Su 7 principali attacchi informatici subiti dalle aziende italiane, 5 sono legati all'email. È quanto emerge dalla ricerca sulla valutazione del rischio IT in Italia della community Facciamo Sistema – Cybersecurity per Proofpoint.
Oltre la metà delle aziende italiane ha subito un attacco informatico
La ricerca ha coinvolto 138 CISO italiani appartenenti ad aziende medio grandi ed è emerso che oltre la metà di queste imprese ha subito un attacco informatico (52%), di queste ben il 42% ha riferito attacchi multipli. Anche l’emergenza COVID-19 ha avuto i suoi effetti, con il 26% delle imprese italiane che hanno ammesso un aumento del numero di attacchi legati alla pandemia.
«Ormai non si può più pensare alla sicurezza con un approccio reattivo – commenta Luca Maiocchi, Country Manager Proofpoint per l’Italia. Bisogna adottare un atteggiamento proattivo, perché la percentuale di rischio è oltre il 50% e i dati del 2020 confermano la crescita del numero di attacchi, sempre più sofisticati per di più. “Quando succederà? Quando verremo attaccati?” Sono questi i quesiti delle aziende. Ma questo atteggiamento conferma come in Italia la cultura del rischio non sia trattata in maniera efficace: la cyber security dovrebbe rientrare tra le strategie aziendali, anche perché ormai gli attacchi hanno un impatto produttivo notevole, percepito non solo dai CISO ma anche dal board aziendale. Per cui, bisognerebbe pensare alla cyber security con un approccio che tenga conto della vera esposizione al rischio».
Guadiamo ora la tipologia di attacchi
Proofpoint ha stilato una classifica dei 7 cyber attacchi più comuni nel 2019: al primo posto, il phishing (39% del totale degli attacchi); segue il business email compromised o BEC (28%); il credential phishing (22%); la minaccia interna (22%); gli attacchi DDOS 22%; la compromissione di un account cloud (15%) e, infine, il ransomware 13%. Almeno 5 di questi 7 fanno appunto riferimento alle email.
«Il BEC, ad esempio, è una minaccia che comporta danni concreti dal punto di vista economico – sottolinea Maiocchi. Non contiene malware ma solo email di testo: quindi i sistemi standard che riscoscono url pericolosi o virus in allegati non sono efficaci. È un puro attacco di social engeenering e il mittente dell’email sembra essere un collega o un diretto responsabile, che naturalmente non è, e l’oggetto della mail è in linea con i thread ricevuti o inviati. Queste email ingannano facilmente, quindi, tanto che tra attacchi BEC e credential phishing, l’FBI stima un danno economico di 26 miliardi di dollari. Un dato che però non tiene conto di molti attacchi non dichiarati».
Poca formazione
Non solo: lo studio mostra anche un forte scollamento tra visione e realtà, quando si parla di consapevolezza e formazione in materia di cybersecurity. Sebbene le aziende italiane siano al corrente dell'importanza della formazione e della consapevolezza (il 93% è d’accordo, l'83% addirittura “fortemente” d'accordo), il 65% dei CISO italiani ha ammesso di formare i propri dipendenti sulla consapevolezza della sicurezza informatica una volta all'anno o meno, addirittura il 17% dichiara non effettuare mai alcuna formazione. E solo il 17% delle imprese ha un programma di formazione continua.
Tanti danni, poco budget per difendersi?
Ciò nonostante ci sia una forte consapevolezza sui danni dovuti a questi attacchi: i CISO italiani hanno evidenziato che i contraccolpi al brand e alla reputazione sono il principale pericolo legato alla cybersecurity (87%), seguiti dalla perdita di dati (80%) e dalle interruzioni dell’attività e dell’operatività (74%). Investire in una solida difesa informatica è fondamentale, ma il 76% dei CISO vorrebbe avere un budget più elevato per la sicurezza informatica. In generale, i CISO sono abbastanza fiduciosi (63%) che la loro azienda sia ben preparata ad affrontare gli attacchi informatici, e il 59% di loro si fida effettivamente delle soluzioni e delle tecnologie di cui dispone.
«Una strategia incentrata sulle persone è necessaria per le organizzazioni in Italia, poiché i cybercriminali si rivolgono sempre più ai singoli individui piuttosto che alle infrastrutture, con l'obiettivo di rubare credenziali, assumere il controllo di dati sensibili e trasferire fondi in modo fraudolento – conclude Maiocchi. Con la nostra ricerca che rivela come l'85% dei CISO italiani ritenga che i propri dipendenti rendano il proprio business vulnerabile agli attacchi informatici, formazione e consapevolezza sulla cybersecurity, a fianco delle soluzioni tecnologiche più avanzate che fanno parte dell’offerta Proofpoint, si confermano priorità fondamentali in grado fare la differenza tra un attacco tentato e uno effettivamente subito. Insieme alle tecnologie e ai processi, un programma strutturato di formazione dovrebbe essere al centro della difesa informatica di ogni organizzazione».
