Cyber crime, imprese indifese

Pagina a cura di Roxy Tomasicchio

Marciano a doppia velocità gli investimenti in innovazione tecnologica e quelli in sicurezza. Una volta toccato il fondo della crisi globale dell’economia, lo scenario volge verso la ripresa con riflessi anche sulle prospettive di spesa in It: per il 2018, circa il 78% delle imprese prevede un budget sostanzialmente stabile, il 16% intravede una crescita, mentre soltanto il 6% segnala una ulteriore razionalizzazione della capacità di spesa. Ma il passaggio successivo, dalla formazione del budget Ict alla definizione di un budget per la sicurezza informatica, non è assolutamente scontato. È quanto si legge nel contributo di IDC Italia relativo a «Il mercato italiano della Sicurezza IT», contenuto all’interno della dodicesima edizione del rapporto sulla sicurezza Ict redatto da Clusit (Associazione Italiana per la sicurezza informatica), che sarà presentato al pubblico martedì 13 marzo, in apertura della decima edizione del Security summit (convegno che si propone di analizzare lo stato dell’arte della cyber security).
Proprio nell’anno peggiore dal punto di vista della sicurezza (o forse dovremo dire «insicurezza», si veda anche ItaliaOggi Sette del 30/10/2017), infatti, circa il 47% delle imprese spende in modo del tutto saltuario per mettere al riparo i propri sistemi, quasi il 48% spende esclusivamente nel budget generale dell’It, mentre meno del 5% delle imprese considera la sicurezza It una spesa strategica a cui riservare un budget specifico e dedicato nel 2018.
Gli esperti Clusit stimano che l’Italia nel 2016 abbia subito danni derivanti da attività di cyber crimine per quasi 10 miliardi di euro, un valore dieci volte superiore a quello degli attuali investimenti in sicurezza informatica, che arrivano oggi a sfiorare il miliardo di euro. Non sorprende, quindi, che tra le varie voci che formano il budget di information technology la sicurezza molto spesso ha peso marginale: circa il 30% delle imprese italiane vi assegna meno dell’1% del budget complessivo, il 24% si spinge fino al 3% e meno del 5% delle imprese supera tale soglia. Da segnalare non solo una attribuzione ridotta di valore, ma anche un rapporto quasi direttamente proporzionale tra queste spese e l’andamento di variabili fondamentali come il fatturato Ict: quando fatturato o budget sono stabili o in riduzione, oltre il 70% delle imprese riserva meno dell’1% del budget alla sicurezza It; viceversa, quando le previsioni sono positive, il 45% delle imprese spende ben oltre tale soglia, quasi il doppio rispetto agli altri casi.
Tutto ciò, appunto, proprio a dispetto di dati allarmanti. Gli esperti del Clusit, lo hanno definito un «salto quantico»: l’andamento della cyber insicurezza ha toccato nel 2017 livelli inimmaginabili ancora pochi anni fa, sia a livello quantitativo, che qualitativo. Nell’ultima edizione del rapporto, si evidenzia un trend inarrestabile di crescita degli attacchi e dei danni conseguenti: 1.127 sono stati gli attacchi «gravi» registrati e analizzati nel 2017 da Clusit a livello mondiale, ovvero con impatto significativo per le vittime in termini di perdite economiche, di danni alla reputazione, di diffusione di dati sensibili. Di questi, il 21% è stato classificato di impatto «critico». In termini numerici, si assiste a una crescita del 240% degli attacchi informatici rispetto al 2011, anno a cui risale la prima edizione del rapporto Clusit, e del 7% rispetto al 2016; tuttavia, a preoccupare gli esperti, è il vero e proprio «cambiamento di fase» nel livello di cyber insicurezza globale, con interferenze pesanti tanto nella geopolitica e nella finanza, quanto sui privati cittadini, vittime nel 2017 di crimini estorsivi su larghissima scala.

La sicurezza non è una priorità per molti. Pur posizionando la spesa in Itc in vetta tra le priorità tecnologiche delle imprese italiane, spesso questa rilevanza si traduce in una dichiarazione di principio più che in una effettiva prerogativa di spesa. La cyber security viene indicata come priorità per il 2018 da circa il 28% delle imprese sopra i 10 addetti. Sebbene il dato dello scorso anno facesse riferimento a un perimetro di indagine più ristretto, che comprendeva solo le imprese sopra i 50 addetti, comunque si osserva un certo ridimensionamento rispetto ad altri indirizzi strategici rispetto allo scorso anno, in modo particolare rispetto a obiettivi di automazione e di consolidamento dei sistemi. Più in dettaglio, le imprese con obiettivi legati alla Sicurezza It sono ampiamente più orientate sull’automazione e sull’ottimizzazione dei processi (55% nel gruppo Sicurezza It rispetto a un dato del 32% sul totale campione). La differenza è ancora più marcata in merito al miglioramento dei servizi It e dei tempi di delivery (39% contro il 13% del campione generale) e rimane comunque molto elevata nella dimensione relativa all’innovazione e al rinnovamento delle infrastrutture It/ datacenter (26% versus 9%). Tutti indizi che inducono a ritenere che l’investimento in Sicurezza preceda processi di trasformazione più generali, legati sia alla trasformazione digitale nelle sue differenti sfaccettature sia all’Internet delle cose e all’Industria 4.0 sia ad appuntamenti normativi importanti, come la fine del periodo transitorio di adeguamento al Gdpr.

Gli attacchi nel 2017. Il rapporto Clusit 2018 evidenzia il cyber crime (la cui finalità ultima è sottrarre informazioni, denaro, o entrambi), quale prima causa di episodi gravi a livello mondiale (76% degli attacchi complessivi, in aumento del 14% rispetto al 2016). Crescono del 20% rispetto allo scorso anno gli attacchi di Information Warfare (la guerra delle informazioni) e il Cyber Espionage, in salita del 46% (lo spionaggio con scopi geopolitici o di tipo industriale, come per esempio il furto di proprietà intellettuale).
Importanti le cifre in gioco: secondo gli esperti Clusit dal 2011 al 2017 i costi generati globalmente dalle sole attività del cyber crime sono quintuplicati, arrivando a toccare quota 500 miliardi di dollari nel 2017. Lo scorso anno, truffe, estorsioni, furti di denaro e dati personali hanno colpito quasi un miliardo di persone nel mondo, causando ai soli privati cittadini una perdita stimata in 180 miliardi di dollari. Sono esclusi da questa quantificazione i danni causati dalle attività di Cyber Espionage e le conseguenze sistemiche generate dalle crescenti attività di Information Warfare, i cui impatti sono difficilmente calcolabili, ma sicuramente crescenti.
Una novità, nel 2017, è rappresentata dalla tipologia e distribuzione delle vittime: è infatti la categoria dei «Multiple Targets» la più colpita: rispetto al 2016 c’è un incremento a tre cifre (353%), a conferma del fatto che nessuno può ritenersi escluso dall’essere un obiettivo e che gli attaccanti sono sempre più aggressivi. A questo proposito, è il malware prodotto industrialmente e a costi sempre decrescenti il principale vettore di attacco nel 2017, in crescita del 95% rispetto al 2016 (quando già si era registrato un incremento del 116% rispetto all’anno precedente). Si tratta, cioè, di quei software «cattivi» che infettano i server aziendali per raccogliere informazioni, creare malfunzionamenti o criptare dei dati.
© Riproduzione riservata
Fonte: