Avete sentito parlare di Cyber crime? In questo articolo approfondirò questo nuovo rischio che sicuramente ancora è un fenomeno sottostimato, il tutto corroborato dai risultati delle ultime indagini dalle quali emerge che l’80% dei manager italiani non considera il Cyber crime “danno economico” e come se non bastasse, il 60% dei manager italiani non ha piena consapevolezza di che cosa sia. Dati alla mano si evince che a seguito della bassa percezione delle conseguenze e data la difficoltà ad individuare strumenti atti a difendersi da tali rischi, non possa che manifestarsi un evidente accrescimento del problema.
Se a questo aggiungiamo anche una totale assenza di univocità giuridica dovuta alle diverse legislature degli stati, diviene implicito giungere ad una totale incomprensione del rischio e delle sue conseguenze.
Purtroppo, i fatti parlano molto chiaro, se in Italia, non si considera e non si conosce il rischio informatico, si evidenzia come soltanto in Europa la percezione di tale rischio sia balzata in un anno semplicemente dal 9° al 5° posto nella scala dei principali rischi temuti dalle aziende.
La crescita del fenomeno e relativi attacchi su PMI è evidentissima ed altrettanto veloce. In termini di Puro Costo si è avuto un +78% rispetto al 2009 e +130% di Tempo per risolvere il problema (dovuto indubbiamente alla miglior difesa della parte lesa, e conseguentemente dalla maggiore “virulenza” dell’attacco).
Tali valori portano ad una stima mondiale di 12 miliari di $ di perdite annue per i prossimi 6 anni, con un impatto del:
- +43% dei costi derivanti da furto dei dati;
- +62% di identità violate (550 milioni);
- +36% dei danni ai processi ed al business.
In Italia si stima una perdita fino a 8 miliardi complessivi (pari allo 0,6% del PIL). Le dichiarazioni di PMI che hanno subito un attacco, hanno dato origine ad una statistica allarmante.
Il 22% ha dichiarato un sensibile calo del fatturato:
- +38% ha subito un’interruzione della propria attività (più di un giorno);
- +36% ha avuto ritardi nella produzione;
- i danni diretti ammontano a 9 miliardi.
Un ulteriore aspetto del cyber attack, è che spesso si ha un attacco indiretto, si tende a colpire non tanto la grande azienda, ma bensì le piccole aziende, che vengono utilizzate come “tramite” per attaccare le aziende più grandi
Le soluzioni ad una problematica di tale portata ovviamente non sono così scontate e comportano obbligatoriamente una comprensione del rischio. È indispensabile un cambiamento culturale ed un approccio di conoscenza del rischio, sicuramente maggiore rispetto ad altre casistiche che possano determinare delle perdite.
Quindi è fondamentale avere:
- Informazione del fenomeno;
- diversità nell’approccio del rischio rispetto ad altri rischi;
- cognizione che la difesa dal rischio non è solo il sistema protetto;
- non esiste sistema infallibile;
- consapevolezza della pluralità dei rischi e delle varie fasi di un eventuale attacco. Pertanto è indispensabile attuare una gestione del rischio nei tre punti successivi:
- difesa aziendale con sistemi congrui a ridurre le vulnerabilità dei sistemi e relativa perdita dei dati;
- gestione della crisi e del danno delegata a personale specialistico, onde ridurre tempistiche di ripristino e danno stesso;
- eliminazione della perdita economica a seguito di indennizzo per danno subito e relativi costi per il danno arrecato ad altri.
A testimonianza di quanto riportato, si evidenzia che anche l’Europa ed il suo governo abbiano cercato di anticipare la gravità del fenomeno istituendo l’European Cybercrime Centre, varando inoltre la direttiva UE n4.0 del 2013 in relazione alla prevenzione e tutela dei dati a seguito di attacco cyber.