Quello dei servizi finanziari è uno dei settori con le difese informatiche meglio strutturate, ma nonostante questo è fra quelli che spendono di più per ripristinare le attività a seguito di un attacco ransomware. L'analisi di questo "strano caso" è protagonista della ricerca The State of Ransomware in Financial Services2021 redatta da Sophos.

Partiamo dagli attacchi: il 34% (31% in EMEA) delle aziende di servizi finanziari intervistate sono state colpite da attacchi ransomware nel 2020. Il motivo è ben noto: come sottolineato da molti esperti di sicurezza informatica, i gruppi ransomware agiscono spinti da motivazioni economiche. Selezionano le proprie vittime in funzione dei loro profitti, e quindi della disponibilità finanziaria per pagare i riscatti. Il finance è fra i settori più ricchi.

Salva parzialmente la situazione il fatto che il settore finanziario è chiamato a rispondere a normative sulla custodia e la salvaguardia dei dati particolarmente stringenti, comeSOX,GDPR, ePCI DSS. Da una parte questo contribuisce all’implementazione di difese ben strutturate. Non è un caso che quasi due terzi (62%) delle vittime intervistate siano state in grado di ripristinare i dati criptati grazie ai backup.

Il rovescio della medaglia è che qualora un attacco vada a buon fine, bisognerà affrontare elevati costi per l’azienda colpita. Si parte con le sanzioni per il mancato rispetto delle normative, per arrivare ai costi per la riorganizzazione dei sistemi IT e ai danni di immagine.

È questo secondo aspetto che spiega perché i costi di recovery per le aziende nell’ambito dei servizi finanziari di medie dimensioni colpite dal ransomware nel 2020 siano arrivati a superare i 2 milioni di dollari. È una cifra che supera la media globale di 1,85 milioni di dollari spesa per far fronte a questo tipo di attacco, nonostante siano in pochi a pagare i riscatti.

Il report di Sophos testimonia, infatti, che solo il 25% (28% in EMEA) delle vittime nel settore finanziario ha pagato il riscatto richiesto per riavere i propri dati. La media globale è pari al 32%. Il valore del comparto finance corrisponde al secondo tasso di pagamento più basso fra tutti i settori analizzati.

I costi non sono l'unica differenza da annotare con gli altri settori. La prima è più importante è che sono differenti anche gli obiettivi dei criminali informatici. Nel 51% dei casi (il 42% in EMEA) gli attaccanti hanno criptato i dati, ma nel 13% dei casi in EMEA i dati non sono stati cifrati, ma rubati. La leva per l'estorsione è stata quindi la minaccia di pubblicazione delle informazioni sensibili. Una situazione in cui disporre di un backup funzionante serve a poco.

Il rischio di cadere vittima di un attacco informatico è talmente elevato che il45%delle aziende di servizi finanziari in EMEA confessa di temere di subire un attacco in futuro per la crescente complessità delle minacce informatiche o perché rientra in un settore particolarmente tartassato dagli attacchi. Indicativo è il fatto che il40%del campione ha compreso che la crescente diffusione del ransomware renderà quasi inevitabile l’eventualità di essere colpiti.