Il costo del rischio cyber – Intervista a Massimo Santangelo, Presidente di Adora ICT
Massimo Santangelo è il Presidente di Adora ICT, attiva da oltre 15 anni nel campo della sicurezza informatica: alla luce della sua esperienza, gli abbiamo chiesto un punto di vista sul panorama in evoluzione delle minacce cyber e sui relativi costi per le aziende.
Secondo il Rapporto Clusit, nei primi sei mesi del 2022 gli attacchi cyber gravi sono stati 1.141, per una media complessiva di 190 attacchi al mese e con un picco di 225 attacchi a marzo 2022 (il valore più alto mai verificato). Quali sono le tecniche più utilizzate dagli attaccanti?
Il malware si conferma la prima tecnica di attacco, sebbene nell’anno passato sia sceso sotto la soglia del 40%, per la prima volta dal 2018. Seguono le tecniche sconosciute (22%), il Phishing / Social Engineering (13%) e lo sfruttamento delle vulnerabilità (11%). Aumenta il ricorso a tecniche multiple (8%) e agli attacchi DDoS (4%), mentre la distribuzione della severity degli attacchi resta sostanzialmente invariata: oltre un terzo (33%) sono classificati come critici e quasi la metà (45%) presenta una gravità alta.
Diamo uno sguardo all’Italia: qual è la situazione nel nostro Paese?
La situazione italiana assume dimensioni ancora più preoccupanti se confrontata con il dato globale. Se nel 2022, infatti, negli altri Paesi gli attacchi informatici sono aumentati mediamente “solo” del 21%, in Italia hanno fatto registrare una crescita del 169%.
Non solo: gli attacchi sferrati verso l’Italia nel 2022 hanno costituito il 7,6% degli attacchi globali. Possiamo quindi affermare che l’Italia è ormai finita “nel mirino” di organizzazioni cyber criminali o, in ogni caso, rappresenta un target privilegiato per gli attaccanti informatici. A testimoniare questo trend di crescita (negativo), una ricerca realizzata nel corso del 2022 dall’Osservatorio Cybersecurity e Data Protection del Politecnico di Milano evidenzia che:
- il 67% delle grandi imprese ha subito un aumento dei tentativi di attacco rispetto all’anno precedente;
- il 14% delle grandi imprese dichiara di aver subito attacchi con conseguenze concrete;
- come se non bastasse, in base all’indice DESI (Digital Economy and Society Index) della Commissione Europea, tra i 27 Paesi membri dell’Unione l’Italia è:
- ventesima per livello di digitalizzazione complessiva;
- terzultima per popolazione con competenze digitali – almeno – di base (42%), contro una media UE del 56%;
- quartultima per competenze digitali avanzate (22%), contro una media UE del 31%;
- addirittura ultima nel continente per quota di laureati in ambito ICT sul totale della popolazione laureata (1,3% rispetto a un valore UE del 3,9%).
In più, sempre secondo lo studio dell’Osservatorio, nel 2022 il nostro Paese ha speso 1 miliardo e 850 milioni in prodotti e servizi di sicurezza informatica: solo la metà di Germania, Francia, Canada e Giappone, un terzo rispetto a USA e Regno Unito.
La situazione, quindi, non appare rassicurante… ma quali sono le principali vittime in Italia?
Complice la pandemia, la forte accelerazione verso il digitale ha coinvolto negli ultimi anni soprattutto le Pubbliche Amministrazioni; le quali purtroppo, in alcuni casi, si sono trovate impreparate a sostenere la crescente pressione del rischio informatico.
La combinazione tra mancanza di adeguati investimenti e scarsità di competenze ha favorito la crescita esponenziale degli attacchi, talvolta provocando danni inestimabili: blocco dei servizi, divulgazione di informazioni riservate e/o dati sensibili, perdita della fiducia da parte dei cittadini verso la PA sono soltanto alcune delle dolorose conseguenze che gli attacchi informatici stanno infliggendo al nostro Paese.
Tuttavia nel 2° trimestre del 2023 il settore pubblico ha iniziato a reagire, registrando – per effetto degli investimenti in politiche di protezione dei dati e di una maggiore consapevolezza circa la sicurezza informatica – un numero di attacchi minore rispetto al precedente trimestre.
I numeri, quindi, parlano chiaro: l’Italia è nel mirino dei cyber criminali. Nel contesto della crisi tra Russia e Ucraina, anche il nostro Paese è sotto pressione. Come abbiamo visto il settore più attaccato nel 2022 è stato quello governativo (con il 20% degli attacchi) seguito a brevissima distanza dal manifatturiero (19%), che rappresenta il 27% del totale degli attacchi censiti nel settore livello globale. Quali sono gli altri settori più colpiti?
Sicuramente le istituzioni finanziarie, come banche e società assicurative. In Italia il settore ha subito quasi 200 attacchi informatici in un anno, che – insieme a quelli rivolti alle P.A. – rappresentano quasi la metà degli incidenti registrati in totale. Se a far notizia sono stati soprattutto i cyber attack andati a segno contro gli istituti di credito più noti (tra i quali Intesa San Paolo, Unicredit e Poste Italiane) negli ultimi tempi anche diversi attori innovativi, come la piattaforma Revolut o la statunitense FTX, hanno pagato prezzi altissimi per le lacune di sicurezza nei propri sistemi.
Alle costanti campagne di phishing/smishing finalizzate a sottrarre credenziali di accesso a dipendenti o utenti si affiancano ransomware (numericamente in prima posizione) e attacchi rivolti a dispositivi mobili e IoT, come pure frequenti data leak accidentali legati a infrastrutture Cloud.
Passiamo al settore sanitario, dove sappiamo che durante la pandemia c’è stata un’impennata di attacchi. Ad oggi è cambiato qualcosa?
Gli attacchi cyber mirati alle strutture sanitarie sono in aumento ovunque: secondo il report di Check Point, nell’arco dello scorso anno il mondo healthcare ha subìto 1463 attacchi alla settimana, con una media di 209 tentativi al giorno. Questi numeri fanno della sanità il primo settore per crescita percentuale anno su anno (+74% nel 2022) nonché il terzo per numero di attacchi complessivi, dietro ai contesti “accademico-istituzionale” (2314) e “governativo-militare” (1661).
A livello di data breach – quindi di effettive violazioni e recupero di dati da parte dei pirati informatici – il Dipartimento della salute e dei servizi umani statunitense evidenzia come nel 2022 ci siano state 707 violazioni, per un totale di quasi 52 milioni di record di dati sottratti: in Italia l’unico dato disponibile afferisce al Rapporto Clusit 2023, dove si legge che i cyber attacchi sono triplicati negli ultimi quattro anni (passando dai 3 del 2018 ai 9 del 2021 e 2022), con una severity che nell’ultimo anno appare critica nel 78% dei casi e alta nel restante 22%. Allarmanti, inoltre, i costi riguardanti la violazione dei dati. Il Cost of Data Breach Report 2022 di IBM evidenzia come per 12 anni consecutivi il settore della sanità abbia registrato il costo medio più alto per violazione, arrivando nel 2022 a 10,10 milioni di dollari: un dato in crescita del 42% e quasi doppio rispetto al costo medio del settore finanziario, che figura al secondo posto in classifica con 5,97 milioni di dollari.
La prima causa di un data breach sono gli errori nei sistemi IT (all’origine del 24% dei casi) causati dall’interruzione o dal malfunzionamento dei sistemi informatici. Seguono errori umani (21%), attacchi alla supply chain (19%), attacchi distruttivi (17%), ransomware (11%) e altre tipologie di attacchi malevoli (che formano il restante 8%).
A fronte di un attacco simile a quelli presentati, qual è l’impatto sull’azienda?
Per rispondere a questa domanda dobbiamo prendere in considerazione uno degli aspetti più in ascesa: il grado di severità degli attacchi. Come anticipato, il 77% degli attacchi informatici registrati nel 2022 presenta infatti un impatto medio e critico, a cui si contrappone un minuscolo 23% di casi con impatti più blandi. Bisogna anche tener conto della molteplicità di elementi che vengono messi a rischio da un attacco.
Potrebbero, infatti, esserci danni a livello:
- sociale;
- di immagine;
- economico;
- geopolitico.
Partiamo da una valutazione d’insieme sulla spesa. Secondo le stime del Sole 24 Ore (risalenti a luglio 2020 e riferite al rapporto IBM), ogni singola violazione dei dati costava in media all’azienda 3,86 milioni di dollari a livello globale e 2,90 milioni di euro in Italia.
La survey stima che il costo di una sola ora di inattività produttiva causata da un attacco informatico si aggiri in media sui 300.000 dollari. Stando a quanto riportato dal Corriere della Sera, nei prossimi 5 anni i costi riconducibili alla criminalità informatica potrebbero salire alla cifra record di 5.200 miliardi di dollari.
In Italia, il costo medio annuo per una violazione della sicurezza informatica equivale a circa 8 milioni di euro. In uno scenario già poco idilliaco, c’è anche un altro aspetto da non sottovalutare: le sanzioni previste dal GDPR. Il Regolamento UE ha introdotto importanti novità in materia di trattamento dei dati, consenso, diritto all’oblio e adempimenti a carico di chi effettua il trattamento stesso.
Gli importi delle sanzioni previste dal Regolamento UE sono pari ad un massimo di 20 milioni di euro, o possono arrivare fino al 4% del fatturato.
Le conseguenze, per imprese e professionisti che commettono violazioni, sono diverse:
- sanzioni penali;
- sanzioni amministrative;
- risarcimento del danno in favore dell’interessato;
- divieto di trattamento dei dati personali fino a che non sia posto rimedio alla situazione di non conformità.
Invece, quanto costerebbe a un’azienda di dimensioni medio/grandi proteggersi dai potenziali attacchi?
In quest’ambito sono state fatte numerose analisi. Vi parlo di un dato concreto, partendo da quello che offro con la mia azienda: l’utilizzo di sistemi di protezione informatica è in grado di far risparmiare alla singola organizzazione una media annua di 1,91 milioni di euro, aumentando al contempo l’efficienza della produzione.
Il problema del cybercrime non è affatto da sottovalutare; e la sua continua evoluzione richiede un aggiornamento costante anche delle misure di difesa.
Una consulenza sulla sicurezza informatica aziendale ha un costo che oscilla tra i 400 e i 3.000 € giornalieri, con una media comprese tra 800€ e 2.000€.
Si deve tenere conto che questi costi sono ovviamente approssimativi e che le tariffe possono variare a seconda del volume di informazioni elaborate dalla società e del numero di utenti, oltre che dall’ampiezza dell’infrastruttura.
Inoltre maggiore è il grado di protezione richiesto, maggiore sarà il costo del servizio.
Dopo un’attenta analisi e assessment della situazione, vanno poi contemplate le attività di remediation da mettere in campo ed eventualmente le licenze di software di protezione da acquistare, installare e personalizzare.
Passiamo a un argomento di interesse generale, ovvero le Risorse europee del PNRR (Fondi nazionali) per supportare aziende pubbliche o private e professionisti: in particolare il Fondo per l’attuazione della Strategia Nazionale di Cybersicurezza e al Fondo per la gestione dei progetti di Cybersecurity.
Già a maggio 2022 l’ACN aveva delineato la Strategia Nazionale di Cybersicurezza in 82 misure (da attuare entro il 2026) per supportare le aziende nell’adozione di soluzioni di sicurezza informatica avanzate e nella formazione del personale per la gestione dei rischi cyber, per migliorare le tecnologie di sicurezza informatica e aiutare le aziende a rimanere al passo con le ultime minacce, nonché sviluppare una maggiore cooperazione tra pubblico e privato ai fini di una migliore gestione dei danni, in modo da condividere informazioni e best practice creando una rete di difesa comune. Per concretizzare tali obiettivi, quest’anno il PNRR ha previsto 623 milioni di euro da destinare alla cybersecurity. Di questi, 174 milioni saranno impiegati per l’operatività dell’Agenzia, delle reti e dei servizi (in fase di realizzazione e futuri); 147 serviranno per i laboratori di scrutinio e certificazione tecnologica; 301 per il potenziamento e la resilienza cyber della PA. Alle risorse europee si aggiungono due importanti fondi nazionali, stanziati con la Legge di Bilancio 2023. Uno è il Fondo per l’attuazione della Strategia Nazionale di Cybersicurezza, che finanzia gli investimenti volti al conseguimento dell’autonomia tecnologica in ambito digitale, innalzando così i livelli di cybersecurity nazionale (70 milioni di euro per il 2023). Il secondo Fondo, invece, ha come obiettivo la gestione dei progetti di cybersecurity di cui è incaricata l’Agenzia, con risorse pari a 10 milioni di euro per l’anno 2023.
Nell’ambito del mercato nazionale, storicamente le aziende italiane hanno adottato una strategia difensiva rispetto alla gestione del rischio cyber, dedicandovi scarsi investimenti; ora stanno cambiando il loro approccio, facendo del risk management una leva strategica di impresa. Dall’esperienza maturata in Adora, puoi confermare questo cambio di strategia?
Purtroppo devo confermare che ancora oggi la quota di budget destinata agli investimenti sulla sicurezza è sempre molto ridotta, o addirittura la prima a essere tagliata a fronte della necessità di ridurre le spese; ma è anche vero che, piano piano, si sta sviluppando una maggiore sensibilità su questi temi.
Oggi ritengo che le aziende dovrebbero anche investire di più in Ricerca e sviluppo. In Adora, per esempio, investiamo in R&S per realizzare strumenti e servizi innovativi a supporto delle nostre attività di consulenza. Ne cito due, perché sono il nostro fiore all’occhiello:
- MHYD (diminutivo di Mr Hyde) – OSINT SMART PLATFORM: una piattaforma web che permette al cliente, in completa autonomia, di verificare la situazione dell’identità digitale sua e dei suoi manager (eventuali password in chiaro, numeri di telefono, indirizzi email, etc.) nel dark web, fornendo anche un’opportuna reportistica e i necessari suggerimenti di correzione.
- Medusa Risk – piattaforma web che, opportunamente istruita e attraverso un algoritmo di Intelligenza Artificiale, permette di realizzare un risk assessment dell’infrastruttura del cliente, calcolare il relativo indice di rischio e valutare eventuali azioni di mitigation, stimandone accuratamente tempi e costi.
Il 25 e 26 ottobre saremmo presenti al 21° Forum ICT Security che si terrà a Roma presso l’Auditorium della Tecnica, iscriviti all’evento per poter seguire il nostro intervento di approfondimento su “IL COSTO DEL RISCHIO“. La partecipazione all’evento è gratuita previa registrazione online al seguente link: https://www.ictsecuritymagazine.com/eventi/register