Anche nel primo trimestre 2023 l’Italia si è riconfermata la terza nazione al mondo più colpita dai malware, dietro rispettivamente a Stati Uniti e Giappone. Un triste primato che prosegue il trend negativo inaugurato nel quarto trimestre 2022. Il dato è stato diffuso da Trend Micro Research ed è frutto dell’analisi dei dati della sua rete di intelligence globale costituita da oltre 250 milioni di sensori. Affinché sia utile, questo dato deve stimolare un’approfondita riflessione. Molti report stanno sottolineando la maggiore consapevolezza del rischio informatico e l’aumento degli investimenti italiani in security. Eppure il trend negativo non accenna a invertirsi.

Da zero a 100

Anni di lacune non si possono chiudere in una manciata di mesi. La digitalizzazione in Italia è iniziata in ampio ritardo rispetto ad altri Paesi, è esplosa forzatamente con il COVID, quando non c’era via d’uscita: era indispensabile farla immediatamente, anche se pochi sapevano come implementarla e gestirla. Peccato che, come rimarcato a suo tempo da Luca Maiocchi, Country Manager di Proofpoint, maggiore è la maturità informatica di un Paese, maggiori sono l’attenzione e la sensibilità verso la cybersecurity.

L’Agenzia per la Cybersicurezza Nazionale – ACN è stata fondata nel 2021. Giusto per capire che cosa s’intende per maturità informatica di un Paese, l’agenzia di cybersicurezza nazionale francese (ANSSI) è nata nel 2009. L’immaturità italiana ha portato a commettere tanti errori, in primis quello di pensare che la sicurezza fosse un problema (e soprattutto un costo) che si poteva affrontare a posteriori, in un non meglio precisato momento.

Gli impiegati a tutti livelli si sono ritrovati a lavorare da casa con protezioni e strumenti inadeguati, privi di una qualsiasi nozione di cybersecurity, mettendo inconsapevolmente a rischio le proprie aziende. Mancava loro quella cultura di cyber igiene che sarebbe stata necessaria allora e che è necessaria tutt’oggi, visto che il lavoro ibrido è ampiamente diffuso.

Adesso la situazione è migliorata sensibilmente, ma restano ancora in troppi a non considerare la sicurezza informatica come un elemento di business da sviluppare in seno ai progetti di innovazione aziendale. Questo perché l’approccio conservativo continua troppo spesso a prevalere, preferendo la reazione alla prevenzione.

Lo scenario non è completo se non si considerano anche gli attaccanti. In tempo di pandemia ad attaccare erano per lo più i cyber criminali che lavoravano per profitto e che hanno visto il COVID come un’opportunità. A seguito della guerra in Ucraina gli si sono affiancati anche gli attaccanti politicamente motivati, che si muovono contro istituzioni e aziende di paesi europei facenti parte dell’Alleanza Atlantica. Il dato al riguardo è firmato Clusit: per la prima volta nel 2022 le vittime di cyber attacchi in Europa hanno raggiunto il 24% del totale globale.

Le conseguenze

Il cerchio si chiude unendo tutti i punti: un Paese con poca attenzione alla cyber security, con cittadini privi dell’adeguata formazione e aziende poco resilienti è stato visto dagli attaccanti come un cliente particolarmente appetibile. Ecco perché gli attaccanti hanno colpito l’Italia più di Paesi che sulla carta avrebbero dovuto risultare più attrattivi.

Ancora una volta a certificarlo è Clusit: gli attacchi contro il Belpaese hanno rappresentato il 7,6% del totale. Considerato che la maggioranza degli attacchi è economicamente motivato, questa percentuale (+168% rispetto al 2018) sarebbe giustificata se l’Italia fosse un paese particolarmente ricco. In realtà la nostra penisola rappresenta solo il 2,2% del PIL globale.

Del resto è noto che i cyber criminali sono opportunisti e non disdegnano il lavoro facile. Più un obiettivo è difficile da “bucare” più occorrono studio e investimenti per progettare l’attacco. E se le difese sono davvero ben fatte, si rischia di restare con un pugno di mosche. Stando ai dati diffusi di recente da Sophos, nell’ultimo anno il 65% delle aziende italiane è stato colpito da ransomware e il 56% delle aziende italiane che ha subito la cifratura dei dati ha pagato il riscatto.

Che cosa fare

La strada da seguire secondo gli esperti è quella già imboccata, ma serve tempo. In un recente report Cisco ha calcolato che il 94% delle organizzazioni italiane sta pianificando investimenti sulle infrastrutture IT e che di questi l’87% ha disponibilità per un ulteriore 10% da destinare a soluzioni e servizi di sicurezza. È un’ottima notizia, anche se va presa con la dovuta proporzione: la nostra percentuale di budget overall è comunque due o tre volte inferiore in ordine di grandezza rispetto ad altri mercati, quindi la quota complessiva è comunque troppo bassa.

Inoltre manca l’expertise: nel Belpaese mancano figure specializzate per tutte le skill di sicurezza informatica necessarie. La gestione della security, delle infrastrutture e di tutto quello che riguarda la digitalizzazione richiede migliaia di persone che al momento non ci sono. Per colmare il gap occorre una intensa attività di formazione nelle scuole e nelle aziende, sia per i tecnici sia per i manager.

Molto del lavoro da fare è relativo all’ambito culturale. I leader aziendali tendono ancora a considerare la cybersecurity come un rischio astratto fino a quando la loro azienda non viene attaccata, ignorando il fatto che la security è un abilitatore di business, non un costo. Occorre quindi allineare il rischio informatico al rischio aziendale e attuare il passaggio da cyber sicurezza a cyber resilienza, perché è ormai chiaro che l’obiettivo è resistere agli attacchi, dato che è impossibile impedirli.