Nonostante il 61% delle aziende italiane dichiari di essersi misurata contro attacchi informatici nel corso del 2022, solo il 29% considera la cybersecurity come rischio strategico per la propria organizzazione. Il dato emerge dallo studio “State of Cyberwarfare and Trends Report: 2022-2023”, appena reso pubblico da Armis: “Si tratta di un fenomeno preoccupante”, commenta Nicola Altavilla, country manager della società. “Intanto, il numero è assai inferiore al 44% riscontrato a livello globale e poi occorre tener conto del campione, costruito complessivamente su oltre 6mila professionisti IT e responsabili della sicurezza in aziende con più di un centinaio di dipendenti, cinquecento dei quali qui da noi. Non parliamo di top manager o responsabili di aree di business, ma di chi dovrebbe assicurare la protezione della propria impresa”.
D’altra parte, oltre l85% degli intervistati ha indicato che la propria organizzazione dispone di misure adeguate per rispondere alle minacce informatiche, pur non nascondendo la presenza di ampie aree di miglioramento. L'attenzione principale appare rivolta soprattutto alla protezione dei dati, al rilevamento delle intrusioni e alla gestione dell'identità e degli accessi, che gli intervistati hanno indicato come le loro priorità principali, mentre la prevenzione di possibili attacchi alla supply chain e il monitoraggio dei macchinari industriali appaiono elementi secondari.
Nicola Altavill, country manager di Armis
Un altro dato poco rassicurante riguarda l’allineamento al Framework Nazionale per la Cybersecurity e la Data Protection, che l’Italia ha messo a punto nell’ormai lontano 2015, ma oggi ancora non è stato preso in considerazione dal 17% delle aziende e un altro 24% ha indicato di avere semplicemente “attività in corso” su questo fronte, senza però aver ancora attuato azioni concrete. In area governativa, solo il 7% ha già costruito un piano conforme e anche Ot e retail si trovano nelle stesse condizioni, mentre il settore finanziario è decisamente più proattivo (33% già allineato): “Un terzo del campione ha manifestato perplessità sull’incremento degli attacchi informatici, che però è stato molto forte soprattutto dall’inizio della guerra in Ucraina”, ha commentato Altavilla. “Il cyberwarfare è il futuro del terrorismo e chi attacca produce sforzi inferiori rispetto a chi si deve proteggere, tenendo conto che sempre più le minacce aritvano direttamente dagli Stati. Da noi quattro aziende su cinque detiene dati sensibili. La protezione dei dati è un imperativo per tutti i Paesi dell'Ue e, sebbene ci sia consapevolezza della sua importanza, sembra esserci uno scostamento con l'effettiva conformità alle norme”.
Le prospettive future, tuttavia, sembrano essere incoraggianti, in quanto il campione di intervistati prevede maggiori investimenti da parte delle proprie organizzazioni in misure di cybersecurity rilevanti. Le aziende coinvolte prevedono investimenti in formazione sulla cybersecurity immediatamente (35%) o entro sei mesi (31%). C’è spazio anche per i nuovi fornitori (21% con prospettive immediate e il 33% entro sei mesi) e per le risorse dedicate alla gestione delle vulnerabilità (40% subito e 29% entro sei mesi).
Notizie interessanti, quindi, anche per la stessa Armis, che prende spunto da quanto indicato proprio nel Framework Nazionale per la Cybersecurity e la Data Protection, che indica fra i primi punti di attuazione necessità di identificazione e classificazione dei dispositivi utilizzati: “Noi ci occupiamo di asset inventory e la nostra peculiarità è di intervenire soprattutto sui dispositivi non connessi, come i sensori nell’industria o gli apparecchi elettromedicali nella sanità. Lì c’è un mondo sommerso che noi riusciamo a portare a galla a partire da una semplice Proof of Concept”, ha concluso Altavilla.