Attacchi informatici: una minaccia esistenziale molto reale per le organizzazioni

Sappiamo tutti che la sicurezza informatica è un elemento critico del rischio aziendale. Ma quanto critico? Alcune sale del consiglio sembrano prestare poco più di un rispetto formale alla sicurezza e riescono comunque a evitare gravi ripercussioni. Ecco perché un nuovo rapporto dell'assicuratore globale Hiscox rende interessante la lettura. In realtà afferma che molte organizzazioni europee e americane sono arrivate vicino all'insolvenza dopo violazioni della sicurezza. E mentre la spesa è in aumento, meno aziende globali che mai sono descritte come "esperte di cyber-ready".

È chiaro che sapere dove indirizzare gli investimenti nella sicurezza informatica non è mai stato così importante. Quindi cosa fanno gli esperti per evitare il fallimento? Secondo il rapporto, è in gran parte una miscela di nozioni di base sulle migliori pratiche e la volontà di imparare dagli incidenti precedenti.

Una minaccia esistenziale

Il rapporto è compilato da interviste con 5,000 aziende negli Stati Uniti, Regno Unito, Belgio, Francia, Germania, Spagna, Paesi Bassi e Irlanda. Alcuni dei risultati li conoscevamo già. Ma ci sono alcune sfumature interessanti. Per esempio:

• Sette paesi su otto classificano un attacco informatico come la minaccia numero uno per le loro attività
• La metà (48%) degli intervistati ha segnalato un attacco informatico negli ultimi 12 mesi, rispetto al 43% dell'anno scorso
• Un quinto (19%) degli intervistati ha segnalato un attacco ransomware, rispetto al 16%. Due terzi delle vittime hanno pagato i loro aggressori

Finora, così al solito. Tuttavia, c'è un grande divario nella percezione tra coloro che hanno subito un attacco e quelli che non lo hanno fatto. Più della metà (55%) delle vittime di attacchi informatici vede la sicurezza informatica come un'area ad alto rischio, ma la cifra scende a solo il 36% per coloro che non hanno subito compromessi. Allo stesso modo, il 41% degli attaccati afferma che la propria esposizione al rischio è aumentata, ma per l'altro gruppo la cifra è inferiore a un quarto (23%)

Un'altra pepita interessante: i criminali informatici sembrano esserlo rivolgendosi sempre più alle aziende più piccole. Quelli con un fatturato compreso tra 100,000 e 500,000 dollari americani possono ora aspettarsi tanti attacchi quanti ne guadagnano 1 milione-$ 9 milioni all'anno.

Costing aziende caro

Questo è importante, poiché un quinto delle aziende che hanno risposto agli attacchi afferma che la loro solvibilità è stata minacciata, con un aumento del 24% rispetto allo scorso anno. Sebbene non descritti nel rapporto, i costi di violazione possono includere:

• Interruzioni operative
• Spese legali
• Straordinari IT e costi forensi di terze parti
• Multe regolamentari
• Fidelizzazione dei clienti
• Produzione e vendite perse
• Danno reputazionale a lungo termine

Questo potrebbe in parte spiegare perché la spesa è in aumento. La spesa media degli intervistati per la sicurezza informatica è aumentata del 60% nell'ultimo anno a 5.3 milioni di dollari ed è aumentata del 250% dal 2019, secondo il rapporto

In che modo gli aggressori stanno compromettendo le organizzazioni?

Per capire meglio come la tua organizzazione può evitare il fallimento, dobbiamo prima sapere in che modo gli attori delle minacce stanno facendo così tanti danni. Secondo il rapporto, i principali vettori di attacco sono:

• Server cloud (41%)
• E-mail aziendale (40%)
• Server aziendali (37%)
• Server di accesso remoto (31%)
• Dispositivi mobili di proprietà dei dipendenti (29%)
• DDoS (26%)

Ciò si abbina ai risultati di altri rapporti e alla narrazione secondo cui il lavoro a distanza, gli investimenti legati alla pandemia nell'infrastruttura cloud e le sfide alla sicurezza del lavoro a distanza sono alcuni dei maggiori rischi che le organizzazioni devono affrontare oggi. Questi si sono combinati con l'errore umano per creare un'ampia superficie di attacco a cui mirare gli attori delle minacce.

Cosa fare dopo

Desta preoccupazione il fatto che i punteggi di prontezza informatica stimati da Hiscox siano diminuiti del 2.6% su base annua, portando a un forte calo del numero di aziende classificate come "esperte", dal 20% a solo il 4.5%. Anche la percentuale classificata come novizia è diminuita in modo significativo, lasciando la maggior parte come "intermedi". La prontezza informatica è importante perché i costi medi di attacco, come percentuale dei ricavi, sono due volte e mezzo più alti per le aziende classificate come "cyber-novizi", afferma il rapporto.

Allora, che aspetto ha un'organizzazione matura predisposta per la cybersecurity? Fortunatamente, non dipende tutto da quanti soldi sono disponibili da spendere. Vengono evidenziate diverse best practices, tra cui le seguenti:

• Formalizza la sicurezza informatica con ruoli chiaramente definiti e adesione al consiglio di amministrazione o all'alta dirigenza
• Assicurati che i top manager abbiano una chiara visibilità e coinvolgimento con la sicurezza informatica
• Segui gli standard delle migliori pratiche come il Quadro del National Institute of Standards and Technology (NIST) degli Stati Uniti
• Distribuire l'investimento sulle cinque funzioni chiave del NIST: identificare, proteggere, rilevare, rispondere e recuperare
• Concentrati sulla pianificazione della risposta agli incidenti e sulle simulazioni di attacco alla luce attuale incertezza geopolitica
• Valutare regolarmente i dati aziendali e l'infrastruttura tecnologica
• Fornire efficace formazione sulla sensibilizzazione alla sicurezza informatica
• Garantire che fornitori e partner aziendali rispettino i requisiti di sicurezza
• Concentrati sui processi di "frutta a basso impatto" come patch, pentesting e backup regolari

Presi insieme, questi passaggi aiuteranno a ridurre al minimo le possibilità che un attacco in ultima analisi, fallisca l'organizzazione.