Quasi il 75% degli enti pubblici locali e statali colpiti da attacchi ransomware ha subìto la cifratura dei dati. Il valore supera del 7% la media generale di tutti gli altri settori. I dati si riferiscono al 2021, quando il fenomeno ha interessato il 58% degli enti contro il 34% del 2020. Fra le motivazioni di questa débâcle c’è il fatto che le pubbliche amministrazioni non sono mai state un obiettivo principale degli attacchi ransomware, e quando vengono colpite spesso la loro protezione si rivela insufficiente. Sono alcuni dei dati rilevanti proposti dal report The State of Ransomware in State and Local Government 2022 redatto da Sophos e incentrato sul settore della Pubblica Amministrazione.

Nel report si legge anche che solo il 20% degli enti colpiti è riuscito a bloccare gli attacchi ransomware prima che potessero cifrare i dati. Di nuovo, la proporzione è notevolmente inferiore rispetto alla media generale, che si attesta al 31%. La nota positiva è che il risalto mediatico di tali attacchi ai danni della PA porta a pensare che il problema sia peggiore di quanto non lo sia nella realtà: il settore pubblico ha registrato una delle più basse percentuali di attacco del 2021, rispetto agli altri settori.

Il rovescio della medaglia è che nel periodo in esame il settore pubblico è stato protagonista di un calo significativo nella quantità di dati recuperati successivamente al pagamento dei riscatti: si è passati (complessivamente a livello globale) dal 70% del 2020 al 58% del 2021.

A questo punto viene da chiedersi perché sia tanto difficile implementare una difesa cyber efficace nella PA. La riflessione di Chester Wisniewski, principal research scientist di Sophos, è che la colpa è da imputare a budget limitati che non consentono attività di cybersicurezza approfondite come quelle offerte dai team di threat hunting o dai SOC (Security Operations Center). Inoltre, se da una parte è vero che le PA collezionano e custodiscono una grande quantità di informazioni sensibili, lo è altrettanto che devono mantenerle facilmente accessibili.

C’è inoltre un fattore culturale da considerare: la maggior parte del budget delle PA dev’essere speso sul campo, perché i contribuenti notano se le strade sono pulite o se le scuole funzionano bene. Difficilmente toccano con mano un cyberattacco, quindi faticano a capire il bisogno di investire in un provider di servizi MDR. Il problema è che quando l’attacco va a buon fine il budget viene prosciugato: Sophos ha calcolato che il costo sostenuto dagli enti pubblici per rimediare ai danni di un attacco è stato pari a tre volte l'importo medio dei riscatti pagati in questo settore.