EY: la sicurezza informatica non è una priorità per le aziende nonostante l’aumento degli attacchi.
La maggioranza delle società italiane ha subito uno o più cyber attacchi significativi nel corso dell’ultimo anno ma le priorità di investimento delle organizzazioni non includono tecnologie e modelli avanzati di protezione. È quanto emerge dalla EY Global Information Security Survey (GISS), indagine realizzata annualmente da EY che nel 2020 ha coinvolto 1.300 manager di sicurezza informatica di aziende internazionali.
L’attuale periodo di emergenza sanitaria sta cambiando il nostro modo di lavorare e le aziende sono chiamate a rendere disponibili le necessarie tecnologie digitali per una efficiente remotizzazione del lavoro (piattaforme per video conferenze, collaborazione digitale, ecc.). Le aziende devono allo stesso tempo garantire i medesimi livelli di sicurezza quando computer e smartphone non sono più all’interno del perimetro aziendale, tramite una corretta messa in sicurezza dei dispositivi e delle applicazioni utilizzate da remoto. La survey rileva invece la mancanza di un approccio efficace nella gestione delle tematiche relative alla security anche a supporto delle nuove modalità di smart working: seppure il 19% degli intervistati si concentri sulle misure di connessione sicura, ad esempio tramite l’utilizzo di reti virtuali private, solo una media del 10% degli intervistati dichiara di focalizzarsi sulle principali azioni di prevenzione dalle minacce informatiche, come l’adozione dei più recenti aggiornamenti di sicurezza (patching) e la gestione dei dispositivi utilizzati dagli utenti in mobilità. A conferma di tale tendenza, il sondaggio evidenzia inoltre un utilizzo limitato (soltanto l’1% per le aziende in Italia) di strumenti a supporto della sicurezza delle applicazioni, che in un contesto remoto diventano uno dei target principali da parte di un potenziale attaccante. Solo il 4% delle aziende in Italia dichiara di concentrarsi sulle attività di formazione e sensibilizzazione dei dipendenti sui temi di security. Dato preoccupante soprattutto per le aziende per le quali il lavoro da remoto ha sempre rappresentato un’eccezione, che vivono quindi l’attuale trasformazione senza un’adeguata consapevolezza da parte dei dipendenti dei possibili rischi informatici in cui possono incorrere lavorando da casa.
La survey rileva inoltre che più del 50% degli attacchi significativi subiti nel corso dell’ultimo anno per circa un’azienda italiana su tre è da imputare alla scarsa consapevolezza dei dipendenti, in un contesto dove si registra un preoccupante incremento degli attacchi di phishing che utilizzano come oggetto l’emergenza sanitaria attuale, allo scopo di veicolare file dannosi in grado di interferire e, nei casi più gravi, bloccare il funzionamento dei dispositivi e la disponibilità dei dati aziendali per poi chiedere il pagamento di un riscatto (“ransomware”).
Fabio Cappelli, EY Cyber Security Leader per la regione Mediterranea (Italia, Spagna e Portogallo), a tale proposito evidenzia come “In una situazione di emergenza come quella attuale, i rischi cyber cui sono esposte le aziende sono amplificati, basti pensare come un attacco finalizzato al blocco dei servizi digitali possa paralizzare le aziende che in questo momento operano prevalentemente in smart working o come l’utilizzo di strumenti non soggetti alla gestione aziendale amplifichi i rischi di data leakage. Per questo motivo, dopo aver assicurato la continuità tecnologica, è necessario aumentare il livello di attenzione e vigilanza sui rischi cyber”.
Tali minacce possono avere purtroppo anche un impatto su informazioni e strutture vitali per la nostra esistenza. Si sono infatti registrati, anche nelle ultime ore, attacchi a sistemi informatici di ospedali e cliniche universitarie che hanno richiesto il rinvio di interventi e il trasferimento dei pazienti verso strutture differenti: sarebbe quindi devastante l’impatto di un attacco informatico su un sistema già caratterizzato da una estrema carenza di risorse nella gestione dell’attuale emergenza sanitaria.
Quanto stiamo vivendo rende inoltre evidente come sia necessario che le aziende investano su un modello efficace di continuità del business, che preveda piani di gestione della crisi e modalità alternative sia di erogazione dei servizi informatici (“disaster recovery”) sia di approvvigionamento dalle terze parti. Anche su questo fronte, la survey rileva una situazione con ampi spazi di miglioramento: solo il 18% del budget di sicurezza è dedicato alle tematiche di gestione del rischio e di resilienza del business.
“Anche per settori più regolamentati dal punto di vista della continuità operativa e della resilienza al business, come quello bancario e assicurativo, il livello degli investimenti si attesta sulle medesime percentuali: 18% per il settore bancario e il 21% settore assicurativo” – commenta Fabio Colombo, EY Cyber Security leader per il settore finance in EMEIA.