Se le Pmi sottovalutano i rischi connessi alla cyber security

Il Sole 24 Ore 3 gennaio 2024 di Alessandro Curioni (Esperto di cyber security)

SCENARI 2024/SICUREZZA

La strada che porta le nostre Pmi verso la cyber security non è lunga, ma lunghissima, non difficile, ma difficilissima. I numeri non lasciano dubbi. Il 72,7 % non ha mai svolto attività di formazione in materia; il 79% non adotta l’autenticazione a due fattori per tutti i suoi dipendenti, il 65,3 % non ha mai effettuato verifiche sulla sicurezza dei propri sistemi, per esempio attraverso un penetration test, il 73,3 % non sa cosa sia un attacco ransomware e il 51,9 % degli intervistati ammette di non sapere cosa sia il phishing.

I dati sono significativi non soltanto perché il campione è di

oltre 800 aziende, ma anche per i player convolti, molto vicini allo specifico mercato: Grenke, azienda di leasing operativo leader proprio nel segmento Pmi, e Clio Security, che opera come società

di consulenza nel medesimo ambito, che hanno affidato a Cerved, forte di una base dati consolidata di circa 700 mila imprese,

la raccolta delle informazioni.

I numeri sono senza dubbio rappresentativi e presi singolarmente ci dicono quanto sia grande la distanza che separa la spina dorsale della nostra economia da un corretto approccio alla cyber security, ma è dalla loro analisi che scopriamo perché questa via sia anche difficilissima. In questo senso una prima indicazione arriva da quel 59,7% di rispondenti che dichiara come il tema della cyber security rivesta un’elevata importanza per la propria organizzazione. Apparentemente sembra del tutto incongruo rispetto alle desolanti percentuali di cui sopra. In realtà una spiegazione esiste ed emerge se prendiamo in considerazione altri dati. Il primo si rileva dalle ragioni per cui il 40,3 % delle imprese non considera la cyber security rilevante. Nel 60 % dei casi affermano che la motivazione risiede nel fatto di non trattare dati sensibili, con un riferimento indiretto al mondo della privacy, elemento che viene confermato da quel 75,1 % di rispondenti che ritiene adeguate le misure adottate dalla sua azienda per la protezione dei dati personali. Aggiungiamo infine che quel 37,3 % di aziende che ritiene di avere svolto attività di formazione per i suoi dipendenti, nel 60 % dei casi l’ha affidata al Data Protection Officer, figura prevista dal Regolamento Europeo per la Protezione dei Dati.

Tali dati segnalano piuttosto chiaramente che le nostre Pmi, nella stragrande maggioranza dei casi, si sono create un’immagine mentale per cui la cyber security si riduce alla conformità rispetto alle normative in materia di protezione dei dati, ignorando completamente che si tratta di due temi molto diversi. Questa situazione produce effetti deleteri perché da un lato stabilisce un senso di falsa di sicurezza, dall’altro determina una resistenza psicologica a investire su problematiche che si ritiene di avere risolto. In questo senso un’indicazione indiretta, che peraltro sfata un diffuso luogo comune, ci arriva dal fatto che appena il 2,4 % del 40,3% delle aziende che non considera la cyber security una priorità (parliamo quindi di una percentuale ridicola) dichiara di non avere denaro da investire sul tema. In buona sostanza quello che si pensava fosse un problema di risorse è invece diventato culturale: e purtroppo, in quanto tale, ha il difetto di appartenere alla categoria di quelli più difficili da risolvere.

Il fatto che il tema della cultura sia una criticità lo dimostra un’altra evidenza. Nello specifico è necessaria una premessa. Precisiamo subito che il rispondente alle interviste è stata la persona che all’interno dell’azienda prende le decisioni in materia di cyber security. Nel 32 % dei casi è risultato essere il titolare, nel 53,5% un altro soggetto con mansioni diverse all’interno dell’organizzazione, nel 9,6 % il Chief information officer e solo nel 4,6 % il responsabile della sicurezza che poteva essere il Chief security officer o Chief information security officer. La carenza di personale specialistico o comunque con competenze adeguate produce una conoscenza pressoché nulla sia delle tecnologie di cyber security sia delle forme più diffuse di attacco informatico.

A titolo esemplificativo, l’85% degli intervistati non conosce l’attacco noto come DDoS (Distributed Denial of Service), nonostante questa sigla da almeno un anno imperversi su tutti i media. Analogamente il 91,1% non sa cosa sia un Xdr (Extended Detection And Response), senza dubbio una tecnologia evoluta per la prevenzione degli attacchi, ma che da anni è ben nota a chi si occupa di cyber security. In definitiva questa ricerca ci pone di fronte a una situazione estremamente critica. Le nostre Pmi sono convinte di essere «sicure» sulla base di una falsa equivalenza tra cyber security e protezione dei dati, una situazione che renderà molto difficile spingerle verso un miglioramento della loro postura. Questo non soltanto in una situazione di costante crescita degli attacchi, ma anche a poco più di un anno dall’entrata in vigore di due normative europee che pongono una forte attenzione sulla sicurezza della supply chain di cui tantissime di queste Pmi sono parte integrante. Il riferimento è al Regolamento Dora, per la resilienza del sistema finanziario europeo, e alla Direttiva Nis 2, destinata a elevare il livello di cyber security delle infrastrutture critiche, ma non solo.

Lo scenario che si apre per il sistema delle Pmi italiane non è più soltanto quello di subire un attacco che le metta in ginocchio, ma anche la concreta possibilità di trovarsi a scalare rapidamente e verso il basso le classifiche dei fornitori di grandi aziende

e pubbliche amministrazioni di tutta Europa che

progressivamente dovranno introdurre proprio la cyber security come elemento qualificante dei propri partner. Tra la fine

del 2024 e l’inizio del 2025 centinaia di migliaia di aziende italiane potrebbero trovarsi alle prese con una tempesta, magari non perfetta, ma senza dubbio terribilmente lunga.

Esperto di cyber security