Tre quarti delle medie e grandi aziende europee, nordamericane e asiatiche negli ultimi due anni hanno subito almeno un incidente informatico che ha compromesso la loro sicurezza, interrotto l’operatività del business, manomesso o rubato dati. Eppure in pochi imparano dall’esperienza: da un report realizzato da Arbor Networks insieme all’Economist Intelligence Unit, sembra evidente come la maggior parte delle organizzazioni sia più preoccupata di nascondere il “fattaccio”, evitando ricadute sulla reputazione, piuttosto che di prevenire futuri problemi.
Soltanto il 61% delle aziende ha un piano formale di risposta agli incidenti; il 65% vi dedica risorse ad hoc
Nel mese di novembre 2013 la Economist Intelligence Unit ha intervistato
360 dirigenti, per la maggior parte C-level o membri dei consigli di amministrazione di aziende nordamericane (36%), europee (36%) e della regione Asia-Pacifico, aziende distribuite su 19 settori industriali e in metà dei casi con oltre 500 milioni di dollari di fatturato annuo. Ci si aspetterebbe, almeno dalle realtà più grandi, una strategia di difesa articolata e pronta a gestire ogni emergenza, ma non è così: nonostante il
77% delle aziende incluse nello studio abbia subìto
almeno un incidente It nel corso degli ultimi due anni, solo il
17% degli interpellati ha detto di
sentirsi “completamente preparato” davanti a futuri episodi di attacco.
Circa quattro dirigenti su dieci (41%) ha inoltre ammesso che una migliore comprensione delle potenziali minacce servirebbe all’aziende per prepararsi meglio a eventuali attacchi. Anche imparare dall’esperienza è utile: nei casi in cui l’organizzazione ha saputo rispondere efficacemente all’attacco, essa ne è uscita rafforzata nella capacità di difendersi e nella reputazione.
Va detto comunque, a proposito di reputazione, che l’atteggiamento prevalente nelle 360 medie-gradi imprese indagate è ancora quello della riservatezza, o censura che dir si voglia. Il
57% delle aziende, infatti,
non comunica volontariamente i casi di incidente per i quali non vi sia un obbligo legale a farlo, mentre il 47% ritiene che un regolamento che imponga di rendere pubblici tutti gli episodi di violazione creerebbe più danni che vantaggi (il 31% ha detto di non avere un’opinione precisa in proposito, mentre solo il 22% si è dichiarato a favore di una legge di questo tipo).
E in Italia? Con
Marco Gionaola, consulting engineer di Arbor Networks, abbiamo cercato di ragionare su quali analogie e differenze leghino le imprese nostrane ai più generali risultati del report.
“Il problema del nostro Paese”, esordisce Gionaola,
“è che non esistono statistiche sufficientemente rappresentative della situazione complessiva, né riguardo i livelli di preparazione né tantomeno sulla frequenza o tipologia degli attacchi informatici. In altre parole, non abbiamo nulla che indichi che la situazione non sia pessima”.
La maggior parte delle aziende tende a non rendere pubbliche le violazioni
“Secondo le nostre statistiche e non solo”, prosegue l’esperto di security,
“l'Italia è spesso tra i Primi paesi al mondo come sorgente di attacchi DDoS: considerando che abbiamo uno dei tassi di penetrazione Internet più bassi d'Europa, questo dato ci fa presumere che la quantità di host infetti nel nostro Paese sia particolarmente alta, con tutto ciò che ne consegue anche per quanto riguarda le intrusioni e gli attacchi informatici di altro tipo, che erano oggetto di questa ricerca”.
Il grado di preparazione o impreparazione di fronte alle minacce It può dipendere da molti fattori: la dimensione d’azienda, innanzitutto, ma anche il settore in cui essa opera. “Ovviamente”, spiega Gioanola, “le aziende di più grandi dimensioni come le telco e la Pubblica Amministrazione, così come enti finanziari quali banche o assicurazioni sono quelli che più spesso hanno strutture o funzioni aziendali dedicate alla sicurezza informatica. Il gioco online, sia d'azzardo che non, è un altro settore particolarmente sensibile alla protezione dagli attacchi informatici”.
Marco Gioanola, consulting engineer di Arbor Networks
Ma come si stanno evolvendo l’atteggiamento e le strategie delle organizzazioni in ottica di lotta al cybercrimine? Nonostante i punti di debolezza emersi dal report, qualcosa – anche in Italia – sta cambiando in positivo.
“Stiamo registrando un incremento di interesse a 360 gradi verso l'anomaly detection e la protezione dagli advanced threat, spesso in seguito ad attacchi o ad avvenimenti sospetti che i sistemi di sicurezza tradizionali non sono stati in grado di chiarire, e questo è un buon segno. Nello stesso modo, però, capita di incontrare aziende di ogni tipo ancora completamente impreparate o che hanno esaurito i loro budget già risicati investendoli in prodotti piuttosto che in risorse umane, come spesso sarebbe più auspicabile”.
Fra i dati emersi dal report, è significativo il fatto che soltanto per il 41% dei business leader una miglior comprensione delle potenziali minacce sia un punto di partenza necessario per prepararsi e difendersi meglio. C'è, insomma, ancora un
gap di consapevolezza fra le figure tecniche dell'It e i manager line of business, circa l'importanza di una strategia di sicurezza adeguata.
“Assolutamente sì, e non solo”, riflette il consulting engineer di Arbor.
“Spesso l'It manager, già oberato dalla gestione giornaliera dell'infrastruttura, in caso di problematiche di sicurezza viene investito ‘sul campo’ del titolo di security officer, e ovviamente si trova impreparato e impotente su tutti i fronti. In tema di consapevolezza, purtroppo, ancora troppe aziende si affidano alla strategia dello struzzo, mentre sono convinto che i grandi furti di dati o le grandi intrusioni informatiche non siano un fenomeno solo straniero”.
Per 67% degli intervistati un'efficace risposta agli incidenti It può rafforzare la reputazione aziendale
Esiste dunque un problema di conoscenza del problema, che si sovrappone alle quotidiane, materiali incombenze delle aziende e alle questioni organizzative. Quasi come se la sicurezza fosse un dettaglio cui dedicare ritagli di tempo e risorse, mentre chiaramente non è così. “
Esistono sicuramente una carenza di skill e di budget che si deprimono a vicenda, creando un circolo vizioso”, afferma Gioanola. “
Da un punto di vista tecnico, nessun manager solleverà obiezioni se il suo reparto It vuole investire in firewall o sistemi di Intrusion prevention system, anche se questi poi finiscono a prendere polvere in un rack e a generare log di cui nessuno si cura, mentre spesso continuano a mancare gli strumenti necessari ad acquisire reale visibilità del proprio traffico di rete e a quantificare le dimensioni e la natura di queste famigerati advanced persistent threat”.
“Un altro fattore più generale”, conclude l’esperto di Arbor Networks,
“è che contrariamente a quanto accade in altri Paesi, in Italia le intrusioni informatiche rarissimamente vengono alla luce o ricevono l'attenzione dei mass media (e nemmeno quella dei media specializzati), permettendo a molti di continuare a ignorare il problema”.