Maggiore consapevolezza da parte delle imprese ma budget limitato
”A circa centosessanta anni dall’Unità non siamo ancora riusciti ad amalgamare economicamente, socialmente i nove stati dai quali è nata l’Italia moderna. Il risultato è che abbiamo un paese frammentato in tante realtà che non comunicano tra loro. Alcune regioni del Nord possono vantare standard produttivi e livelli medi di vita paragonabili alle regioni più sviluppate del Centro Europa, di contro le regioni esposte a Mezzogiorno continuano da troppi anni a segnare il passo, restando lontane dai bagliori dello sviluppo. Le rappresentanze politiche per tutta risposta risultano sempre più autoreferenziali, disinteressate al dialogo e al confronto, hanno perso di vista il destino dei territori e delle comunità di cui sarebbe loro dovere preoccuparsi”. E’ un’ ”Italia polimorfe” quella che è emerge dal Rapporto Italia 2017 dell’Eurispes,
presentato a Roma nella prestigiosa cornice della Biblioteca Nazionale di Castro Pretorio. Una nazione angosciata- spiega il Presidente Gian Maria Fara – da livelli di povertà crescente (un italiano su quattro pensa di esserlo soprattutto a causa della perdita del lavoro) che vede la metà delle famiglie in difficoltà ad arrivare alla fine del mese e tantissimi giovani (circa il 13%) ”costretti” a una retromarcia verso casa in mancanza di un’occupazione possibile”. Come ogni anno tante le fenomenologie sociali ed economiche oggetto di analisi e di studio. L’innovazione e il mondo dell’ICT è uno dei grandi temi al centro della trattazione.
Il cyberspace: un asset da tutelare
Come rivela puntualmente il Rapporto nella società digitale la sicurezza del cyberspace è diventata una priorità, per gli stati che devono difendere l’interesse generale, la vita dei cittadini e le infrastrutture critiche e per le imprese impegnate a proteggere i propri asset strategici. Secondo le previsioni del Report Global Risks 2014 del World Economic Forum nel 2020 le perdite economiche causate da attacchi cyber potrebbero arrivare fino a tremila miliardi di dollari. Non basta certo l’iniziativa dei singoli per affrontare una emergenza così grave, occorrono piani strategici di ampio respiro che coinvolgono pubblico, privato e ricerca, per effettuare un’efficace governance del rischio informatico.
Gli attacchi informatici causano alle sole imprese italiane danni per 9 miliardi di euro l’anno. Potenza e fragilità si toccano della dimensione della ”infosfera”, area preziosa che contiene dati riservati e informazioni sensibili, come sa bene il cyber crime, che si conferma come la prima causa di attacchi gravi a livello globale, attestandosi al 68% dei casi nel 2015 (era il 60% nel 2014). I crimini informatici nei primi sei mesi del 2015 sono aumentati del 30% rispetto al 2014, arrivando a costituire la causa del 66% degli attacchi informatici gravi. Sempre più spesso le azioni dei criminali hanno come obiettivo le infrastrutture critiche, come, ad esempio, le reti di distribuzione dell’energia e quelle di telecomunicazione: mentre nel secondo semestre 2014, su scala globale, si sono verificati solo due attacchi, nella prima metà del 2015 se ne sono registrati 20, con un aumento del 900% (Fonte: Elaborazione Eurispes su dati Clusit, 2016). Tra le potenziali vittime di attacchi informatici rientrano sia le istituzioni pubbliche sia le imprese. Le imprese di piccole e medie dimensioni sono le più vulnerabili perchè la cybersecurity comporta costi, legati alla dotazione di un efficacia di protezione, che non sempre queste hanno la capacità di affrontare. Inoltre, non sono da sottovalutare i danni economici e reputazionali con i quali le imprese sottoposte ad attacchi informatici si trovano spesso a fare.
Le diverse tipologie di attacco
Nel nostro Paese, sempre secondo le rilevazioni del Rapporto Clusit i settori maggiormente colpiti da attacchi informatici sono stati: informazione e gioco: media online, piattaforme di blogging e gaming nel 2015 hanno subìto un incremento degli attacchi pari al 79% rispetto al 2014; automotive: gli attacchi nel 2015 sono stati circa il 67% in più rispetto all’anno precedente; ricerca ed educazione: settore in cui si è registrato un incremento degli attacchi pari al 50%, per lo più con finalità di spionaggio; ospitalità, alberghi, ristoranti, residence e collettività: il comparto viene registrato per la prima volta nel Rapporto Clusit. A ben vedere, in questi casi gli attacchi sono finalizzati a colpire gli utenti. Ogni mese, un attacco su tre va a buon fine e viene scoperto in ritardo. Nel 66% dei casi la presenza di un attacco viene spesso scoperta dopo mesi (la media globale è del 51%), nel 7% dei casi (come la media globale) le violazioni vengono individuate dopo giorni e nel 16% dei casi dopo settimane (la media globale è del 22% – Fonte Elaborazione Eurispes, su dati Accenture, ”High Performance Security Report, 2016). Secondo una ricerca Accenture, HfS emerge, inoltre, che le organizzazioni soffrono la carenza di budget da investire nell’assunzione di dipendenti opportunamente formati per difendersi dagli attacchi informatici. Per il 42% degli intervistati, infatti, è necessario un aumento di fondi per l’assunzione di professionisti di cyber security così come per la formazione delle risorse umane attualmente disponibili in azienda che, per oltre la metà dei rispondenti (54%), non sono sufficientemente formate per prevenire il verificarsi di violazioni della sicurezza. Interessanti anche i rilevamenti della quarta indagine internazionale di Zurich sul rischio di attacchi informatici che mettono in luce, gli effetti di attacchi informatici più temuti dalle piccole e medie imprese: furti di dati dei clienti (20%), reputazione aziendale (17%), furti di denaro (11,5%), furti di identità (7,5%) e furti di dati dei dipendenti (6,5%).
L’impegno sulla sicurezza
A dispetto della gravità di un fenomeno in espansione bisogna dire che soltanto il 19% delle grandi imprese ha maturato una consapevolezza tale da avere una visione di lungo periodo sulla sicurezza e da sviluppare piani concreti con approcci tecnologici e ruoli organizzativi definiti, mentre il 48% si trova ad uno stadio iniziale del percorso di cyber security. Le minacce più diffuse negli ultimi due anni sono state: malware (80%), phishing (70%), spam (58%), attacchi ransomware (37%) e frodi (37%). Le principali vulnerabilità sono: la consapevolezza dei collaboratori su policy e buone pratiche di comportamento (79%), la distrazione (56%), l’accesso in mobilità alle informazioni aziendali (45%), la presenza di dispositivi mobili personali (33%). Le imprese hanno sviluppato, in particolare, la necessità di porre al proprio interno responsabili manageriali per le strategie di cyber security. Tuttavia, oggi, meno della metà delle grandi imprese (42%) ha al proprio interno una figura di Chief Information Security Officer (CISO), il professionista incaricato di definire la visione strategica, implementare programmi a protezione degli asset informativi e mitigare i rischi, mentre nel 10% dei casi è prevista l’introduzione nei prossimi 12 mesi. (Fonte: Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano).
Nel 36% dei casi l’Information security è affidata ad altri ruoli in azienda, come il responsabile della sicurezza. Il 12% delle imprese non ha una figura dedicata e non ne ha in programma l’introduzione nel breve periodo. L’aumento dei dati e l’eterogeneità delle fonti informative rendono, dunque, necessarie anche figure professionali per la gestione dei problemi della privacy. Il nuovo Regolamento europeo sulla protezione dei dati personali introduce la figura del Data Protection Officer (DPO), la cui presenza è prevista come obbligatoria per gli enti pubblici e le Pubbliche amministrazioni e in altri specifici casi previsti dalla nuova normativa dell’Unione. Il DPO è il professionista con competenze giuridiche, informatiche, di gestione del rischio e di analisi dei processi aziendali che mette in atto la politica di gestione del trattamento dei dati personali per adempiere alle normative di riferimento.
I maggiori ostacoli
I principali limiti con cui oggi le imprese italiane devono fare i conti per far fronte efficacemente agli attacchi cibernetici rimangono comunque: Le competenze professionali: le imprese denunciano la scarsità di fondi da investire nella formazione e nell’assunzione di figure professionali specializzate laddove la formazione e la sensibilizzazione culturale sono elementi fondamentali per proteggersi dal cyber crime; il budget: la cyber security richiede investimenti in formazione delle risorse umane, ma anche in tecnologia (applicazioni riguardanti cognitive computing e intelligenza artificiale e piattaforme per la cifratura dei dati); la qualità del management: spesso l’executive management considera la cyber security una spesa superflua mentre occorrerebbe definire una vera e propria strategia di cyber security, che tenga conto delle priorità del business, tra cui la tutela della propria reputazione aziendale e della protezione del dato.