Cybersecurity
Cybersecurity: a rischio le PMI, Mirko Gatto (Var Group) racconta
L’aumento degli attacchi informatici, ransomware ma non solo pone una sfida crescente anche alle PMI. Come sta evolvendo lo scenario? Come gestire il rischio? Ne abbiamo parlato con Mirko Gatto, Head of Cybersecurity di Var Group, ci spiega come le aziende possono agire a riguardo.
E’ stato rilevato un aumento del rischio di cyberattack, lo scenario internazionale che ruolo ha?
Lo scenario sta cambiando ancora e la cybersecurity è direttamente connessa con tutto quello che accade a livello politico e geopolitico, con ricadute concrete.
Noi abbiamo visto un aumento degli attacchi nell’ultimo mese verso aziende italiane e soprattutto da soggetti che sono riconducibili all’Est Europa. Ovviamente non c’è mai l’assoluta certezza della provenienza dell’attacco anche se alcuni gruppi vengono talvolta identificati.
Come modus operandi, possiamo affermare che la richiesta di un riscatto è un’attività riconducibile all’Est Europa (spesso Russia). Il tema dello spionaggio industriale, invece, ha una connotazione cinese.
C’è stata una ricaduta, gli attacchi sono aumentati, la seconda cosa che si può vedere è che sono diventate più determinate queste cyber-gang, con richieste di riscatto che sono salite notevolmente come ammontare totale. Prima il riscatto medio di un’azienda, anche di fascia Enterprise (nel momento in cui l’azienda decide di transare per non avere un danno reputazionale) ammontava dai 500.000 euro al milione di euro, ora si arriva anche a 5-6 milioni di euro richiesti.
Prima gli attacchi si concentravano su aziende di fascia Enterprise (400/500 postazioni di lavoro in su), ora questo target si è abbassato, colpendo anche piccole aziende e anche delle attività in dettaglio. Ristoranti, piccoli hotel. Con riscatti che sono proporzionali alla dimensione del fatturato di queste aziende.
Che cosa mette a rischio le piccole e medie imprese? Quali sono i punti deboli?
I punti più deboli sono più o meno gli stessi anche per il mondo Enterprise, ovviamente con volumi e scale diverse. Il primo fattore che accomuna un po’ tutti questi attacchi, è il fattore umano: la persona che sbadatamente clicca su una mail e inserisce le credenziali, per esempio, e questo rimane il principale fattore di attacco sia sul mondo Enterprise sia su aziende molto piccole.
Sulle aziende molto piccole c’è anche un tema legato al budget: mentre sul mondo Enterprise è generalmente presente una strategia di cybersecurity, nelle aziende di piccole dimensioni è già tanto se troviamo un buon antivirus o un firewall.
Con questo tipo di target i cyber-criminali agiscono con un approccio di “pesca a strascico” che su attacchi mirati che invece caratterizzano il mondo Enterprise e possono prevedere anche una preparazione metodica che può durare anche mesi
Dopo aver presentato quelli che sono i problemi, possiamo dare alcuni consigli alle piccole imprese? Che cosa si può fare in ottica di prevenzione in cybersecurity?
La raccomandazione minima che mi sento di dare è avere un firewall, un sistema di antivirus evoluto, di tenere i sistemi sempre aggiornati, utilizzare l’autenticazione di due fattori implementata da tutti i vendor e un sistema di backup molto efficiente (possibilmente che sia isolato dal resto della rete).
Questo per la prevenzione, qualora invece si verifichi l’incidente come procedere?
Effettuare denuncia alle autorità competenti. La polizia postale ed eventualmente, nel momento in cui si verificano transizioni di dati sensibili o dati personali, denuncia il garante della privacy. Se l’azienda è sotto direttiva NIS2 va notificata e informata anche l’Agenzia nazionale per la Cyber security.
Con la nuova normativa NIS2 ci sono delle maggiori complessità per le imprese? Ci sono dei maggiori rischi? Penso ad esempio lato sanzionatorio
Il quadro normativo è cambiato completamente. La legge aggiunge uno strato di complessità, ma la necessità di mettersi a norma è un’opportunità per l’azienda per investire in cybersecurity e considerarla come un asset strategico da proteggere.
Qual è il ruolo degli advisor di cybersecurity? Nel tessuto di piccole medie imprese, che abbiamo detto essere un target, si sta diffondendo la consapevolezza dell’utilità di questo tipo di supporto?
Partendo dalla seconda domanda, no. Se mentre sulle aziende di fascia Enterprise posso dire che la sensibilità è aumentata, nel segmento small (da uno a 10 dipendenti) questo tipo di sensibilità è quasi zero. Queste imprese si comportano come se non fossero a rischio e credono di essere non di interesse.
Però invece sappiamo che magari l’impresa ha meno di 10 dipendenti, però ha i macchinari connessi e ha comunque tanti rischi anche di disruption operativa.
Soprattutto gli attaccanti si muovono in modo opportunistico e con l’interesse a colpire un numero maggiore di PMI, anche con un riscatto più basso rispetto alla fascia Enterprise. Questo consente loro di raggiungere ugualmente gli obiettivi di revenue.
C’è il tema della falsa percezione interna, perché molte aziende in realtà hanno fatto degli investimenti in ambito cybersecurity ma non messi a sistema correttamente. Per le imprese è un’opportunità avere gli advisor qualificati che riescono a censire il lavoro che è stato implementato all’azienda. Molte volte le aziende son convinte di aver fatto gli investimenti corretti e magari li hanno fatti pure, però con il partner sbagliato.
Perché per fortuna la cybersecurity è diventata un’opportunità di mercato e quindi una commodities. In molti si stanno buttando in quest’ambito e di conseguenza è un ambito dove non si può improvvisare e questo può diventare un punto di debolezza per le aziende.
Talvolta l’impresa implementa le soluzioni di cybersecurity relative a delle specifiche applicazioni, perché comunque il vendor gliele fa installare. In assenza di una visione strategica a livello di impresa e nonostante le diverse soluzioni implementate da qualche parte può rimanere un buco. È una situazione che vedi tra le imprese?
Assolutamente vero, manca proprio la visione strategica e il quadro strategico complessivo. Può capitare che le imprese facciano delle attività che sono fini a se stesse senza una visione d’insieme.
