I top manager europei sottovalutano il cybercrime

Giornalista professionista dal 2000. Da 15 anni, Stefano si occupa di giornalismo Ict maturando competenze anche nel consumer electronics. Stefano ha iniziato la sua esperienza giornalistica nel 1996 presso la redazione economica di ItaliaOggi.

Il Global Risk Landscape, edizione 2017, condotto da BDO disegna un quadro a tinte contrastanti sul fronte della percezione della sicurezza da parte dei top manager. Da un lato sono consapevoli di vivere in un mondo più rischioso, dall’altro pochi sono sicuri che non saranno scalfitti dal cybercrime

Cybercrime sottovalutato dalla maggior parte dei top manager europei. Solo il 21% di loro pensa che il cybercrime coglierà impreparata l’azienda ma, per il 72% dei top manager delle aziende mondiali vi è la consapevolezza di vivere in un mondo più rischioso rispetto al passato. E’ questo quanto emerge dal Global Risk Landscape, edizione 2017, condotto da BDO.  Secondo il Global Risk Landscape, nei prossimi dieci anni le sfide aziendali principali saranno: innovazioni tecnologiche, rischio reputazionale e cyber reati. Ciò che stupisce è che, tra i primi fattori di rischio citati, non compaia quello cibernetico, surclassato dalle preoccupazioni sulla non conformità rispetto alle normative (35%), dalla crescente competizione nel mercato (30%) e dalla crisi economica (29%).

Se interrogati rispetto all’impreparazione delle aziende rispetto ai cambiamenti in atto nel business globale, solo il 21% dei leader aziendali europei indicano il cyber rischio come fattore che coglierà di sorpresa le loro imprese nei prossimi 10 anni. A livello globale, è il settore dei servizi finanziari il più preoccupato rispetto all’impreparazione aziendale nei confronti del rischio cibernetico, mentre l’industria manifatturiera teme di più la rapidità dell’introduzione delle innovazioni tecnologiche.

Il contesto tratteggiato dal report BDO sembra del tutto inadeguato allo scenario globale attuale, in cui assistiamo ad attacchi informatici di scala mondiale come WannaCry e Petya. Se a ciò si aggiungono le stime di Ponemon e Ibm, che individuano in 4 milioni di dollari la perdita economica media causata ad un’azienda da una violazione dei sistemi nel corso del 2016, con un incremento degli attacchi ransomware del 6.000% l’anno scorso, appare chiaro che, forse, il problema del cyber crimine sia quanto meno sottovalutato.

Lorenzo Mazzei
Lorenzo Mazzei

“La cyber security è indubbiamente diventata un focus specifico per molte imprese, ma non tutte investono le cifre davvero necessarie a prevenire un rischio del genere – commenta Lorenzo Mazzei, Partner Intelligence & Cybersecurity di BDO Italia. Spesso i leader aziendali considerano la cyber sicurezza un segmento a sé, mentre invece sarebbe molto utile includere anche il lato informatico nei piani strategici generali di rischio. Non si tratta di spendere una cifra fissa per la cyber security, come molte aziende fanno ad oggi, bensì di valutare tutti i fattori di rischio, anche non cibernetici, della propria azienda e stanziare un budget adeguato al livello di rischio generale. Si tratta di una misura di prevenzione che deve essere aggiornata almeno annualmente, perché i fattori del rischio cibernetico cambiano molto velocemente: ciò che oggi è accettabile, potrebbe trasformarsi in un pericolo in meno di 12 mesi. Bisogna, inoltre, comprendere che il cyber rischio non è solo una questione del dipartimento IT, ma è un fattore che deve essere contemplato all’interno di tutta l’organizzazione aziendale, comprendendo anche stakeholder, fornitori e terze parti esterne all’organizzazione.”

BDO avverte che evitare totalmente le violazioni di dati è quasi impossibile. Le aziende dovrebbero aggiornare costantemente i sistemi informatici di sicurezza con le ultime versioni software disponibili, per evitare le cosiddette 0-day, vulnerabilità di sicurezza non pubblicamente note. Installare dei sistemi di monitoraggio che attivino tempestivamente l’allarme in caso di violazione. Importantissimo, poi, è conoscere quali dati sono contenuti nei propri sistemi e come vengano difesi. Proteggere con adeguati sistemi di controllo di accesso tali dati. Occorre insegnare a tutti i dipendenti come riconoscere un attacco hacker in corso e come assumere comportamenti sicuri durante il lavoro quotidiano. Il passo successivo è guardare alla catena di approvvigionamento aziendale e assicurarsi che anche stakeholder e terze parti siano adeguatamente preparati nei confronti del cyber rischio, condividendo anche le buone pratiche (settimo step). Infine, occorre saper discutere adeguatamente del rischio cibernetico al vertice, così come si discuterebbe di qualsiasi altro rischio, economico o di altra natura.

“Molti attacchi ransomware si basano su vulnerabilità causate da un mancato aggiornamento dei sistemi: in diversi casi, le aziende colpite non avevano provveduto ad installare gli aggiornamenti software di sicurezza del caso, anche se già disponibili per l’installazione prima dell’attacco stesso – prosegue Mazzei- Il primo passo di un attacco di questo genere, per gli hacker, è proprio sfruttare vulnerabilità conosciute, che dovrebbero essere allo stesso modo note anche all’interno dell’organizzazione aziendale. Per il prossimo futuro, ci attendiamo innanzitutto un aumento degli attacchi informatici basati sulle cosiddette vulnerabilità 0-day, con attacchi sempre più sofisticati e mossi principalmente dal movente economico . Molto probabile anche un aumento degli attacchi nell’ambito dell’automazione industriale, ma si tratterà di contagi accidentali e non voluti, semplicemente perché la catena industriale sempre più legata all’informatica diventerà anche più attaccabile. Un altro trend che, infine, noi di BDO ci aspettiamo in crescita è quello degli attacchi a scopo di spionaggio industriale e furto della proprietà intellettuale. Occorre che tutte le aziende si preparino adeguatamente ad affrontare questo tipo di situazioni”, conclude.