Cyber security e cultura della sicurezza digitale nelle imprese: conoscere gli strumenti a disposizione delle imprese per valutare la propria postura ma anche la propria reale esposizione al rischio.

Partiamo da qualche dato (fonte: osservatorio sulla cyber security del Politecnico di Milano): nel corso del 2022 il 67% delle imprese ha rilevato la presenza di tentativi di attacco. Il 14% di questi attacchi ha avuto delle conseguenze gravi in termini di interruzioni di servizio o di impatti negativi sulla reputazione dell’impresa. L’ultimo rapporto Clusit ci dice che in questo contesto, il nostro Paese appare sempre più nel mirino dei cyber criminali: lo scorso anno in Italia è andato a segno l’11% degli attacchi gravi globali mappati dal Clusit (era il 7,6% nel 2022), per un totale di 310 attacchi, dato che marca una crescita del 65% rispetto al 2022. Oltre la metà degli attacchi – il 56% – ha avuto conseguenze di gravità critica o elevata. Con uno sguardo agli ultimi cinque anni, emerge inoltre che oltre il 47% degli attacchi totali censiti in Italia dal 2019 si è verificato nel 2023.
Il rischio zero non esiste, dobbiamo lavorare su una maggiore consapevolezza del rischio. L’errore umano è ancora la prima delle cause su cui lavorare.
Per supportare le aziende nella digitalizzazione è nata la rete dei PID, i Punti di Impresa Digitale, che affianchiano le imprese, soprattutto quelle piccole e piccolissime, su tutti i processi di digitalizzazione, e non solo quindi in materia di cyber sicurezza.

Numeri del fenomeno: + 169% attacchi cyber 21/22. 83 per cento attacchi gravi, 7,7% andati a segno.
Attori in campo: Competence Center, DH, PID, Agenzia Nazionale CS. Non Più solo attacchi di singoli hacker. Si usa anche l’intelligenza artificiale per muovere gli attacchi.
Investimenti: 1,8 mlrd con un + 18% rispetto all’anno scorso.
Normativa: Strategia Nazionale per la CS 2022/2026; direttiva NIS e NIS 2; Cybersecurity Act, Dora.
Come Camere di Commercio rileviamo come negli ultimi anni sia cresciuta in modo considerevole la maturità digitale nelle PMI (più 14%). Soprattutto a seguito della Pandemia si è avuto un effetto catalizzatore importante. SI è avuto anche un deciso incremento nell’utilizzo delle tecnologie di Cybersecurity ( più 37% nel 2023, ne 2022 eravamo al 27%).

Per capirci: le imprese investono molto di più in cyber sicurezza che sul cloud e addirittura più che nel commercio elettronico. Le tipologie di attacchi più riscontrati sono: Malware e Phishing (più 57%). Il 18% delle imprese rendono note le proprie policy ai dipendenti e il 10% organizzano sessioni di security awareness training per i propri dipendenti. Questi due ultimi dati dimostrano come le imprese tutt’oggi considerano la tematica della CS in modo riduttivo come una tecnologia e non come un approccio, un processo.
Quali strumenti offriamo alle imprese? Con i PID abbiamo messo a punto alcuni strumenti di assessment. Sia di Self Assessment che di assessment personalizzato.
Il PID Cyber Check è un test rapido (30 domande circa) che consente un’autovalutazione del livello di rischio di un attacco informatico al quale la singola impresa è esposta. Sulla base delle risposte fornite viene inviato automaticamente un report nel quale è inclusa anche una possibile quantificazione delle possibili perdite economiche derivanti da un attacco informatico.
Il servizio è gratuito e di facilissimo accesso tramite un qrcode.
L’ Assessment personalizzato è, invece, uno strumento denominato Cyber Exposure Index ed è un test più approfondito che verifica se i cyber criminali sono entrati in possesso dei dati di un’impresa e di quali dati dispongono per poterla attaccare. Il servizio include due report a distanza di 6 mesi cadauno con la restituzione delle seguenti informazioni:

• Quantità dei servizi esposti su internet;
• Elenco delle vulnerabilità sfruttabili dall’esterno e già note ai cyber criminali;
• Fughe di dati relativi ad utenze e password legate all’azienda.

In questo caso il servizio è a pagamento sia pure ad un costo molto contenuto.
In sintesi, cerchiamo di spingere le imprese ad acquisire consapevolezza che il tema della Cyber sicurezza non è un problema di tecnologia o, meglio, non è solo un problema di tecnologia. È importante che le imprese investano e si dotino degli strumenti tecnologici necessari per contrastarli.
Però ancora non si ha un approccio complessivo, olistico alla tematica della Cyber. Bisogna anzitutto partire dalle persone, che sono il primo elemento su cui lavorare e il primo fronte su cui intervenire. Un secondo fronte importante è quello dei processi. Un terzo delle imprese affida il tema dell’IT, e quindi anche il tema della CS, all’esterno della propria organizzazione considerandola un fatto di non rilevante importanza. Il terzo elemento è quello della regolamentazione vale a dire l’adozione di modelli regolamentari da implementare in via continuativa all’interno dei propri processi.
Partiamo, però, da una distinzione tra Cyber Security e Information Security. Per Cyber Security, sicurezza informatica o IT Security, si intende la capacità di difendere il cosiddetto “cyberspace” da eventuali attacchi di hacker e riguarda esclusivamente la sicurezza IT e la protezione dei sistemi informatici. L’Information Security, invece, è un concetto più ampio che abbraccia la sicurezza del patrimonio informativo nel suo complesso.
Esso comprende un insieme delle misure e degli strumenti finalizzati a garantire e preservare confidenzialità, integrità e disponibilità delle informazioni, facendo riferimento alla protezione dei dati in qualsiasi forma, anche non digitale, e includendo anche aspetti organizzativi e di sicurezza fisica.  Inutile dire, che in quest’era digitale Cyber e Information tendono a convergere in un concetto di Security in cui la tecnologia assume un peso sempre maggiore. Gestire la sicurezza dei dati informatici aziendali, quindi, vuol dire garantire la protezione del patrimonio informativo di un’organizzazione.
Il tema della privacy e del presidio e della tutela dei dati sensibili è un ulteriore spazio operativo di grande importanza su cui interviene a sua volta una regolamentazione specifica e dettagliata (GDPR Regolamento 2016/679) che pone ulteriori problematiche gestionali e applicative.
In conclusione, proteggere il patrimonio informativo all’interno di una impresa, mai come oggi è diventato di vitale importanza a fronte ad un aumento sempre più elevato di attacchi informatici.  L’espandersi di pratiche digitali sempre più diffuse in ogni contesto imprenditoriale, l’intelligenza artificiale sempre più invasiva anche nella nostra vita privata, con tutto ciò che ne deriva a livello di privacy e raccolta dati, non aiutano sicuramente a vivere un’esistenza tranquilla.

Cristiano Erriu

Leggi il protocollo d’intesa