I cyber attacchi preoccupano le imprese italiane, che stanno investendo per prevenire e gestire le crisi informatiche. Così, il mercato della difesa cyber nel settore privato nelle imprese dell’industria e dei servizi non finanziari con 20 dipendenti o più è arrivato a valere circa 570 milioni di euro.
Tuttavia la strada da percorrere per raggiungere livelli di protezione adeguata è ancora lunga. A dirlo è un nuovo studio firmato da Claudia Biancotti per Banca d’Italia (http://www.bancaditalia.it/pubblicazioni/qef/2017-0407/QEF_407.pdf). Si tratta di un occasional paper, fondato sui dati di alcune indagini annuali dell’istituto, dal titolo “The price of cyber (in)security: evidence from the Italian private sector“.
I NUMERI
Nel 2016 per prevenire gli attacchi informatici l’impresa mediana spendeva una somma modesta (4.530 euro), pari al 15% della retribuzione annuale lorda di un lavoratore rappresentativo. La spesa, si sottolinea, presenta una notevole variabilità tra settori e classi dimensionali, riflettendo differenze tra le imprese in termini di attrattiva per gli attaccanti e consapevolezza della minaccia: i valori mediani variano dai 3.120 euro delle piccole imprese ai 19.080 euro di quelle del settore ICT e ai 44.590 euro delle grandi imprese. Anche gli attacchi subiti in passato costituiscono un importante incentivo all’investimento in sicurezza.
DANNI SUBITI
La maggioranza delle imprese colpite, si legge ancora, ha riportato danni per meno di 10mila euro; lo 0,1% ne ha subiti per almeno 200mila euro. Si tratta probabilmente, secondo il report, di una sottostima: le imprese possono quantificare facilmente i costi di riparazione dei sistemi colpiti, mentre è più difficile misurare l’entità del danno dovuto all’interruzione dell’attività o alla perdita di reputazione. Si pone comunque in evidenza che contenere l’impatto degli eventi rari, ovvero i grandi incidenti, è centrale nel ridurre il costo complessivo degli attacchi cyber per l’economia.
IL COMMENTO
“Nel tessuto produttivo italiano – spiega Claudia Biancotti a Cyber Affairs – cresce l’attenzione alla cyber security, ma c’è ancora molta strada da fare”. C’è, secondo l’autrice dello studio, “una marcata differenza tra il settore ICT, dove gli investimenti sono più consistenti e le misure di protezione adottate più complete, e il resto dell’economia. Non è solo questione di disponibilità a spendere, ma anche di consapevolezza del rischio: quasi l’80% delle imprese ICT cifra i dati, ma tra le altre non si arriva a un terzo, per quanto esistano molte possibilità di cifrare a costi contenuti”. Esiste, prosegue l’esperta, “un piccolo gruppo di testa di aziende che sono molto attraenti per gli attaccanti, ma anche abbastanza preparate da respingerli. Altre non sono riuscite a evitare un’intrusione nell’ultimo anno, ma si sono subito attrezzate per rafforzare le difese. Rimangono però sacche di vulnerabilità, concentrate tra le imprese più piccole e nei settori a bassa tecnologia. Questo configura un rischio per tutti: gli hacker potrebbero far leva sulle debolezze di queste imprese per tentare di colpire chi a loro è collegato nella catena del valore, ad esempio aziende più grandi di cui sono fornitori”.