Prima di entrare nei dettagli sono d’obbligo due premesse. La prima riguarda gli attori che hanno contribuito a questa ricerca che per diverse ragioni sono tutti molto vicini a questo mondo a partire da Grenke, multinazionale di leasing operativo leader proprio nel segmento PMI, e Clio Security, che opera come società di consulenza nel medesimo ambito. A questi si aggiunge Cerved che si è occupata della raccolta dei dati e vanta una visione pressoché unica del panorama delle imprese italiane.
Cyber security e PMI: cresce l’attenzione sulla sicurezza, ma servono investimenti strategici
Indice degli argomenti
Il campione analizzato
La seconda premessa attiene l’universo di riferimento, costituito dalle PMI italiane operative, con le seguenti caratteristiche dimensionale: fatturato maggiore di un milione di euro e/o più di 5 dipendenti e un fatturato minore di 50 milioni di euro e/o meno di 250 addetti.
A partire dall’universo così identificato, pari a circa 700.000 aziende in Italia, sono state realizzate circa 800 interviste telefoniche rappresentative, alla figura che in azienda si occupa delle decisioni in tema di cyber security. Dal mio punto di vista di direttore tecnico scientifico i tre attori mi garantivano delle solide basi di partenza. In effetti il quadro che emerge offre una vista senza dubbio inedita sul rapporto tra aziende e cyber security.
La percezione delle aziende
Il primo dato significativo che sfata un luogo comune è l’attenzione delle imprese verso la cyber security. Il 60 per cento delle nostre PMI la considera, in una scala da 1 a 10, di importanza pari ad almeno 8.
Un secondo “mito” che viene messo in discussione è quello legato al problema dei costi della cyber security. Si rileva, infatti, come tra il 40 per cento dei rispondenti che non la considerano di interesse, soltanto il 2 per cento afferma che il problema è di ordine economico.
Piuttosto salta immediatamente all’occhio come ben il 61 per cento attribuisca la scelta al fatto di non trattare dati sensibili. Questo evoca uno scenario in cui l’attenzione della PMI per la cyber security e strettamente connessa alle questioni in materia di protezione dei dati.
La prima conferma arriva dalla risposta alla seguente domanda: “Quanto ritiene adeguate le misure adottate dalla sua azienda per la protezione dei dati personali?”. Bene, il 75 ha risposto attribuendo un livello di adeguatezza da 8 a 10 alle misure adottate.
Significa che la pressione normativa collegata al GDPR ha determinato una qualche forma di attenzione al tema. Tuttavia, come vedremo in seguito gli effetti sono nefasti perché partendo dall’errata uguaglianza tra cyber security e protezione dei dati, la prima ne esce fortemente penalizzata.
La responsabilità della cyber security: il gap delle competenze
A proposito di penalizzazione, se la presenza in azienda di un responsabile interno per la sicurezza è limitata a un prevedibile 20 per cento delle aziende (pensavo peggio), molto grave è il livello di conoscenza della materia che è stata verifica proponendo due domande: una sulle conoscenze delle più diffuse forme di attacco e un’altra relative alle tecnologie.
Tanto per chiarire la situazione qualche dato esemplificativo. Una tecnica come il phishing, termine più o meno di pubblico dominio, è noto al 48 per cento dei rispondenti, mentre l’acronimo di DDoS, ormai da un anno citato da tutti i media è sconosciuto all’85 per cento.
Se il Distributed Denial of Service può risultare oscuro al grande pubblico, l’attacco che rende irraggiungibili i sistemi secondo diverse modalità dovrebbe essere ben noto a chi di mestiere si occupa, anche se non a tempo pieno, di cyber security.
Non diverse la situazione rispetto alle tecnologie dove a fronte di un 70 per cento a cui il firewall è noto (anche se lo utilizza soltanto il 56 per cento), appena si passa a soluzioni leggermente più sofisticate o complesse come gli Intrusion Detection System la percentuale di chi le conosce collassa al 17 per cento. Il tema di un’adeguata formazione di queste figure emerge con chiarezza, ma anche a livello di attività volte a incrementare la consapevolezza del personale la situazione è grave
Troppe regole poca formazione
Il 72 per cento delle aziende non offre ai propri dipendenti corsi dedicati ai rischi cyber e, a ulteriore conferma di come per le PMI la cyber security sia legata a doppia mandata alla protezione dei dati, nel 60 per cento dei casi l’erogazione della formazione viene affidata al Data Protection Officer, facile immaginare come sia prevalente l’aspetto connesso alla conformità alla normativa.
Per contro il 49 per cento delle imprese, non è poco, mette a disposizione dei propri dipendenti un regolamento che disciplina l’utilizzo delle dotazioni aziendali (pc, tablet e smartphone). Inevitabile vedere in questa situazione una prevalenza della forma sulla sostanza.
L’importanza della valutazione del rischio nella cyber security
Se attaccate non hanno scampo
E proprio quando si arriva ad alcune questioni di sostanza che si manifesta appieno l’erroneità della sensazione di sicurezza delle PMI. Se alla modestia delle attività formative andiamo ad aggiungere due dati significativi, che raccontano come soltanto il 21 percento delle PMI abbia adottato l’autenticazione a più fattori per tutti i suoi utenti e un modesto 30 percento abbia verificato nell’ultimo anno la sicurezza dei suoi sistemi, magari attraverso un penetration test, appare chiaro come, nella migliore delle ipotesi almeno il 70 per cento delle aziende non disponga delle contromisure base per prevenire un attacco ransomware che punti all’esfiltrazione dei dati.
La situazione migliora, ma di poco, se l’estorsione punta sulla cifratura dei sistemi. A fronte di un 77 per cento di intervistati che dichiara effettuare i backup dei dati almeno una volta al mese vi è un 35 per cento che afferma di conservarlo solo all’interno della propria rete e un 78 per cento che dichiara di non avere alcuna segmentazione della rete. Correlando i dati, circa il 50 per cento delle PMI non sarebbe in grado di recuperare le proprie informazioni.
Una possibile segmentazione
Un ultimo esercizio svolto in collaborazione con gli analisti di Clio Security è stato quello di segmentare le imprese in base al livello di sofisticazione dei sistemi di protezione tecnologici e non adottati e conosciuti.
Le categorie sono quattro e le percentuali sono indicate accanto:
- Le “avanguardiste” (7 per cento) sono aziende che hanno in uso o conoscono la maggior parte dei sistemi di sicurezza, compresi quelli più avanzati, come l’XDR e il DLP
- Le “evolute” (29 per cento) hanno sistemi di protezione abbastanza avanzati ma non quanto le avanguardiste, come ad esempio il WAF o la MFA.
- Le “basiche” (38 per cento) posseggono praticamente i minimi requisiti di cyber security necessari per un’azienda, oltre a qualche sistema più avanzato come antimalware, IDS e IPS.
- I “principianti” (26 per cento) sono privi di qualsiasi protezione, oppure si limitano a backup, antispam e firewall.
Se consideriamo che chi si occupa di cyber security deve per necessità considerare il “worst case” come la regola, allora siamo in presenza di una situazione in cui il 93 per cento delle PMI è a rischio alto o molto alto.
Un fatto che, a poco più di un anno dall’applicabilità del Regolamento DORA e della Direttiva NIS 2 – che hanno nella sicurezza della supply chain un elemento cardine – mette in discussione la competitività stessa delle nostre PMI e non soltanto la loro capacità di sopravvivere a un attacco cyber.
