Cyberattacchi: le PMI svizzere si cullano in un falso senso di sicurezza

Leggiamo e sentiamo continuamente di attacchi informatici di ogni tipo. Sembra che il loro numero sia in costante aumento. Ma quanto sono protette le PMI da questi attacchi provenienti dal cyberspazio? È quanto ha cercato di scoprire un'indagine rappresentativa su 300 amministratori delegati di PMI condotta nel settembre 2o17 dall'istituto di ricerca sociale e di mercato gfs-zürich. Lo studio è stato commissionato, tra gli altri, da ICTswitzerland, dal Comitato Direttivo Federale IT, dalla Società Svizzera per la Sicurezza Informatica ISSS, dall'Associazione Svizzera per i Sistemi di Qualità e Management SQS e dall'Associazione Svizzera di Assicurazione SVV. La selezione delle PMI secondo metodi scientifici consente di applicare i risultati alla totalità delle PMI svizzere (2015: 580.000).

Apparentemente solo poche PMI colpite da cyberattacchi

Alle PMI è stato chiesto innanzitutto di esprimere la propria valutazione dei fattori di rischio. Circa due terzi degli intervistati (62%) considerano il funzionamento continuo dell'IT molto importante per la loro azienda. Ciò significa che un attacco informatico riuscito e la relativa interruzione dell'attività causerebbero già un certo danno. Le PMI descrivono anche il fatto che i dati sensibili, come i segreti aziendali o i dati personali, potrebbero essere rubati come un fattore di rischio. Circa tre quarti degli intervistati archivia tali informazioni internamente. In più della metà delle PMI, è la direzione stessa ad essere responsabile della sicurezza informatica. Ma solo la metà si sente da bene a molto bene informata sui rischi informatici. Secondo gli autori dello studio, questo è un altro fattore di rischio.

Il rischio di cyberattacchi è fortemente sottovalutato dalle PMI, come dimostrano i seguenti risultati dell'indagine: Solo 10 % e 4 %, rispettivamente, ritengono che essere messi fuori gioco per un giorno o addirittura veder minacciata la propria esistenza sia un pericolo grande o molto grande. Più della metà dei CEO intervistati (56 %) si sente ben o molto ben protetto dagli attacchi informatici. Tuttavia: il 36% dichiara di essere già stato colpito da malware (virus, trojan), il 6% da perdita di dati, il 4% da ricatti, il 3% da attacchi DDoS e il 2% da furto di dati. Sembra poco: sulla base delle 301 PMI intervistate, ad esempio, il numero di aziende colpite da ricatti può essere stimato in 23.000 (4%), e il 36% colpito da malware corrisponderebbe a 209.000 aziende in cifre assolute. Ciononostante, più della metà dei CEO intervistati (56 %) si sente ben o molto ben protetto dagli attacchi informatici.

Protezione tecnica disponibile, ma il rischio "dipendente" rimane

Tuttavia, secondo gli autori dello studio, questa protezione contro i cyberattacchi non è affatto sufficiente. Solo il 60 % degli intervistati dichiara di aver implementato completamente le misure di protezione di base, come la protezione da malware, il firewall, la gestione delle patch e il backup. I sistemi di rilevamento degli incidenti informatici sono stati pienamente implementati solo da un'azienda su cinque. Le procedure per la gestione degli incidenti informatici sono state implementate solo da 18 % delle aziende intervistate e la formazione dei dipendenti sull'uso sicuro dell'IT solo da 15 %. Simon Dejung dell'Associazione Svizzera di Assicurazioni è altrettanto preoccupato: "Oltre il 98 % delle aziende svizzere sono PMI e costituiscono la spina dorsale dell'economia svizzera. È quindi di importanza strategica per la Svizzera che queste aziende si proteggano meglio dai rischi informatici".

Ad esempio, sotto forma di assicurazione? Il 12% delle PMI intervistate ha dichiarato di avere un'assicurazione informatica. Secondo Simon Dejung, tuttavia, nella maggior parte dei casi non si tratta di un'assicurazione cyber pura, ma al massimo di una copertura parziale all'interno di un altro prodotto assicurativo. E avverte: "In caso di sinistro, potrebbe emergere che la compagnia assicurativa intende il danno come qualcosa di completamente diverso dal contraente. Per questo motivo è ancora più importante esaminare attentamente la copertura dei nuovi scenari di rischio determinati dalla rete, dalla digitalizzazione e dall'automazione. È importante determinare gli scenari di minaccia corrispondenti e valutare il proprio panorama di rischio prima di scegliere un prodotto assicurativo.

È necessaria una formazione e un coordinamento in materia di sicurezza informatica

Tuttavia, molte PMI sembrano fallire proprio per questo motivo. Gli standard di sicurezza informatica riconosciuti sono per lo più sconosciuti. E ottenere la certificazione secondo standard come l'ISO 27001 è al di là delle risorse della maggior parte delle PMI. Una commissione di esperti composta da rappresentanti del governo federale e dell'economia sta quindi lavorando a standard con la giusta quota per le PMI. "Stiamo adottando un approccio molto pragmatico", assicura Arié Malz, membro di spicco di questa commissione. Oltre alla creazione di standard di sicurezza riconosciuti, ci sono altri obiettivi che devono essere perseguiti in via prioritaria, come spiega Andreas Kälin, direttore generale di ICTswitzerland. Ad esempio, i dipendenti devono essere sistematicamente sensibilizzati all'uso sicuro delle tecnologie informatiche. Inoltre, le PMI devono essere supportate da organizzazioni adeguate per affrontare i rischi informatici e deve essere creato un sistema di allerta precoce per l'intera economia per fornire informazioni sui nuovi pericoli informatici. Si dovrebbe inoltre esaminare se e come sia possibile implementare l'obbligo di segnalare i cyberattacchi. Sono state inoltre annunciate campagne di sensibilizzazione in tutta la Svizzera per il riconoscimento dei rischi informatici.

Fonte: ICTSSvizzera