Crescono i pericoli cyber cui sono esposte le organizzazioni, ormai sempre più connesse. Le strategie cosiddette “digital by default” (nativamente digitali), e quelle legate all’Internet of Things in particolare, hanno ampliato notevolmente il perimetro da monitorare e difendere. Una volta confinato al datacenter, alle sedi e alle filiali, oggi si allarga a tutti gli endpoint, dallo smartphone del dipendente ai sensori impiegati sulla catena di montaggio. E i vertici delle aziende si rendono conto del fatto che proteggere tutto e bene è impossibile. «Occorre fare un lavoro a monte – spiega Fabio Cappelli, Partner EY e responsabile Cybersecurity per Italia, Spagna e Portogallo – per identificare i cosiddetti “gioielli della corona”, che vanno accuratamente protetti. Per tutto il resto, invece, si dovrà decidere attribuendo priorità (e investimenti – ndr) via via decrescenti».
Incontriamo Cappelli in occasione della presentazione dei risultati della ventesima edizione della EY Global Information Security Survey (GISS), condotta su un campione di C-level in area IT e sicurezza di 1.200 aziende globali. Lo studio intende comprendere quali sono i principali rischi percepiti e in che modo le aziende stanno affrontando il tema della sicurezza informatica. «Cresce la percezione del pericolo cyber – prosegue il manager – e il 65% degli intervistati pensa che la propria azienda sia “più a rischio” rispetto allo scorso anno. Tuttavia, solo il 4% del campione ritiene adeguato il sistema di protezione in uso e la capacità di monitorare in modo puntuale tutti i rischi». Il 91% delle aziende, secondo lo studio, aumenterà quest’anno gli stanziamenti in sicurezza informatica e EY stessa ipotizza un incremento del 20% degli investimenti a livello globale da qui al 2021. «L’entrata in vigore del GDPR ha il suo peso – ammette Cappelli –. Accanto a questo, c’è da dire che le organizzazioni si sono finalmente rese conto che la posta in gioco è davvero alta, specie se si guarda ai danni indiretti di un attacco, tipicamente quelli reputazionali». Secondo un report di Cybersecurity Ventures, infatti, gli impatti degli attacchi cyber sono destinati a raddoppiare nell’arco di sei anni, passato dai 3mila miliardi di dollari del 2015 agli oltre 6mila miliardi previsti nel 2021.
Malware e phishing fanno ancora molta paura
Nel contesto attuale, le organizzazioni si trovano a fronteggiare diverse tipologie di attacco. Quelli “comuni” sono condotti da personale senza grosse
competenze, sfruttando vulnerabilità note ma non sanate, con tecnologie acquistate a basso costo nel Deep Web. Gli attacchi “avanzati”, invece, tra cui spiccano i cosiddetti “zero day”, fanno leva su vulnerabilità poco note per aprirsi un varco nei sistemi IT aziendali. Infine, gli attacchi “emergenti” sfruttano i nuovi vettori d’infezione, come i dispositivi interconnessi e gli oggetti smart, e le vulnerabilità sconosciute delle nuove tecnologie IoT per penetrare il perimetro delle organizzazioni e far danni.
Dall’indagine EY emerge come i malware (63%, in crescita rispetto al 52% rilevato nella precedente edizione del report) siano percepiti dai C-level come la minaccia principale per l’organizzazione. A seguire, il phishing (64%, in aumento rispetto al 51%). Il comportamento disattento dei dipendenti è considerato la causa più probabile di un attacco (citata dal 77% del campione), seguita dalla criminalità organizzata (56%) e dai comportamenti malevoli dei dipendenti.
Uno scudo digitale a protezione delle tecnologie dirompenti
La maggior parte del budget legato alla sicurezza è, ancora oggi, speso per reagire, quindi per affrontare in modo tattico e puntuale i pericoli e le emergenze che di volta in volta si presentano. Ma qualcosa sta cambiando, anche nel Belpaese. «Cresce l’attenzione alla prevenzione – sottolinea Rodolfo Mecozzi, Senior Manager EY –. Lo scorso anno il 65% delle aziende italiane del campione dichiarava di non avere un programma di prevenzione in atto, mentre ora la percentuale è scesa al 61%». Manca, però, mette in guardia il manager, un impegno tangibile delle organizzazioni nostrane a investire nel cosiddetto “scudo digitale”, a protezione delle tecnologie più dirompenti e innovative come machine learning e robotica industriale anche se, «a onor del vero, gli attacchi che più spesso vanno a segno e creano i maggiori danni sono quelli che utilizzano metodologie classiche e sfruttano vulnerabilità già note da tempo».