Nelle aziende la percezione del rischio di subire incidenti o attacchi informatici è in calo. Ma quella che sembrerebbe una buona notizia potrebbe celare un problema di sottovalutazione dei pericoli. Da una ricerca di Proofpoint (“Voice of the Ciso 2022”) condotta a inizio 2022 su 1.400 responsabili della sicurezza informatica di medie e grandi aziende di 14 Paesi sono emerse significative differenze tra il presente e il recente passato. Nel 2021 il 64% dei Ciso italiani credeva che la propria azienda potesse subire un attacco informatico, mentre nel 2022 la percentuale è scesa al 46%; i numeri sono quasi gli stessi per la percezione del rischio di attacchi mirati, cioè 63% nel 2021 e 42% nel 2022.

“In alcuni Paesi i Ciso oggi percepiscono un rischio minore rispetto all’anno scorso, in altri un rischio maggiore”, ha commentato il country manager di Proofpoint, Luca Maiocchi, a margine della presentazione della ricerca. “L’Italia è in media, mentre per esempio Francia e Canada percepiscono un rischio molto maggiore. Perché queste discrepanze? Laddove c’è maggiore maturità informatica, c’è anche maggiore consapevolezza del rischio”. 

Luca Maiocchi, country manager di Proofpoint per l'Italia


L’ipotesi emersa dallo studio di Proofpoint è che i dipartimenti di cybersicurezza interni alle aziende abbiano ormai familiarizzato con le nuove modalità di lavoro introdotte nell’ultimo biennio, e dunque si sentano più pronti ad affrontare eventuali attacchi. “Fortunatamente la dinamica del lavoro da casa è stata abbracciata dai Ciso ma si è anche vista la dinamica della Great Resignation: le persone abbandonano le aziende in gran numero”, ha sottolineato Andrew Rose, resident Ciso di Proofpoint. “Nel 2022 abbiamo a che fare forse con il problema più grande di tutti: la crisi geopolitica. I Ciso devono capire come poterla gestire, si tratti dei loro uffici locali in Ucraina e Russia o di proteggersi dalle minacce derivanti dalla crisi”.

Minacce interne in pole position
Le cosiddette minacce interne sono il principale problema di cybersicurezza percepito dai Ciso italiani. Secondo l’indagine di Proofpoint, nella rosa degli attacchi informatici che più preoccupano, i danni causati dai dipendenti per negligenza o dolo sono al primo posto, citati dal 34% del campione italiano. Seguono il phishing/Smshing, a poca distanza con una quota del 33%, le frodi originate da violazioni delle email aziendali (30%), i malware (28%), la violazione degli account cloud (Microsoft 365, Google Workplace o altri, 27%), i DDoS (20%), i ransomware (20%) e gli attacchi alla supply chain (18%). “I Ciso italiani mettono al primo posto il tema delle minacce interne, a conferma di quello che riscontriamo noi come vendor”, ha commentato Maiocchi. “Il timore dei ransomware è leggermente in calo, forse perché le nostre aziende si sono ormai abituate a trattare con questa minaccia”.



 

I dipendenti, dunque, sono un rischio per l’azienda? Purtroppo sì, ma sono anche una risorsa importante. Per quante volte sia stato ripetuto, all’interno di report, interviste e nei commenti degli analisti, il fatto che le identità siano diventate il nuovo perimetro digitale delle aziende non è mai abbastanza sottolineato. L’uso estensivo di infrastrutture e applicazioni cloud, a cui si accede spesso tramite dispositivi personali e reti domestiche, ha reso sempre più vaga la distinzione tra il “dentro” e il “fuori”, tra ciò che fa parte o non fa parte delle risorse IT aziendali. Molti attacchi informatici, come il phishing e lo spoofing, intercettano l’ingenuità o le disattenzioni degli utenti per arrivare a sottrarre dati o a bloccare le attività di un'azienda. In altri casi il varco per i cybercriminali si apre grazie grazie a un dispositivo non aggiornato, su cui è installato un software vulnerabile.

“Abbiamo chiesto se i dipendenti rappresentino il nuovo perimetro della sicurezza informatica, e dunque un fattore di rischio, volontario o involontario che sia”, ha spiegato Antonio Ieranò, evangelist cyber security strategy di Proofpoint. “In media, il 60% dei Ciso pensa che i dipendenti siano una componente fondamentale per la protezione del loro perimetro di sicurezza”. Ci sono settori, fa notare Ieranò, che solo di recente hanno cominciato a maturare questo genere di consapevolezza: come quello sanitario, oggi nel mirino degli attacchi informatici molto più di quanto non fosse in passato. In generale, la percezione del rischio derivante dal famigerato “fattore umano” non è ancora adeguata. “Il World Economic Forum stima che il 95% dei problemi di sicurezza informatica sia imputabile a errori umani”, ha proseguito Ieranò. “Ma tra i Ciso questa percezione è intorno al 60%. Una differenza sensibile, segno che esiste ancora una distanza tra lo scenario reale dei rischi informatici e la loro percezione”.