Nella serie di pubblicazioni “Questioni di economia e finanza”, focalizzate su studi e documentazione su aspetti rilevanti per i compiti istituzionali della Banca d’Italia e dell’Eurosistema, esce un report dell’istituto di Via Nazionale a Roma che indaga sullo stato della cyber sicurezza delle aziende italiane. Realizzato da Lorenzo Bencivelli e Matteo Mongardini, del Dipartimento Economia e Statistica, spazia dal livello di consapevolezza dei pericoli che le imprese corrono alle pratiche di mitigazione dei rischi.
“Ci sono due questioni fondamentali che emergono dall’ultimo report Questioni di Economia e Finanza di Banca d’Italia, dedicato alla cyber security”, spiega Pierguido Iezzi, Strategic Business Director di Tinexta Cyber. Ecco quali sono gli aspetti salienti per adottare le strategie giuste e non abbassare la guardia.
Indice degli argomenti
Report Banca d’Italia: focus sulla cyber sicurezza delle aziende italiane
Lo studio è frutto della base delle evidenze raccolte con le edizioni del 2016 e del 2022 dell’indagine sulle imprese industriali e dei servizi della Banca d’Italia.
Dal report emerge che sfiora il 90% la quota delle aziende conscia del rischio di subire cyber attacchi. Ma alla percezione dei rischi non sempre fa eco un investimento finanziario adeguato per affrontarne le conseguenze. Devastanti, soprattutto in un attacco di tipo ransomware.
Infatti, c’è “una discrepanza tra percezione del rischio e le misure concretamente messe in atto, da un lato. E, dall’altro, la persistente mancanza di awareness e risorse da parte delle PMI, troppo spesso elemento più a rischio – a livello informatico e di governance – di tutta la catena del valore italiana”, mette in evidenza Iezzi, dopo attenta lettura del report.
Solo le aziende, già oggetto di un attacco, alzano il livello di consapevolezza del rischio e mostrano maggiore propensione a un più alto budget in prevenzione.
Le aziende di dimensioni inferiori e quelle del Mezzogiorno hanno invece una minore percezione dei rischi cyber. Il livello di percezione non varia fra i settori.
Tuttavia, alle aziende del settore tessile ed energetico/estrattivo corrisponde un calo del rischio dichiarato, sebbene, secondo il recente rapporto Clusit Energy &S utility, il settore energia sia ad alto rischio. Neanche l’internazionalizzazione, l’esposizione ai mercati esteri, contribuisce in maniera significativa ad alzare il grado di percezione.
L’11,6% delle imprese non ritiene affatto probabile un attacco contro
un’impresa con le loro stesse peculiarità. Ma la percentuale sale al 14,2% per le aziende con meno di 50 addetti e al 17,2% per quelle del Sud e delle isole.
“Quello che emerge con forza dalla ricerca – continua Iezzi – è la necessità di un cambiamento culturale e strutturale“.
Quasi un quarto delle aziende (23,4%) ha reso noto almeno un attacco negli ultimi cinque anni. La percentuale scende al 18% tra le imprese meridionali e delle isole.
La quasi totalità delle imprese che hanno subito un attacco cibernetico dimostra maggiore sensibilità al tema e si crede soggetta a qualche rischio.
“Questa ricerca rappresenta un importante campanello d’allarme e un invito all’azione per tutte le imprese italiane. La sicurezza digitale deve essere necessariamente considerata come una priorità strategica nazionale e solo attraverso un impegno concreto e continuativo sarà possibile ridurre significativamente i rischi e proteggere il futuro delle nostre imprese“, evidenzia Iezzi: “Le nuove normative (protezione del Made in Italy, NIS 2 e DDL Cyber) saranno un catalizzatore per questo cambiamento, assicurando che le aziende italiane siano meglio preparate a fronteggiare le sfide del mondo digitale”.
Lo stato degli investimenti in sicurezza
Gli asset tecnologici di nuova acquisizione sono in genere messi a punto dal fornitore di presidi di sicurezza, mitigando così l’effetto dell’uso di tecnologie.
“Le imprese devono comprendere che la sicurezza informatica non è un costo, ma un investimento fondamentale non solo per la continuità operativa e la protezione del patrimonio informativo, ma un elemento che impatta sui valori della competitività economica italiana“, spiega Pierguido Iezzi.
Crescono gli incidenti fra le imprese a più alto fatturato
Aumentano gli incidenti registrati fra le aziende più grandi. E ciò è evidente guardando alla quota di fatturato coinvolto.
Le imprese oggetto dei cyber attacchi contano infatti per il 46% del fatturato, pur essendo meno di un quarto in termini numerici. Le imprese che hanno subito danni patrimoniali a seguito degli attacchi sono pari al 5%. Ma le imprese più grandi si avvalgono di migliori strumenti di sicurezza informatica rispetto a quelle medio-piccole.
La maggiore visibilità delle grandi imprese e il più elevato rendimento atteso dall’attore malevolo rende le grandi imprese più esposte rispetto a quelle di dimensioni inferiore.
Inoltre, la struttura organizzativa con una migliore dotazione tecnologica riduce il rischio di danni patrimoniali anche se deve fronteggiare un maggior numero di attacchi.
L’indagine potrebbe sottostimare il fenomeno
Il report potrebbe in realtà sottostimare l’entità del fenomeno, perché neppure le imprese vittime di alcuni attacchi cyber li rilevano e perché altre volte le aziende sono restie a riportare gli incidenti o sottovalutano la reale dimensione dei danni patrimoniali subiti, per non compromettere la reputazione. Al danno patrimoniale non vogliono sommare quello reputazionale.
Le aziende che avevano effettuato la segnalazione di un attacco nel 2016 ne hanno riportato almeno uno nel quinquennio successivo, di dimensioni superiori a quelle che non ne avevano avuti nel 2016. La percentuale sale negli attacchi con danni patrimoniali.
Dunque le imprese avrebbero continuato a rimanere esposte ad attacchi oppure i rimedi adottati non sarebbero stati all’altezza. Ma è anche possibile che le imprese abbiano acquisito una maggiore capacità di identificazione degli attacchi e/o siano meno riluttanti a riferirne in fase di rilevazione.
Investimenti nella spesa in cyber sicurezza da parte delle aziende italiane
Il rapporto fra investimenti in cyber security e dimensione aziendale dipende da numerosi fattori: la superficie di esposizione (più dipendenti, più entry point per un attaccante a causa del fattore umano); la visibilità, l’appetibilità del patrimonio informativo in proprio possesso.
Dall’indagine risulta che le imprese hanno una percezione del rischio correlata positivamente con la spesa. Analogamente per gli investimenti in tecnologie digitali. Il grado di investimenti tecnologici dall’azienda risulta sempre rilevante.
“La protezione del Made in Italy, NIS 2 e DDL Cyber confermano l’attenzione del governo (e dell’Europa, ndr) al tema sovranità digitale del dato”, illustra Iezzi: “Queste normative imporranno l‘adozione di livelli di sicurezza adeguati non solo alle singole aziende rientranti nel perimetro normativo, ma a tutta la filiera di fornitura. Ciò significa che i livelli di investimento in sicurezza cibernetica devono aumentare, spingendo le imprese a implementare misure più robuste e sofisticate”, mette in guardia Iezzi.
Il fatturato conseguito all’estero non dà un contributo rilevante, anche se la protezione dei dati sensibili dovrebbe un elemento cruciale per le imprese esposte in Cina o in Russia.
Le aziende, oggetto di un attacco nel quinquennio 2016-2020, nel successivo biennio 2021-2022 hanno aumentato il budget per proteggersi dagli attacchi maggiore di quelle che non ne hanno subit. La percentuale di quelle che non hanno speso nulla è la metà rispetto a quelle prive di attacchi.
Secondo Banca d’Italia, le imprese che hanno raddoppiato (o più) il proprio budget (un ottavo delle imprese) potrebbero aver aumentato in maniera rilevante la propria copertura verso il rischio inflazione, al contrario di chi ha mantenuto costante la spesa (circa la metà).
Come le aziende si proteggono
Oltre un terzo delle aziende non dispone di una funzione aziendale dedicata alla sicurezza cibernetica e alla continuità operativa. Si avvalgono di una funzione interna o ibrida, mentre sono meno quelle che ne usufruiscono di una in completo outsourcing.
Tre sono i modelli: la soluzione esternalizzata (scenario di base), una ibrida o una completamente interna.
La consapevolezza del rischio e l’essere state vittime o meno di un attacco fanno propendere per una funzione dedicata, ma a incidere sono anche fattori come la dimensione e l’area geografica (imprese del centro e del sud sono più riluttanti a investire nella figurata ad hoc).
A fare la differenza saranno NIS 2 e il Ddl Cyber
Solo una piccola percentuale si ritiene immune dagli attacchi cyber, tra queste soprattutto le piccole imprese e residenti nel Mezzogiorno. Il settore di appartenenza non sembra incidere nei livelli di consapevolezza, eppure dovrebbe, dal momento che, secondo il rapporto Clusit 2024, i settori più colpiti sono sanità, finanza e manifatturiero.
La dotazione di un livello più alto di tecnologia dipende da una maggiore comprensione del pericolo cyber o dall’essere state oggetto di attacchi.
Gli attacchi diventano, inoltre, sempre più complessi e i sistemi di protezione richiedono aggiornamenti con costi sempre maggiori.
Oltre un terzo delle aziende non dispone di una funzione aziendale dedicata, né interna né esterna. Anche se metà delle aziende ha incrementato la spesa in cyber sicurezza nell’ultimo quinquennio, ciò dipende più dal rialzo dei costi per acquisire le attrezzature hardware e software che a un aumento della domanda.
“Anche se la discrepanza tra percezione del rischio e le misure concretamente messe in atto – prosegue l’esperto di cyber sicurezza per le aziende, Strategic Business Director di Tinexta Cyber – tra la consapevolezza del rischio e gli investimenti reali è evidente: più di un terzo delle imprese non ha aumentato significativamente la propria spesa per la sicurezza informatica negli ultimi cinque anni. Tuttavia, le normative imminenti obbligheranno le aziende a colmare queste lacune, garantendo una protezione più efficace contro le minacce cibernetiche”.
Conclusioni
Chi ha adottato con difficoltà misure per abbattere il rischio cibernetico, anche dopo gli attacchi subiti, hanno un’inferiore percezione del rischio. Sono le aziende di minori dimensioni e, soprattutto, residenti nel meridione.
“Anche se si percepisce un qualche grado di preoccupazione da parte delle aziende italiane per l’aumento degli adempimenti normativi in tema di cyber security, senz’altro comprensibile, data la complessità degli oneri burocratici e la necessità di investimenti tecnico-organizzativi significativi, è, però, essenziale che le imprese intraprendano passi concreti per migliorare la sicurezza dei propri sistemi informatici”, conclude Iezzi: “Un’azione cruciale per assicurare la resistenza e la resilienza non solo del nostro tessuto produttivo ma dell’intero sistema Paese”.
