11,7 milioni di dollari è il costo medio che un’azienda deve sostenere in un anno a causa di attacchi informatici (figura 1), media che supera i 18 milioni per il settore Finance, mentre a livello paese la forbice è molto aperta tra realtà come gli Stati Uniti, dove la media è 17,36 milioni, e quelli come il nostro che non raggiungono i 7 milioni (6,73). È quanto afferma l’ultima edizione dello studio Cost of Cyber Crime rilasciato da Accenture e Ponemon Institute che da otto anni analizza il fenomeno. Nel 2017 lo studio si basa su 2.182 interviste realizzate a responsabili IT, della compliance e/o di IT security presso 254 organizzazioni di grandi dimensioni (da 1.050 a oltre 259.000 postazioni di lavoro) in 7 paesi: USA, Regno Unito, Germania, Francia, Italia, Australia e Giappone.
Obiettivo della ricerca non è tanto quello di condurre un’analisi statistica (il campione non è infatti tale da consentire un’analisi di questo tipo), bensì quello di capire qual è il trend dell’impatto del cybercrime in termini economici sulle imprese. Per le aziende analizzate, lo studio riporta il costo di tutti i reati informatici verificatisi nel corso dell’anno, comprendendo le spese per indagare, individuare e risolvere un attacco informatico nonché quelle derivanti da attività a valle dell’attacco e dalle misure necessarie per limitare i danni derivanti da interruzioni di attività (per esempio azioni sui clienti per evitare che questi abbandonino l’azienda a causa di un attacco subìto).
Attacchi più frequenti e loro impatto economico
Accanto al costo medio del cybercrime, che vede un aumento del 22,7% nel 2017 sul 2016, l’altro dato che testimonia la crescita del fenomeno è il numero di violazioni subite in media da un’azienda: dalle 102 del 2016 si è passati alle 130 del 2017.
Lo studio rileva che l’incidenza delle diverse tipologie di attacco è fortemente correlata con la dimensione aziendale (considerata in termini di postazioni di lavoro). Considerato un numero medio di postazioni di lavoro di 8.560, la figura 2 compara i costi nelle aziende con un numero di postazioni inferiore alla media con quelli nelle aziende con un numero superiore: nelle prime impatta maggiormente il costo di malware, attacchi web based, phishing e social engineering o derivanti dal furto di device; nelle aziende più grandi è invece maggiore l’incidenza di attacchi Ddos, di codici malevoli (intendendo attacchi all’application layer, compresi attacchi SQL) o di persone interne all’azienda che effettuano intrusioni informatiche (considerando come interne non solo i dipendenti, ma anche partner, consulenti ecc. che hanno accesso alla rete aziendale).
Analizzando le specifiche tipologie di attacco, lo studio rileva che se da un lato la quasi totalità delle aziende ha subìto un attacco di tipo malware (98%, percentuale pressoché identica nel 2016 e nel 2017) mentre il ransomware è l’ultimo nella scala (figura 3), dall’altro l’incidenza di questi ultimi è praticamente raddoppiata anno su anno, passando dal 13% dello scorso anno al 27% nel 2017.
Mettendo in relazione la numerosità delle diverse tipologie di attacco con i costi complessivi sostenuti (figura 4), il malware risulta la tipologia anche più onerosa, oltre che più frequente; ma se si calcolano i costi sostenuti per fare fronte a ciascuna tipologia di attacco ponderati sulla sua frequenza (figura 5) vediamo che i danni causati da persone interne sono molto più costosi di qualsiasi altra tipologia. Ed è interessante notare che in termini di tempo necessario per risolvere i problemi causati dagli attacchi, quelli determinati da persone interne risultano al secondo posto (con una media di 50 giorni necessari), dopo quelli determinati da codici malevoli (55 giorni); entrambi staccano di parecchi punti la terza tipologia (ransomware, con 23 giorni).
I 4 principali effetti di una violazione alla sicurezza informatica
Lo studio considera poi le quattro principali conseguenze di un attacco informatico (figura 6): interruzione delle attività, perdita di informazioni, perdita di ricavi e danni alle infrastrutture.
La notizia positiva è che i costi derivanti da interruzioni di attività (come quelli relativi a malfunzionamenti dei processi aziendali) sono scesi dal 39% del 2015 al 33% di quest’anno; quella negativa è che la perdita di informazioni risulta l’effetto più dannoso (con un’incidenza del 43% sui costi), ed è una notizia particolarmente negativa perché questo danno è decisamente insidioso. Il furto di informazioni può infatti avere effetti in termini di immagine, di posizionamento del brand, di fiducia da parte del mercato che si protraggono nel tempo e che spesso non risultano immediatamente quantificabili nella loro totalità.
Lo studio clusterizza ulteriormente i costi relativi al cybercrime nel suo insieme sulla base di cinque differenti categorie: perdita di produttività (31%), lavoro diretto (26%), spese di cassa (20%) lavoro indiretto (17%) e altri costi (6%). Come si vede, oltre ai costi strettamente connessi con l’attacco (che siano diretti, indiretti o di cassa), l’impatto maggiore è sulla perdita di produttività e questo apre un capitolo molto ampio (che comprende anche eventuali ritardi di consegne di prodotti, quindi insoddisfazione dei clienti ecc.) i cui confini sono difficilmente calcolabili.
L’allocazione della spesa per la sicurezza
In quale modo le aziende fanno fronte a questa situazione? Per rispondere a questa domanda, lo studio analizza il budget dedicato alla sicurezza IT vedendo qual è l’allocazione per ognuno dei 6 livelli tipici della sicurezza aziendale (figura 7); analisi che evidenzia come la percentuale maggiore vada al Network (30%).
Lo studio focalizza poi la spesa effettuata dalle aziende intervistate per le 9 principali tecnologie di sicurezza: quella maggiore (67%) risulta dedicata a sistemi di security intelligence (intesi come strumenti che raccolgono informazioni da diverse fonti e aiutano l’azienda a identificare e dare un ordine di priorità alle minacce interne ed esterne), seguiti da strumenti di governance delle identità e degli accessi (63%) e da controlli perimetrali avanzati (58%). Ma è molto interessante mettere in relazione la percentuale di spesa con i risparmi ottenuti grazie all’utilizzo di queste tecnologie (figura 8): se i sistemi di security intelligence e quelli per la governance delle identità e degli accessi consentono anche di ottenere i risparmi maggiori, non altrettanto giustificata appare la spesa per i controlli perimetrali avanzati (che sono al 5° posto come risparmi ottenuti). Il dato più eclatante è però quello relativo a tecnologie di automazione, orchestrazione e machine learning: nonostante la loro percentuale di spesa sia del 28% (l’ultima in termini quantitativi), risultano essere al 3° posto in termini di risparmio. Situazione simile a quella delle soluzioni di cyber analytics e di analisi del comportamento degli utenti che sono al 4° posto come risparmio, ma al penultimo (32%) come percentuale di spesa.
Come aumentare l’efficacia della cybersecurity
A conclusione, gli analisti riassumono alcune considerazioni delle quali le aziende dovrebbero tener conto per migliorare l’efficacia della propria strategia di cybersecurity:
- costruire la sicurezza informatica partendo da fondamenta solide investendo in eccellenti strumenti di base, come sistemi di security intelligence e sistemi avanzati di gestione degli accessi, ma senza tralasciare di innovare anche in questo ambito perché la capacità di “innovazione” degli hacker è sempre maggiore e non ci si può affidare esclusivamente a soluzioni tradizionali (punto 3);
- Eseguire “pressure test” estremi: per potenziare il proprio profilo di sicurezza bisogna andare oltre la semplice compliance, ma è indispensabile compiere test che sottopongano il sistema a stress continui in modo da individuare i punti deboli dell’azienda;
- Investire in tecnologie all’avanguardia: la spesa per la sicurezza deve essere bilanciata guardando alle nuove tecnologie disponibili, in particolare agli analytics, all’intelligenza artificiale, al machine learning per potenziare ulteriormente gli investimenti effettuati anche in ambiti più tradizionali.
