Il Safer Internet Day (SID) è la giornata mondiale per la sicurezza in Rete istituita e promossa dalla Commissione Europea il secondo martedì di febbraio. E dunque, quest’anno, l’11/2: un’occasione per ricordare quali possono essere i rischi sul web e quali contromisure prendere, che si tratti di cyber bullismo o di sicurezza delle reti aziendali.
A fare il punto sui cyber attacchi e sulle strategie di difesa delle imprese è in particolare una ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, pubblicata a inizio febbraio. Da cui emerge che il numero dei cyber attacchi cresce esponenzialmente con minacce sempre nuove e che le imprese italiane aumentano gli investimenti sulla prevenzione dei rischi, ma faticano ad adattarsi alla rapida evoluzione delle modalità di aggressione. Il punto è infatti che si registra un’accelerazione senza precedenti del numero e della varietà degli attacchi.
I numeri del mercato dell’information security
Il mercato italiano delle soluzioni di information security & privacy nel 2018 (anno di riferimento dello studio) ha continuato a crescere, raggiungendo il valore di 1,19 miliardi di euro, in crescita del 9% (dopo il +12% fatto registrare nel 2017).
A trainare il mercato sono soprattutto le grandi imprese, con il 75% della spesa complessiva, concentrata su adeguamento al GDPR e componenti di sicurezza più tradizionali (come Network Security, Business Continuity & Disaster Recovery, Endpoint Security). Il 63% delle grandi imprese ha aumentato il budget per la cyber sicurezza e nel 52% è presente un piano di investimenti pluriennale, anche se ancora quasi una su cinque non prevede ancora investimenti dedicati o stanzia risorse solo in caso di necessità. Nello specifico, il 13% non prevede un piano di investimenti specifico dedicato all’information security e privacy e il 6% stanzia finanziamenti solo in caso di necessità.
Nuove figure e strumenti
Con gli investimenti aumentano le figure professionali dedicate: il Data Protection Officer oggi è presente nel 71% delle imprese (+46%), il Chief Information Security Officer nel 59%, mentre sono sempre di più i profili emergenti come il Cyber Risk Manager, l’Ethical Hacker e il Machine Learning Specialist.
Cresce l’attenzione per nuove tecnologie come l’Artificial Intelligence, considerata una minaccia da appena il 14% delle imprese, mentre il 40% già la impiega per prevenire potenziali minacce e frodi e gestire la risposta a incidenti di sicurezza. In particolare, per prevenire potenziali minacce e identificare gli attacchi ancora prima che si verifichino (17%), per ottimizzare la gestione di eventuali incidenti di sicurezza automatizzando il processo decisionale e il tempo di risposta (15%) e per intercettare possibili frodi (8%). Il 36% del campione sta pianificando di adottare soluzioni di intelligenza artificiale nel prossimo futuro.
Altro dato rilevante, è che nascono attori innovativi che propongono soluzioni di information security & privacy: sono 417 le startup a livello internazionale, per un totale di 4,75 miliardi di dollari di investimenti raccolti.
A cosa mirano gli attacchi
Le principali finalità dei cyber attacchi subiti dalle imprese nello scenario attuale sono truffe, come phishing e business email compromise (83%), estorsioni (78%), poi intrusione a scopo di spionaggio (46%) e interruzione di servizio (36%).
Ma nei prossimi tre anni le aziende temono soprattutto spionaggio (55%), truffe (51%), influenza e manipolazione dell’opinione pubblica (49%), acquisizione del controllo di sistemi come impianti di produzione (40%).
I principali obiettivi degli attacchi sono oggi account email (91%) e social (68%), seguiti dai portali eCommerce (57%) e dai siti web (52%). Nel prossimo triennio, le imprese prevedono che gli hacker si concentreranno su device mobili (57%), infrastrutture critiche come reti elettriche, idriche e di telecomunicazioni (49%), smart home & building (49%) e veicoli connessi (48%). La principale vulnerabilità è costituita dal comportamento umano: per l’82% delle imprese la prima criticità è la distrazione e scarsa consapevolezza dei dipendenti, seguita da sistemi IT obsoleti o eterogenei (41%) e da aggiornamenti e patch non effettuati regolarmente (39%). Per minimizzare il rischio, l’80% delle imprese ha avviato piani di formazione del personale.
Guardando al futuro, gli ambiti in cui le imprese dichiarano di voler aumentare i propri investimenti sono invece le componenti più innovative, come Cloud Security (sul quale il 71% delle organizzazioni dichiara di prevedere un aumento di budget), Industrial Security (52%), Artificial Intelligence & Machine Learning (50%), e protezione in ambiti Mobile (47%) e IoT (47%).
L’assicurazione del rischio cyber
Il mercato dell’assicurazione del rischio cyber prevede oggi svariate possibilità di copertura riguardanti la perdita o la divulgazione di dati personali e sensibili, la compromissione del sistema informativo e la sua interruzione di servizio. “A livello internazionale è un settore già molto radicato, mentre in Italia si trova ancora in una fase di sviluppo, seppure in crescita rispetto alla precedente rilevazione – nota la ricerca dell’Osservatorio -. Il 33% delle imprese ha sottoscritto coperture assicurative di trasferimento del rischio cyber (+6%), di cui il 18% che ha scelto polizze completamente dedicate al cyber risk e il 15% che ha optato per assicurazioni generaliste che lo coprono parzialmente. Il 25% sta valutando se attivarle, il 30% è informato della possibilità ma non ha intenzione di farne uso, mentre il 12% non ne è a conoscenza”.
Gli ostacoli che rallentano la crescita del mercato assicurativo sono in primo luogo la difficoltà a misurare l’impatto finanziario di un eventuale incidente di sicurezza (64%) e l’incapacità delle aziende di valutare la propria esposizione ai rischi cyber (58%). Seguono lo scarso coinvolgimento dei Top Manager (30%) e la poca predisposizione delle imprese a sostenere un assessment del rischio cyber (19%). Ci sono infine lacune nell’offerta assicurativa, come la mancanza di trasparenza nella definizione dei danni coperti dalle polizze (19%) e la scarsa competenza tecnica degli assicuratori (19%).
PMI e Information Security
Le piccole e medie imprese coprono soltanto il 25% della spesa in soluzioni di information security. Il 43% investe in sistemi di information security & privacy, con i progetti di adeguamento al GDPR come principale motivazione di spesa (70%). Circa nove su dieci hanno adottato soluzioni di sicurezza informatica di base, mentre le tecnologie più sofisticate (quali ad esempio Intrusion Detection e Identity & Access Management) sono adottate dal 64% delle medie imprese (+20%) e dal 39% delle piccole. Il CISO è una figura ancora scarsamente diffusa nelle PMI, presente solo nel 15% del campione (nel 25% se ci si focalizza sulle medie imprese, +15%).
Oltre la metà del campione (il 52%) non si sta ancora muovendo sul fronte della cyber sicurezza, adotta al massimo soluzioni di base e non ha inserito profili specializzati su questi temi. Una piccola parte, l’8%, è consapevole dei rischi legati al cyber crimine e affida la sicurezza a figure della funzione IT, ma non adotta sistemi sofisticati per mancanza di budget. Più di una su cinque (22%) ha adottato soluzioni tecnologiche avanzate, ma non è ancora strutturata a livello di ruoli e competenze. Chiude un 18% di imprese mature sia dal punto di vista organizzativo (una su quattro ha un CISO) sia per strumenti adottati (una su tre ha attivato una polizza di trasferimento del rischio cyber).