Sicurezza Ict, come ridurre i costi del cybercrime in azienda
Sale il costo del cybercrime: l’impatto finanziario degli attacchi informatici sta diventando sempre più significativo per le imprese e le conseguenze spesso devastanti dei crimini informatici rendono improcrastinabile una profonda riflessione circa riallocazione delle risorse ed investimenti in materia di sicurezza. Gran parte del fatturato dei cyber criminali è infatti realizzato attaccando decine di migliaia di medie, piccole e micro imprese, completamente impreparate ad affrontare tale minaccia. I cybercriminali ne bloccano l’operatività, rubano i loro asset, spiano le loro strategie di business.
Lo dimostra il “Cost of Cyber crime study”, un’indagine realizzata da Accenture in collaborazione con Ponemon Insitute, relativa ai costi pagati dalle aziende nel 2017 per gli attacchi alla sicurezza, che ha coinvolto 2.182 professionisti informatici ed esperti di sicurezza in 254 aziende in tutto il mondo, in un arco temporale di dieci mesi. Sono state esaminate le quattro principali conseguenze di un attacco informatico, ovvero la perdita di ore lavorative, di informazioni, di ricavi ed i danni alle infrastrutture.
Secondo il report, in media ogni impresa subisce 130 violazioni all’anno, con un aumento del 27% rispetto al 2016. Le società dei settori dei servizi finanziari e dell’energia sono le più colpite, con un costo medio annuo rispettivamente pari a 18,28 e 17,20 milioni di dollari. Il cyber crime nel 2017 costerà mediamente 11,7 milioni di dollari per azienda, il 23% in più rispetto ai 9,5 milioni del 2016 e il 62% in più rispetto alla media degli ultimi cinque anni.
Il costo medio più alto è attualmente sostenuto dagli Stati Uniti, passati da 17,36 milioni di dollari nel 2016 a 21,22 milioni di dollari del 2017; nello stesso periodo in Germania i costi sono saliti da 7,84 a 11,15 milioni, in Giappone da 8,39 a 10,45 milioni.
Qualche dato relativo al nostro Paese: 9 miliardi di euro persi ogni anno a causa di cyber attacchi e minacce informatiche in costante aumento, prevalentemente basate sull'adozione di tecniche di phishing, e sull'utilizzo di ransomware.
Lo studio ha inoltre messo in evidenza l’aumento del tempo necessario a rimediare alle criticità conseguenti ad un cyber attacco: si è stimato che le violazioni che necessitano di un maggior tempo di intervento sono quelle poste in essere da attacchi interni, per le quali occorrono in media 50 giorni, mentre il ransomware richiede in media 23 giorni per il ripristino della funzionalità del sistema aziendale.
L’effetto più dannoso si riscontra nella perdita di informazioni, menzionata dal 43% delle organizzazioni intervistate. Di contro, i costi legati all’interruzione dell’attività, quali ad esempio quelli relativi a malfunzionamenti dei processi aziendali, è sceso dal 39% del 2015 al 33% registrato nello studio di quest’anno.
Il valore del mercato italiano della cybersecurity è oggi stimato in 850 milioni di euro, ma solo il 33% del top management italiano valuta la sicurezza informatica come una priorità di investimento per la propria azienda. Dati allarmanti, se si pensa che il cyber crime costa all’Italia oltre 9 miliardi l’anno.
“Le conseguenze sempre più costose e devastanti che le aziende subiscono a causa dei crimini informatici sottolineano l’importanza crescente di una pianificazione strategica ed un monitoraggio costante degli investimenti in sicurezza” ha dichiarato Kelly Bissel, Managing Director di Accenture Security, che ha aggiunto che “I criminali informatici sono sempre più determinati e utilizzano mezzi sempre più sofisticati. E’ quindi necessario che le organizzazioni adottino una strategia di sicurezza dinamica e agile, che costruisca resilienza dall’interno e non si focalizzi sulla difesa del perimetro”.
Il Research Center of Cyber Intelligence and Information Security dell’Università Sapienza di Roma lo scorso mese di marzo ha pubblicato l’Italian Cybersecurity Report 2016, che propone e sviluppa 15 Controlli Essenziali di Cybersecurity che possono essere adottati ed implementati da medie, piccole o micro imprese per ridurre il numero di vulnerabilità presenti nei loro sistemi. Eccoli indicati di seguito:
1) Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.
2) I servizi web (social network, cloud computing, posta elettronica, spazio web, ecc..) offerti da terze parti a cui si è registrati sono quelli strettamente necessari,
3) Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti.
4) È stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.
5) Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di Cybersecurity che risultino applicabili per l’azienda.
6) Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc..) regolarmente aggiornato.
7) Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori).
8) Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati.
9) Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.
10) Il personale è adeguatamente sensibilizzato e formato sui rischi di Cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.
11) La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.
12) Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (identificati al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente.
13) Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione).
14) In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.
15) Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.
Lo studio elabora inoltre una stima economica del carico degli investimenti da effettuare per implementare tali controlli essenziali, ipotizzando una riduzione del rischio cyber di circa l’80%.
Prendendo a riferimento il "danno medio finanziario" derivante alle piccole e medie imprese da incidenti informatici, calcolato da Kaspersky Lab intorno ai 35 mila euro annui per azienda e comprensivo di costi di recovery, di perdita di volume d’affari, di tempi di inattività e danno all’immagine, si stima che il primo anno una piccola impresa dovrà sostenere un investimento di poco superiore ai 10 mila euro, ben più basso della stima di danno medio per PMI fornita.
Nel caso invece di una media impresa, il costo degli investimenti al primo anno, di poco meno di 25 mila euro, risulta di circa il 30% inferiore alla stima di danno medio.
Dati alla mano, è dunque fondamentale che le aziende prendano maggiore consapevolezza dell’importanza di allocare una parte non trascurabile del proprio budget destinandola all’ammodernamento ed all’implementazione dell’architettura IT, guardando alle nuove tecnologie ed investendo nell’innovazione, così da sviluppare un approccio predittivo e non meramente reattivo, in grado di tutelare la realtà aziendale, garantirne la sicurezza ed aumentando le prestazioni.
Lo dimostra il “Cost of Cyber crime study”, un’indagine realizzata da Accenture in collaborazione con Ponemon Insitute, relativa ai costi pagati dalle aziende nel 2017 per gli attacchi alla sicurezza, che ha coinvolto 2.182 professionisti informatici ed esperti di sicurezza in 254 aziende in tutto il mondo, in un arco temporale di dieci mesi. Sono state esaminate le quattro principali conseguenze di un attacco informatico, ovvero la perdita di ore lavorative, di informazioni, di ricavi ed i danni alle infrastrutture.
Secondo il report, in media ogni impresa subisce 130 violazioni all’anno, con un aumento del 27% rispetto al 2016. Le società dei settori dei servizi finanziari e dell’energia sono le più colpite, con un costo medio annuo rispettivamente pari a 18,28 e 17,20 milioni di dollari. Il cyber crime nel 2017 costerà mediamente 11,7 milioni di dollari per azienda, il 23% in più rispetto ai 9,5 milioni del 2016 e il 62% in più rispetto alla media degli ultimi cinque anni.
Il costo medio più alto è attualmente sostenuto dagli Stati Uniti, passati da 17,36 milioni di dollari nel 2016 a 21,22 milioni di dollari del 2017; nello stesso periodo in Germania i costi sono saliti da 7,84 a 11,15 milioni, in Giappone da 8,39 a 10,45 milioni.
Qualche dato relativo al nostro Paese: 9 miliardi di euro persi ogni anno a causa di cyber attacchi e minacce informatiche in costante aumento, prevalentemente basate sull'adozione di tecniche di phishing, e sull'utilizzo di ransomware.
Lo studio ha inoltre messo in evidenza l’aumento del tempo necessario a rimediare alle criticità conseguenti ad un cyber attacco: si è stimato che le violazioni che necessitano di un maggior tempo di intervento sono quelle poste in essere da attacchi interni, per le quali occorrono in media 50 giorni, mentre il ransomware richiede in media 23 giorni per il ripristino della funzionalità del sistema aziendale.
L’effetto più dannoso si riscontra nella perdita di informazioni, menzionata dal 43% delle organizzazioni intervistate. Di contro, i costi legati all’interruzione dell’attività, quali ad esempio quelli relativi a malfunzionamenti dei processi aziendali, è sceso dal 39% del 2015 al 33% registrato nello studio di quest’anno.
Il valore del mercato italiano della cybersecurity è oggi stimato in 850 milioni di euro, ma solo il 33% del top management italiano valuta la sicurezza informatica come una priorità di investimento per la propria azienda. Dati allarmanti, se si pensa che il cyber crime costa all’Italia oltre 9 miliardi l’anno.
“Le conseguenze sempre più costose e devastanti che le aziende subiscono a causa dei crimini informatici sottolineano l’importanza crescente di una pianificazione strategica ed un monitoraggio costante degli investimenti in sicurezza” ha dichiarato Kelly Bissel, Managing Director di Accenture Security, che ha aggiunto che “I criminali informatici sono sempre più determinati e utilizzano mezzi sempre più sofisticati. E’ quindi necessario che le organizzazioni adottino una strategia di sicurezza dinamica e agile, che costruisca resilienza dall’interno e non si focalizzi sulla difesa del perimetro”.
Il Research Center of Cyber Intelligence and Information Security dell’Università Sapienza di Roma lo scorso mese di marzo ha pubblicato l’Italian Cybersecurity Report 2016, che propone e sviluppa 15 Controlli Essenziali di Cybersecurity che possono essere adottati ed implementati da medie, piccole o micro imprese per ridurre il numero di vulnerabilità presenti nei loro sistemi. Eccoli indicati di seguito:
1) Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.
2) I servizi web (social network, cloud computing, posta elettronica, spazio web, ecc..) offerti da terze parti a cui si è registrati sono quelli strettamente necessari,
3) Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti.
4) È stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.
5) Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di Cybersecurity che risultino applicabili per l’azienda.
6) Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc..) regolarmente aggiornato.
7) Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori).
8) Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati.
9) Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.
10) Il personale è adeguatamente sensibilizzato e formato sui rischi di Cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato). I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.
11) La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.
12) Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (identificati al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente.
13) Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione).
14) In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.
15) Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.
Lo studio elabora inoltre una stima economica del carico degli investimenti da effettuare per implementare tali controlli essenziali, ipotizzando una riduzione del rischio cyber di circa l’80%.
Prendendo a riferimento il "danno medio finanziario" derivante alle piccole e medie imprese da incidenti informatici, calcolato da Kaspersky Lab intorno ai 35 mila euro annui per azienda e comprensivo di costi di recovery, di perdita di volume d’affari, di tempi di inattività e danno all’immagine, si stima che il primo anno una piccola impresa dovrà sostenere un investimento di poco superiore ai 10 mila euro, ben più basso della stima di danno medio per PMI fornita.
Nel caso invece di una media impresa, il costo degli investimenti al primo anno, di poco meno di 25 mila euro, risulta di circa il 30% inferiore alla stima di danno medio.
Dati alla mano, è dunque fondamentale che le aziende prendano maggiore consapevolezza dell’importanza di allocare una parte non trascurabile del proprio budget destinandola all’ammodernamento ed all’implementazione dell’architettura IT, guardando alle nuove tecnologie ed investendo nell’innovazione, così da sviluppare un approccio predittivo e non meramente reattivo, in grado di tutelare la realtà aziendale, garantirne la sicurezza ed aumentando le prestazioni.