I rischi di cyber attacchi in vetta alla classifica dei rischi aziendali più temuti sia in Europa che in Italia

A cura di:Sergio Guida Ore

Dal Regional Risks for Doing Business Report 2019, realizzato dal World Economic Forum in collaborazione con i colossi assicurativi internazionali Zurich e Marsch, emerge come il cyber risk sia la prima preoccupazione delle imprese italiane.

Il mondo nel 2019 è più intrecciato e più complesso che mai. Ma mentre le interconnessioni hanno portato un certo grado di stabilità negli ultimi decenni, attraverso relazioni commerciali affidabili, i sistemi strettamente collegati stanno diventando più vulnerabili e in molti ambiti si intravedono fili sfilacciati nel tessuto che avvolge la società. Il lavoro sui rischi globali del World Economic Forum serve a segnalare quali fili, se tirati, potrebbero portare a un disfacimento di interi sistemi. Per questo motivo, dal 2018 il World Economic Forum sviluppa il rapporto annuale sui rischi regionali per le imprese in collaborazione con Marsh&McLennan Companies (MMC) e Zurich Insurance Group, rivolto a oltre 13.000 business leader in 130 Paesi nel mondo con lo scopo di classificare i principali timori legati allo svolgimento della loro attività nei prossimi 10 anni.

Gli attacchi informatici si evolvono e si diversificano

Nei sondaggi del World Economic Forum rispettivamente sulle Executive Opinion e sulla Global Risks Perception vengono tracciate cinque categorie di rischio: economico, ambientale, geopolitico, sociale e tecnologico. Quella relativa ai rischi tecnologici costituisce l’unica categoria classificata nelle cinque preoccupazioni più urgenti da entrambe le serie di intervistati. “Attacchi informatici” e “frode o furto di dati” sono il secondo e il settimo rischio globale che probabilmente aumenteranno entro i prossimi 10 anni nella visione del settore privato mondiale e sono stati percepiti come il quarto e il quinto rischio più grande dalla più ampia rete di multi-stakeholder intervistati per il Global Risks Report 2019.

Il fatto che le minacce informatiche preoccupino la comunità imprenditoriale tanto quanto il mondo accademico, la società civile, i governi e altri leader di pensiero mostra quanto sia dirompente questo rischio per tutti gli aspetti della vita.
Mentre le economie e le società continuano a essere digitalizzate, gli attacchi informatici diventano infatti sia più redditizi per gli aggressori che più pericolosi per le vittime.

Secondo lo studio del costo annuale del crimine informatico di quest’anno, condotto dal Ponemon Institute in collaborazione con Accenture, i crimini informatici sono costati alle aziende in media il 12% in più tra il 2017 e il 2018 e stanno cambiando a causa di:

  • obiettivi in ​​evoluzione: il furto di informazioni è la conseguenza più costosa e in più rapida ascesa del crimine informatico. Ma i dati non sono l’unico obiettivo. I sistemi di base, come i controlli industriali, vengono violati in una pericolosa tendenza a interrompere e/o distruggere;
  • impatto in evoluzione: mentre i dati rimangono un obiettivo, il furto non è sempre il risultato. Una nuova ondata di attacchi informatici vede i dati non più semplicemente essere copiati ma distrutti, o addirittura modificati nel tentativo di generare sfiducia. Attaccare l’integrità dei dati è la prossima frontiera;
  • tecniche in evoluzione: i criminali informatici stanno adattando i loro metodi di attacco. Stanno prendendo di mira il livello umano – l’anello più debole nella difesa informatica – attraverso un aumento del ransomware e attacchi di phishing e ingegneria sociale come percorso di accesso. Può addirittura verificarsi che Stati o gruppi di attacco associati usino questo tipo di tecniche per attaccare imprese commerciali. Si tenta di classificare gli attacchi da queste fonti come “atti di guerra” nel tentativo di limitare i risarcimenti assicurativi in casi di violazioni della sicurezza informatica.

Come mostrato dalla seguente figura, gli attacchi basati sulle persone sono aumentati in misura maggiore.

Tre passaggi per sbloccare il valore nella sicurezza informatica

  1. Dare priorità alla protezione dagli attacchi basati sulle persone: contrastare le minacce interne è ancora una delle maggiori sfide con un aumento degli attacchi di phishing e ransomware, nonché degli insider malintenzionati.
  2. Investire per limitare la perdita di informazioni e l’interruzione dell’attività: quella che era già era la conseguenza più costosa degli attacchi informatici, ora comporta una preoccupazione crescente in ragione dele nuove normative sulla privacy come GDPR e CCPA.
  3. Mirare alle tecnologie che riducono i costi in aumento: utilizzare l’automazione, l’analisi avanzata e l’intelligence sulla sicurezza per gestire l’aumento dei costi necessari per scoprire gli attacchi, che sono la principale componente della spesa.

Dal canto suo, anche Symantec ha avvertito nel suo Rapporto sulle minacce alla sicurezza di Internet come siano emerse nuove forme di minacce informatiche – ad es. il formjacking, un codice malevolo che ruba i moduli di acquisto dai siti Web di e-commerce – mentre le aziende e le persone continuano a rimanere esposte a forme più onnipresenti di ransomware e cryptojacking.
Ecco perché rilevare, difendere e scoraggiare nuovi crimini informatici è importante quanto la gestione delle minacce note.

Infattim secondo il WEF, le preoccupazioni relative agli “attacchi informatici” sono al top tra i leader delle quattro maggiori economie dell’Unione europea – Germania, Francia, Italia e Regno Unito – e al primo posto in altri sei Paesi in tutto il continente. Alla fine del 2018 e per tutto il 2019, diversi Paesi europei hanno subito attacchi informatici e attacchi con furto di dati ad agenzie statali e grandi imprese: la Germania ha visto attacchi su account di posta elettronica di parlamentari, militari e diverse ambasciate nel novembre 2018, mentre vari tipi di attività dannose sono stati riscontrati nella fase culminante delle elezioni europee di maggio. Attacchi simili si sono verificati prima delle elezioni finlandesi in aprile e contro le istituzioni pubbliche in Croazia e Repubblica ceca in aprile e agosto, rispettivamente. Inoltre, dal 2018 sono aumentati gli incidenti informatici rivolti al settore imprenditoriale europeo: il 61% delle imprese ha riferito di incidenti informatici, rispetto al 45% dell’anno precedente.

Per mitigare queste minacce, aziende e autorità stanno rispondendo con centri di formazione informatica specificamente designati. A livello regolamentare, l’UE ha adottato nel marzo 2019 il Law Enforcement Emergency Response Protocol – un protocollo di risposta alle emergenze di cyber security  pensato al fine di contrastare gli attacchi su larga scala – e nel maggio 2019 ha implementato un nuovo quadro sanzionatorio al fine di utilizzare strumenti più efficaci per scoraggiare gli attaccanti.

In Italia, il cyber risk occupa il primo posto della classifica:

“La Survey Regional Risks for doing Business 2019 mostra dati che ritroviamo perfettamente nel comportamento delle imprese nostre clienti” ha dichiarato Elena Rasa, Chief Underwriting Officer di Zurich Italia. “Rispetto a qualche anno fa, stiamo assistendo a una crescente richiesta di protezione e tutela assicurativa sul fronte cyber, a dimostrazione di quanto il tema della sicurezza informatica sia divenuto ormai cruciale per la pianificazione e la gestione del proprio business. Attacchi informatici, furti di dati personali, falle e intrusioni tecnologiche possono generare, infatti, crisi reputazionali difficili da sanare”.

Sulla stessa lunghezza d’onda Andrea Bono, AD di Marsh Italy, per il quale “i risultati della survey mostrano chiaramente un cambio di percezione in merito al rischio cyber da parte dei business leader italiani ed europei che lo pongono ora al vertice della classifica dei rischi. Tale percezione (…) è un segnale importante e spetta a noi continuare a supportare le aziende per favorire una crescente cultura di mitigazione di questo rischio e una maggiore consapevolezza dell’importanza del tutelarsi contro eventuali attacchi.”

In effetti, sebbene la Direttiva europea NIS in tema di cyber security abbia definito le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi e il decreto attuativo nazionale si applichi agli Operatori di Servizi Essenziali (OSE) e ai Fornitori di Servizi Digitali (FSD), nel nostro Paese un’azione diffusa di valutazione del cyber risk risulta ancor più necessaria in considerazione della peculiare struttura del sistema economico-aziendale, la cui ossatura vede una forte prevalenza delle piccole e medie imprese: vale a dire soggetti maggiormente esposti, in termini sia di preparazione e comprensione del rischio che di capacità di affrontarlo.

 

Articolo a cura di Sergio Guida

Profilo Autore
Sergio Guida

Da economista aziendale, ha maturato esperienze direzionali in gruppi industriali diversi per settori, dimensioni e caratteristiche. Specializzato in pianificazione strategica e controllo di gestione, finanza, risk e project management, sistemi di gestione e rendicontazione integrativi (sociale, ambientale e intangible assets), è stato relatore in convegni e seminari e pubblica articoli di economia, finanza, digital transformation, data governance, public health, compliance & regulatory affairs.
Ha seguito percorsi multidisciplinari su Design Thinking, Human-Computer Interaction, Data protection & Privacy, Digital Health & Therapeutics. Business angel, segue con attenzione il mondo delle Startup.

Altri Articoli
Condividi sui Social Network:

Articoli simili

A case history: Kick Back Attack

A case history: Kick Back Attack

A cura di:Vincenzo Digilio Ore Pubblicato il

La locuzione latina “si vis pacem, para bellum”, sostiene che uno dei modi migliori per assicurarsi la pace sia quello di prepararsi alla guerra. Io direi che dipende, fondamentalmente, dal contesto in cui ci si trova. Nella realtà in cui oggi viviamo è di vitale importanza mettere in atto tutte le contromisure adeguate per prevenire…

Andrea Rigoni – Intervista al Cyber Crime Conference 2018

Andrea Rigoni – Intervista al Cyber Crime Conference 2018

A cura di:Redazione Ore Pubblicato il

[video_embed video=”266053650″ parameters=”” mp4=”” ogv=”” placeholder=”” width=”900″ height=”460″] Andrea Rigoni Advisor internationale di Cyber Defence La minaccia verso le infrastrutture critiche cresce, e spesso le PMI non sono adeguatamente attrezzate, ma anche le grandi aziende rischiano di farsi trovare impreparate dalle nuove evoluzioni degli attacchi. È difficile giudicare un strategia di sicurezza finché non si…

Insider Threats Management: ObserveIT fa incetta di premi e si conferma leader di mercato

Insider Threats Management: ObserveIT fa incetta di premi e si conferma leader di mercato

A cura di:Redazione Ore Pubblicato il

Non c’è dubbio che il più grande rischio per la sicurezza informatica siano le persone. Che sia intenzionale o meno, ogni tipo di utente che agisce nel network, sia esso un utente di tradizionale o privilegiato, un vendor o un consulente esterno, rappresenta una minaccia. ObserveIT identifica ed elimina le minacce interne (insider threats) attraverso…

Webinar gratuito: Prova valida del consenso – come coltivare la fiducia e dimostrare la conformità

Webinar gratuito: Prova valida del consenso – come coltivare la fiducia e dimostrare la conformità

A cura di:Redazione Ore Pubblicato il

I dati, la fiducia e la conformità sono tre grandi aree di attenzione per le aziende. L’ottenimento del consenso da parte del pubblico è fondamentale per eseguire attività di vendita e marketing in un modo che tenga conto della privacy, e lo stesso vale per dimostrare di aver ottenuto tale consenso. Il consenso è importante non solo per garantire…

Decreto Cyber Security: un passo avanti verso la sicurezza cibernetica nazionale

Decreto Cyber Security: un passo avanti verso la sicurezza cibernetica nazionale

A cura di:Aldo Benato Ore Pubblicato il

Il 13 aprile è entrato in vigore il Decreto Gentiloni sulla Cyber Security approvato il 17 febbraio scorso, un provvedimento che abroga e sostituisce il precedente DPCM Monti del 24 gennaio 2013 che sino a quel momento aveva delineato l’architettura nazionale in materia di sicurezza cibernetica. In attesa del recepimento della Direttiva europea 2016/1148, recante…

ROP: cercare gadget nelle applicazioni Android

ROP: cercare gadget nelle applicazioni Android

A cura di:Gianluigi Spagnuolo Ore Pubblicato il

In questo articolo ci occuperemo della ricerca di sequenze di istruzioni presenti nella piattaforma Android (su sistemi ARM) al fine di sfruttare delle vulnerabilità nelle applicazioni, con attacchi di tipo ROP, aggirando i principali sistemi di sicurezza. Gadget: cosa sono e a cosa servono Gli attacchi di tipo Return Oriented Programming (ROP, vedi Riquadro 1)…