Qui una rassegna delle sanzioni amministrative pecuniarie comminate dai Garanti dei diversi paesi europei nei primi sei mesi del 2019 corredate dalle rispettive motivazioni.
Lo scenario Cyber Risk: il futuro è già presente
L’acquisizione di enormi quantità di informazioni via web, le opportunità di tracciamento di preferenze e comportamenti, l’archiviazione digitale espansiva sul cloud e l’analisi sofisticata di tutte queste informazioni si traducono oggi in Big Data e Business Intelligence, che ci aiutano a monitorare e sviluppare il nostro business e permettere scelte strategiche di mercato. Questo è il presente, ma su di esso si stanno già innestando le basi del prossimo futuro:
Analytics industriali, realtà aumentata, tecnologie blockchain, IoT, IIoT andranno a mutare i processi di lavoro, i prodotti e i servizi incrementando a dismisura l’acquisizione e la trasmissione di dati attraverso perimetri sempre più estesi e permeabili.
Dallo scenario del cyber risk ad una nuova accountability
Facciamo nostre le parole di Paolo Giudice, segretario generale Clusit a cui Margas è associata dal 2015:
Bisogna operare in sicurezza.
L’insicurezza cibernetica è di fatto ormai un problema di ‘salute pubblica’, come una pandemia, che come tale va indirizzato e gestito, con il coinvolgimento e la collaborazione di tutti. In particolare, negli ultimi tre anni, il divario tra percezione dei rischi cyber e realtà e tra la gravità di questi rischi e l’efficacia delle contromisure poste in essere si è pericolosamente ampliato.
Quindi dobbiamo chiederci sempre:
Siamo consapevoli di quanto sia forte l’interconnessione tra rischi “analogici” e rischi “digitali” nella nostra azienda?
Stiamo gestendo il nostro rischio digitale in questo scenario? Se si, lo facciamo in modo adeguato?
Per saperne di più
