La sicurezza informatica in Italia nel 2023:
emergenze e sfide per le PMI
Da dodici anni, il Clusit fornisce un quadro approfondito sulla sicurezza informatica in Italia e nel resto del mondo. In questo articolo esaminiamo l’ultimo rapporto, aggiornato a Ottobre 2023 (fonte), che rivela una realtà allarmante. La sicurezza informatica in Italia ha registrato un netto peggioramento, che impatta in modo particolarmente critico le PMI.
A fronte di una tendenza negativa che coinvolge la maggior parte dei Paesi mondiali e europei, l’Italia si distingue per un divario più marcato e preoccupante: dal 2018, gli attacchi informatici hanno conosciuto un drammatico aumento dell’86%. Cerchiamo di scoprire perché e quali sono gli strumenti a disposizione delle aziende per difendersi.
La situazione della sicurezza informatica in Italia nel 2023
Come afferma Gabriele Faggioli (Presidente del Clusit) nella prefazione, la situazione è frustrante, soprattutto se si pensa a tutti gli sforzi normativi, economici, formativi, mediatici e sociali che sono stati fatti negli ultimi anni.
Particolarmente preoccupante è l’impennata che si è verificata nei primi sei mesi del 2023, durante i quali si è assistito al 26% degli attacchi noti gravi dal 2018.
Questo tasso di crescita esponenziale è proprio uno degli elementi di maggiore preoccupazione, perché è una situazione esclusivamente italiana. Infatti, mentre a livello globale si registra una crescita del 21%, in Italia gli attacchi sono cresciuti del 169%. In altre parole: gli attacchi informatici in Italia rappresentano il 9,6% degli attacchi a livello globale.
Ricordiamo che il rapporto Clusit esamina esclusivamente gli attacchi riusciti: si può supporre che il numero complessivo di attacchi globali sia simile, ma che in Italia quelli andati a buon fine siano più numerosi.
È probabile che ci siano due potenziali cause per questi dati. Prima di tutto, la particolare composizione del tessuto economico e sociale italiano, composto da microimprese per il 95%, che sono tipicamente prive delle competenze e delle risorse necessarie per difendersi.
In secondo luogo, la rapida spinta alla digitalizzazione, al cloud e all’innovazione degli ultimi tre anni ha colto impreparate numerose imprese, provocandone l’aumento delle vulnerabilità e di conseguenza gli attacchi andati a buon fine. Queste dinamiche trovano riscontro nei dati del 2023, che rivelano un aumento degli attacchi in quasi tutte le aree merceologiche rispetto al 2022.
> Leggi anche: Cloud Security: quali sono i rischi e i consigli per affrontarli
Le tipologie di attacchi informatici nel 2023
Malware e Ransomware continuano ad essere la principale tecnica di attacco utilizzata dai cyber criminali, ma si nota un calo rispetto al 2022.
Preoccupante è invece la crescita registrata dagli attacchi DDoS in Italia, che passano al 30% nel primo semestre del 2023 (nel 2022 erano pari solamente al 4%).
Aumentano anche gli attacchi di phishing e di Social Engineering, che incidono maggiormente in Italia rispetto alla media globale (14% vs 8,6% globale). Questo dato è indice di una forte necessità di sensibilizzazione e aumento della consapevolezza rispetto alle minacce cyber da parte degli utenti che hanno quotidianamente a che fare con i sistemi informatici.
> Leggi anche: Malware e Malware Analysis: tipologie e strumenti open source
Questi dati sollevano diverse ipotesi: in primo luogo, sembra che gli attaccanti stiano adottando modalità e obiettivi diversificati, raggiungendo con successo i loro scopi attraverso tecniche più varie. In secondo luogo, l’assenza di attacchi avanzati è sintomo della consapevolezza dei malintenzionati di una scarsa capacità di difesa delle vittime: hacker e attaccanti, in Italia, raggiungono i propri obiettivi in meno tempo e impiegando meno risorse rispetto al resto del mondo.
Cyber Security e PMI
La buona notizia è che la maggior parte delle PMI ha dedicato del personale all’IT.
La cattiva notizia è che solo il 20% delle aziende dispone di personale interno specificamente dedicato alla cyber security. Ancora più inquietante è la constatazione che, in oltre un terzo delle aziende coinvolte nella ricerca, non vi è alcuna figura identificata, né interna né esterna, responsabile della sicurezza informatica. Si presume che qualcun altro, forse prelevato da altre mansioni, si occupi di questa componente essenziale, con competenze e preparazione incerte.
In un contesto dove ci si aspetterebbe la presenza di team o aziende esterne specializzate in cyber security, la realtà è deludente. Il rapporto mette in luce un vuoto significativo in questo ambito, evidenziando un’urgente necessità di investimenti in expertise esterna per contrastare le minacce informatiche in rapida evoluzione.
Puoi affidare a noi la sicurezza informatica della tua azienda.
Il rapporto del Clusit evidenzia poi, come negli ultimi tre anni, il 37% delle PMI coinvolte nella ricerca ha subito attacchi informatici (in aumento rispetto al 28% del rapporto di marzo 2023). È allarmante pensare che, di fronte a questa continua crescita del numero di aziende colpite, il 53% di esse non ha intrapreso alcuna preparazione preventiva.
Persino le aziende che hanno subito attacchi non hanno implementato procedure formali di sicurezza informatica.
> Scopri 5 controlli fondamentali per la sicurezza informatica delle PMI
Fattore umano, formazione e Cyber Security
Secondo il Rapporto Clusit, “il panorama della formazione è […] abbastanza triste”.
Un terzo delle aziende fa formazione in ambito cyber security, e di queste solo poco più della metà lo fa in modo regolare. In altre parole solo in un’azienda su sei viene dedicata sufficiente attenzione a questo tema.
Citando letteralmente il rapporto :
“Ricordiamo che le persone sono la prima linea di difesa, ed anche l’ultima.”
Secondo il report “ENISA Threat Landscape 2023” (Fonte), il 74% delle violazioni ha coinvolto l’elemento umano. In particolare, il 50% degli attacchi di ingegneria sociale che hanno successo si basa su pretesti che sfruttano la paura e l’urgenza, costruendo storie verosimili che creano un falso senso di fiducia. Sulla base di questi dati, è evidente che la sicurezza di aziende e enti deve necessariamente passare per una formazione metodologicamente e strategicamente strutturata, gestita come un vero e proprio asset aziendale.
Per delineare il primo perimetro di difesa da un attacco di phishing o di Social Engineering (che ricordiamo rappresentano il 14% degli attacchi in Italia) non serve possedere delle competenze tecniche specifiche. È sufficiente che il personale che opera su computer sia consapevole e adeguatamente formato per riconoscere segnali di allarme ed eviti di cliccare su link sospetti o non lasci password d’accesso appiccicate sui post-it al computer, oppure ancora, garantisca l’accesso ai sistemi informatici aziendali solo dopo aver verificato l’autenticità della richiesta e l’identità della persona.
Allo stesso modo, informare i dipendenti su come riconoscere attacchi DDoS e malware e implementare le best practices per la gestione e l’aggiornamento delle password può notevolmente aumentare la consapevolezza e la prontezza a rispondere agli allarmi. Ad esempio, un dipendente che riconosce un possibile attacco e si disconnette dalla VPN o dalla rete aziendale contribuisce significativamente a ridurre la diffusione del malware e il successo dell’attacco.
Il fattore umano è l’asset più rilevante di ogni realtà e deve essere gestito come tale, fornendogli cioè gli strumenti per difendersi, per capire e per essere consapevole delle minacce alla sicurezza informatica aziendale.
Per rendere consapevoli i dipendenti del rischio delle minacce informatiche, puoi partire dal Corso Cyber Security Awareness.