Oltre il 90% delle aziende aumenterà gli investimenti in cyber security nel corso del 2018. Con l’incremento delle minacce informatiche che richiedono una risposta più efficace, l’87% del campione (l’89% in Italia) pensa di dover investire il 50% in più rispetto allo scorso anno. Tuttavia, solo il 12% prevede di poter contare su un aumento superiore al 25% quest’anno.
È questo uno dei dati emersi dalla ventesima edizione della EY Global Information Security Survey (GISS), Cybersecurity regained: preparing to face cyber attacks.
L’indagine, basata sulle interviste a circa 1.200 top manager delle più grandi e riconosciute aziende al mondo, esamina alcune delle loro preoccupazioni più urgenti in tema di cyber security e come le stanno affrontando.
Se il 65% degli intervistati ritiene di essere più a rischio oggi rispetto a 12 mesi fa, poiché la rapida accelerazione della connettività, all’interno delle aziende ha introdotto nuove vulnerabilità alimentate dalla crescita dell’Internet of Things (IoT), solamente il 4% del campione dichiara di aver considerato tutti gli impatti sulla sicurezza della loro attuale strategia e di monitorare in modo appropriato tutti i rischi rilevanti in tema di minacce cyber e vulnerabilità.
Fabio Cappelli, Partner EY Responsabile Cybersecurity per Italia, Spagna e Portogallo, così commenta i risultati: “Oggi tra i costi diretti e indiretti che un attacco può causare, vanno considerati anche la perdita di reputazione, le sanzioni come quelle previste dall’ormai imminente entrata in vigore del GDPR, ed anche le conseguenze per le aziende. L’elevato livello di connessione e il ruolo giocato dall’IoT offrono ai potenziali attaccanti la possibilità di intervenire sul funzionamento dei sistemi industriali e persino su dispositivi che possono porre a rischio la vita delle persone, come ad esempio può accadere negli ospedali”. Insomma, la digitalizzazione di aziende e processi ha aumentato il perimetro di rischio a cui le imprese sono esposte. “Si stima, per esempio, che entro il 2021 gli impatti economici dei rischi legati alla cyber security raggiungeranno la cifra di 3 trilioni di dollari”, ha sottolineato Capelli.
Lo studio ha inoltre evidenziato che solo il 12% delle imprese sarebbe in grado di rilevare un attacco informatico sofisticato. Mentre il 75% valuta il livello del proprio sistema non adeguato, il 35% non ha alcuna policy per la protezione dei dati e il 38% del campione non ha alcun sistema di controllo degli accessi al proprio sistema informatico.
Analizzando i recenti attacchi informatici portati su larga scala si può vedere che hanno utilizzato metodologie classiche che sfruttano vulnerabilità note. Il malware (64% rispetto al 52% nel 2016) e il phishing (64% rispetto al 51% dell’anno scorso) sono percepiti come le minacce che hanno maggiormente aumentato l’esposizione delle organizzazioni a rischio negli ultimi 12 mesi. I dipendenti negligenti o inconsapevoli sono considerati la causa principale, ed in aumento, della vulnerabilità delle organizzazioni in tema di sicurezza informatica (60% contro il 55% nel 2016). Il 77% degli intervistati considera i dipendenti disattenti come la causa più probabile di attacco, seguita dalla criminalità organizzata (56%) e dai dipendenti malintenzionati (47%).
In caso di attacco avanzato – cioè condotto da gruppi sofisticati e ben organizzati – molte aziende sono seriamente preoccupate dell’efficacia dei loro attuali sistemi di sicurezza informatica. Il 75% degli intervistati (il 71% in Italia) valuta il livello di maturità del proprio sistema di identificazione delle vulnerabilità non adeguato. Un ulteriore 12% dichiara di non avere un programma specifico di rilevamento delle violazioni, mentre il 35% (il 42% in Italia) non ha sviluppato un sistema strutturato di policy per la protezione dei dati, ed il 38% (il 41% in Italia) non ha un sistema di gestione dell’identità e di controllo degli accessi al proprio sistema informatico o non ha formalmente definito tale programma.
Lo studio EY mostra anche che gli investimenti in cybersecurity sono più alti nelle organizzazioni che hanno addetti alla sicurezza informatica dedicati all’interno delle principali linee di business; informano almeno due volte l’anno il cda; identificano i “gioielli della corona” del proprio sistema IT e li proteggono in modo più accurato.
Il panorama italiano
In Italia, sul piano della prevenzione degli attacchi, il 61% degli intervistati afferma di non avere un programma di intelligence per anticipare possibili minacce dall’esterno. Riguardo alla preparazione necessaria per una gestione efficace dei rischi, il 58% degli intervistati dichiara di aver un livello di maturità poco adeguato in materia di protezione dei dati personali, e il 71% un livello non adeguato di consapevolezza/formazione in materia di sicurezza delle informazioni.
Quanto alla capacità di gestione di un attacco informatico, il 63% degli intervistati in Italia dichiara di non avere una strategia di comunicazione predefinita e neppure un piano da applicare nel caso in cui l’azienda sia sottoposta ad un attacco informatico con relativa perdita o sottrazione di dati.
Tali dati confermano la necessità di evoluzione degli attuali Security Operations Center (SOC) nelle aziende del nostro paese, considerato che il 95% degli intervistati dichiara di disporre di un SOC ma che solo il 19% dei recenti incidenti di sicurezza significativi sono stati rilevati da questi.
In un contesto dove il tema della gestione e la notifica degli incidenti di sicurezza è sempre più regolamentata e che vivrà proprio nel 2018 un anno cruciale sulla base della piena applicazione del nuovo Regolamento Europeo sulla Protezione dei Dati Personali (GDPR) e del recepimento all’interno degli ordinamenti nazionali della Direttiva NIS (Network and Information Security).
Fabio Cappelli conclude: “Riteniamo che in futuro le aziende collaboreranno tra loro per condividere le conoscenze e aumentare la resilienza cyber che ruota attorno a tre principi: proteggere, rilevare e reagire. Questi imperativi sono oggi più importanti che mai: le aziende che comprendono il panorama delle minacce e si concentrano sulla sicurezza sin dalla progettazione, costruendo solide difese, avranno una chance maggiore di annullare gli attacchi, di identificarli prima e di rispondere in maniera efficace”.
Infine, risultano poche le aziende, sia in Italia (4%) sia all’estero (8%) che hanno dichiarato di avere un piano di risposta per gli attacchi informatici. “E il 33% – ha detto Capelli rispondendo alle domande dei giornalisti – ha ammesso che non avvertirebbe nemmeno i propri clienti colpiti, oggi tra costi diretti e indiretti provocati da un attacco, non ci sono solo i dati che possono perdere le aziende, ma anche l’interruzione del business poiché i processi produttivi sono sempre più legati a tecnologie digitali. Inoltre vanno considerati anche i danni reputazionali e le sanzioni legate al nuovo regolamento Europe sulla protezione dei dati personali” che entrerà in vigore a maggio 2018.