Piccole e medie imprese e rischio cyber: un connubio spesso sottostimato da imprenditori e capitani di azienda che non credono di poter essere un target di attacco, salvo poi ritrovarsi in serie difficoltà quando il danno emerge in tutta la sua estensione: economica, reputazionale e in qualche caso anche legata a privacy e a proprietà intellettuale.
Come intervenire e da dove iniziare? Per il Direttore Generale dell’ACN, Bruno Frattasi, e per il Sottosegretario alla Presidenza del Consiglio, Alberto Barachini è necessario partire dalla consapevolezza del rischio e quindi è stata avviata, lo scorso 4 luglio 2024, la campagna istituzionale finalizzata alla promozione della presa di coscienza sulla sicurezza informatica per le piccole e medie imprese, nata nell’ambito della più ampia Strategia Nazionale per la Cybersicurezza 2022 – 2026.
Il “leitmotiv” della campagna informativa ruota intorno al concetto per cui la sicurezza delle piccole e medie imprese (PMI) è messa in pericolo dagli attacchi informatici e, come tale, ha bisogno di strumenti e investimenti adeguati.
Fonte: ACN.
Lo spot evidenzia come l’errore umano possa fare da apripista a un attacco, ma è la cronica sottostima del rischio il problema strutturale che deve essere risolto e sul quale lo spot consiglia tre macroaree di intervento:
- investimenti in misure adeguate;
- formazione;
- scelta di esperti a cui rivolgersi.
“Accendiamo la cybersicurezza. Proteggiamo le nostre imprese” rappresenta lo slogan ma anche il payoff della campagna informativa, che vede in questa prima fase, una serie di spot televisivi accompagnati da altrettanti equivalenti radiofonici e che produrrà nei mesi prossimi le fasi due e tre rispettivamente legate al dispiegamento di tali concetti su testate on line e su social networks.
In particolare, l’ACN rende noto che da settembre a gennaio prossimi, lo spot televisivo e quelli radiofonici relativi alla campagna saranno diffusi anche sulle tv e le radio commerciali; i materiali divulgativi saranno diffusi anche attraverso siti e portali d’informazione e veicolati attraverso i motori di ricerca.
Insieme ai contenuti social di approfondimento saranno anche veicolati alcuni consigli di cyber hygiene come la protezione dal phishing, per il backup sicuro dei dati aziendali, fino alla gestione corretta delle password.
Indice degli argomenti
Motivi dell’intervento legati agli attacchi alle PMI
“Le PMI in Europa rappresentano il 90% delle imprese e apportano il 57% del fatturato europeo”. A sottolinearlo Alberto Barachini che evidenzia come “nell’ultimo anno si sia assistito ad un ulteriore incremento dell’offensiva verso le PMI, che sono quindi fortemente invitate a ricorrere alle diverse fonti di investimento (PNRR, fondi europei e bando industria 5.0 ) per formare i propri dipendenti e per strutturarsi correttamente ad un approccio difensivo che le renda più robuste e resilienti.
Un ulteriore invito è quello di ricorrere alla denuncia alle autorità competenti sull’attacco subìto, denuncia che fino d oggi è stata poco praticata, per tentare di evitare il calo di reputazione e nascondere la condizione di fragilità al mercato”.
Bruno Frattasi aggiunge che: “Un ulteriore motivo di preoccupazione è a livello sistemico nella catena di approvvigionamento: le Pmi sono il tessuto connettivo dell’economia italiana, e un incidente informatico può avere ripercussioni su tutta la filiera del valore della manifattura e dell’industria nazionali”.
Ma, di fatto, questo è vero anche nei settori energetici, bancari e in generale in tutte le entità facenti parte delle infrastrutture critiche; l’esposizione al rischio diventa quindi sistemica, perché nella catena di approvvigionamento si assiste ad un effetto domino e la debolezza di uno dei pezzi della catena deve poter essere arginata preventivamente, come parte di un ecosistema sicuro.
Le PMI sono il centro della campagna ma è in generale vero che debba essere sollevato un velo su un tema sconosciuto o ignorato dalla ancora troppe persone. La campagna informativa in questo senso assume una rilevanza sociale e tale da arrivare ovunque e sensibilizzare tutti.
Già dalla presentazione della relazione annuale al parlamento, spiega Bruno Frattasi, le PMI sono state osservate come soggetti target di un numero alto e incrementale di incidenti, con gli ambiti di mercato più colpiti legati al settore tecnologico per un 23%, trasporti al 18%, manifatturiero al 16% e progressivamente a scalare fino ad arrivare alle aree più ‘virtuose’, in cu la preparazione al rischio digitale è stata più pronta.
“Certo uno spot potrebbe non bastare per cambiare i comportamenti di investimento verso la cybersecurity osserva” Alberto Barachini, “ma lo considero un primo passo, utile ad iniziare un percorso”.
Fonte: ACN.
Ransomware e AI
“Fra le tante minacce il tema del ransomware su tutti si presenta con una valenza globale. Non ci sono dubbi sugli sforzi di contrasto al ransomware contro il quale esistono diverse iniziative in corso”, chiarisce il Direttore ACN, “ma su tutte spicca il rifiuto al principio di negoziazione (elemento ricordato anche in occasione del meeting delle agenzie Cyber del G7 n.d.r.). Le PMI fanno fatica a dire ‘no non pago’. Ma è importante sottolineare che accondiscendere al pagamento del riscatto, significa di fatto, alimentare questo sistema estorsivo. Si sviluppa la stessa dinamica dei sequestri di persona degli Anni 90, contro i quali la misura del congelamento dei beni della famiglia permise di arginare il fenomeno”.
Anche sui sistemi di Ai è stata posta una certa attenzione, chiarendo che l’AI adottata nei sistemi digitali potrà essere colpita a sua volta come parte di un target di attacco.
Qualsiasi imprenditore dovrebbe quindi proteggere il proprio perimetro ed includere i nuovi sistemi di Ai che dovranno ulteriormente esser soggetto e oggetto di protezione.
Fonte: ACN.
Motivi aggiuntivi per occuparsi di cyber sicurezza
In generale l’attenzione deve essere posta sui dati digitali, che oggigiorno sono le ‘miniere dell’economia’. Il dato è il nuovo petrolio nel contesto digitale, proprio perché è oggetto di sfruttamento, lucro e rivendita da parte dei criminali digitali. Tuttavia, è bene ricordare che è la protezione del dato, quella che ne permette anche la libertà di circolazione.
“Per le PMI non vi sono requisiti minimi senza i quali non possono operare sul mercato, ma è evidente”, ricorda Bruno Frattasi, “che, chi non lo fa si espone al rischio di sparire sul mercato, perché se non ti sai difendere, si attua una sorta di selezione darwiniana di mercato”.
Nessuna misura sembra invece in corso sui temi della defiscalizzazione per gi investimenti in cyber security.
In un paese dove la spesa media delle PMI è esigua in ambito sicurezza e principalmente orientata a comprare tool piuttosto che servizi, un intervento di questo tipo potrebbe costituire una spinta aggiuntiva agli sforzi di comunicazione consapevolezza e informazione.
