Cyber security, c’è da fare: un’impresa comasca su tre non protegge i propri dati

Se da un lato solo il 65% delle aziende comasche fa uso di antivirus in maniera sistematica per salvaguardare i propri dati, dall’altro il 37% delle stesse imprese dichiara di aver subito un attacco informatico negli ultimi due anni. Due numeri che stridono, ma che rappresentano bene il quadro della situazione cyber sicurezza sul territorio.

Mauro Cicognini, membro del Comitato Scientifico di Clusit, l’Associazione Italiana per la Sicurezza Informatica, ha presentato i dati di un sondaggio realizzato in collaborazione con Reti Spa, che ha visto la partecipazione di circa 200 aziende della provincia di Como e Varese all’interno del workshop «Cyber security: guida pratica per la tua organizzazione» promosso da C.Next e Reti il 19 ottobre a ComoNext.

Il campione

Le organizzazioni intervistate, spaccato della realtà produttiva lombarda, hanno in media 18 collaboratori, il 37% meno di dieci. Il 97% delle aziende ha un sito web, il 18% dispone di un e-commerce, il 40% ha al suo interno personale che si dedica all’information technology. In merito a privacy e security: «Il 43% ha responsabili per entrambi i settori – spiega Cicognini – Il 23% solo per la privacy, il 3% solo per la security e il 18% non ha nessuna delle due figure. Nel 22% dei casi il team che si occupa di cyber security è interno all’organizzazione. Nel 27% misto interno esterno, nel 16% esterno e nel restante 35% delle aziende non esistono figure dedicate».

La metà delle imprese, quelle più strutturate, ha un regolamento scritto dedicato all’uso degli strumenti informatici: «E’ il documento che serve all’azienda per potersi tutelare nei confronti di terzi e anche per poter avere un po’ di controllo su quello che i dipendenti fanno con gli strumenti aziendali. Tutte dovrebbero avere questo regolamento, è una misura molto opportuna ai fini del Gdpr, va a tutelare anche il lavoratore. Le imprese italiane non sono ancora abbastanza preparate nonostante questo documento sia richiesto dalla privacy dal 1996 e non stiamo parlando di cyber security».

Il 37% delle aziende ha dichiarato di aver subito un attacco informatico negli ultimi due anni mentre il 63% sostiene di non saperlo. «La preparazione non cambia nemmeno dopo l’attacco, il 60% di quelle che sono già state vittime non si attiva in merito. Il miglior cliente del criminale è quello che si è già fatto colpire una volta, il criminale torna sul luogo delitto, è statistica, non sono frasi fatte». Se un cyber criminale ha già percorso con successo una strada, la ripercorrerà. Nel caso di attacchi solo il 26% ha una procedura scritta da seguire, il 19% ha una procedurale informale, il 53% dichiara “chiamiamo qualcuno”: «Sperando che questo qualcuno esista, sia disponibile e capace di fare quello che deve fare. La filiera criminale che sta dietro agli attacchi, sa benissimo che ci sono momenti in cui la nostra guardia è più bassa e aspetteranno proprio quel momento per colpire».

Dal punto di vista pratico, in merito alle contro misure di base, il 67% fa un backup dei dati in forma organizzata e periodica a fronte di un 33% che invece lo fa in forma saltuaria, il 65% utilizza antivirus in maniera sistematica, il 35% ricorre a software non omogenei, solo il 18% ha un hard disc cifrato: «Solo il 9% adotta tutte e quattro le misure, il cui costo è accessibile o addirittura nullo e richiedono solo un minimo di organizzazione. E’ un po’ come se le aziende stessero ignorando il fatto che ci sono delle conseguenze, anche gravi, possibili e abbastanza probabili. Il consiglio è quello di investire anche su queste misure minime e fare anche qualcosa in più magari rivolgendosi a partner fidati». Le pmi risultano tra le meno pronte e organizzate. «Dedicano il loro tempo a far crescere il loro business e ci mancherebbe non fosse così, ma non si accorgono che proteggere il proprio business fa parte della vita dell’azienda, un imprenditore saggio dovrebbe prepararsi meglio».

Lo scenario che emerge dalla ricerca è che le imprese sono ancora largamente impreparate. «Nel caso migliore non più dei due terzi del campione adottano in forma sistematica misure indispensabili, nemmeno quelle ormai mature e poco costose, o addirittura gratuite. Il segnale che cogliamo è quello di un lavoro importante ancora da portare a termine per diffondere la valenza strategica delle informazioni, in un’ottica di business sempre più orientata a fare un uso spinto del patrimonio di dati generati e scambiati dalle aziende».

Le tendenze

Nel report nazionale 2022 Clusit, che a novembre presenterà i dati 2023, rileva che la categoria che ha subito il maggior numero di attacchi è il settore pubblico (20% del totale), seguita a breve distanza dal manifatturiero (19%). In coerenza con quanto avviene a livello globale, si ha la maggiore crescita percentuale per la categoria Multiple targets (+900%): si tratta di attacchi non mirati, campagne generalizzate che in Italia continuano a causare effetti consistenti. Il settore professionale scientifico tecnico vede un incremento del +233,3% di incidenti gravi, la manifattura +191,7%, consistente anche la crescita per le organizzazioni Ict (+100%) e governativa militare (+65,2%).