Fino a che punto un attacco informatico può penalizzare un’azienda? Spesso si parla di richieste di riscatto milionarie, danni d’immagine e perdita di business dovuta al fermo produttivo, ma c’è ben di più. Secondo il recente report Cyber Readiness 2022 di Hiscox, molte imprese europee e americane si sono avvicinate all'insolvenza dopo le violazioni della sicurezza.

A dirlo sono le aziende stesse, circa 5.000 con sede negli Stati Uniti, Regno Unito, Belgio, Francia, Germania, Spagna, Paesi Bassi e Irlanda. Di queste, circa la metà ha subìto un attacco informatico negli ultimi 12 mesi e un quinto è stato vittima di un attacco ransomware (due terzi dei quali hanno pagato il riscatto). Alla luce di questi dati non è difficile comprendere perché sette degli otto Paesi chiamati in causa classificano un attacco informatico come la prima minaccia per le proprie attività.

Molti staranno pensando che quanto riportato sopra faccia riferimento solo alle enterprise. Invece ESET specifica che è tutto l’opposto: i criminali informatici sembrano prendere sempre più di mira le aziende più piccole, cosicché quelle con revenue fra 100.000 e 500.000 dollari devono aspettarsi tanti attacchi quanti quelle che incassano da 1 a 9 milioni l'anno. È qui che assume una forte rilevanza il dato sulla solvenza: un quinto delle aziende ha confessato a Hiscox di avere avuto problemi di solvibilità a causa degli attacchi.

La causa di una situazione finanziaria tanto grave è da ricercare in quei costi nascosti degli attacchi ransomware di cui abbiamo parlato più volte: interruzioni operative, spese legali, straordinari dei dipendenti IT e costi per le analisi forensi di terze parti, multe per il mancato rispetto delle normative in caso di furto di dati. E ancora, clienti che cambiano fornitore, calo delle vendite e in generale danni reputazionali a lungo termine.

Gli investimenti in sicurezza sono cresciuti notevolmente negli ultimi due anni con l’obiettivo di rafforzare la security per prevenire e fronteggiare i principali vettori per l'attacco: Cloud (41%), email (40%), server on-premise (37%), server di accesso remoto (31%), dispositivi mobili di proprietà dei dipendenti (29%) e DDoS (26%).

Tuttavia, come visto più volte, gli investimenti non sempre portano ai miglioramenti preventivati. Hiscox assegna annualmente dei punteggi di cyber-readiness che vanno da un livello alto (expert) a quello base (cyber-novice), passando per la fascia intermedia. La classificazione ha un’applicazione pratica, dato che i costi medi degli attacchi, che pesano sui ricavi delle vittime, sono due volte e mezzo più alti per le aziende classificate come cyber-novice.

Nel report più recente le aziende classificate come "esperte" sono scese dal 20% al 4,5%. La buona notizia è che sono diminuite anche le aziende classificate come inesperte, con il risultato che ora la categoria intermedia è particolarmente affollata.

Gli esperti di cybersecurity di ESET condividono i dati, ma ricordano che la cyber-readiness non dipende solo dall’investimento che un’azienda è disposta a fare. Consigliano di concentrarsi sulla formazione dei dipendenti, sui processi di base come patching, pentesting e backup regolari, e sull’applicazione delle cinque funzioni chiave del NIST: identificare, proteggere, rilevare, rispondere e recuperare.

Sono passaggi chiave, inoltre, una costante pianificazione e condivisione degli investimenti con il consiglio di amministrazione, un assessement periodico dell’infrastruttura e dei dati, l’attuazione di simulazioni di attacco che tengano conto del quadro geopolitico. Non ultimo, è importante anche sincerarsi che fornitori e i partner aderiscano ai requisiti di sicurezza nell’ottica di prevenire i supply chain attack.

Tutto questo non renderà l’azienda invulnerabile, ma sarà fondamentale per limitare i danni degli attacchi e per scongiurare un impatto finanziario a cui è difficile porre rimedio.