A maggio 2018 entrerà in vigore il nuovo regolamento generale sulla protezione dei dati (GDPR) e le PMI avranno maggiori responsabilità per il modo in cui acquisiscono, conservano e gestiscono i dati dei clienti a lungo termine o rischiano ingenti multe fino al 4% del proprio fatturato annuo e fino a €20 milioni per non conformità.
Secondo Affinion, specialista in soluzioni di customer engagement, si stima che il numero delle credenziali rubate sia pari a 1,5 miliardi, cifra in perenne crescita, e che le vittime di crimini informatici siano più di un milione al giorno. Il Rapporto Italia Eurispes 2017 stima che gli attacchi informatici causino alle imprese italiane danni per 9 miliardi di euro l'anno.
I dati delle PMI, che rappresentano circa il 90% delle imprese in Italia, stanno diventando quindi sempre più preziosi per i cyber criminali. Sono più a rischio di attacchi informatici e soprattutto, possono essere impediti?
In Italia il 2016 è stato complessivamente l’anno peggiore di sempre in termini di evoluzione delle minacce “cyber” e dei relativi impatti, secondo il Rapporto Clusit 2017 sulla sicurezza ICT. Non solo dal punto di vista quantitativo, ma anche e soprattutto da quello qualitativo. Rispetto al 2015, nel 2016 la crescita percentuale maggiore di attacchi gravi si osserva nelle categorie “Health” (+102%), “GDO/Retail” (+70%) e “Banking / Finance” (+64%), seguite da “Critical Infrastructures” (+15%).
Ecco secondo Affinion le cinque trappole per la sicurezza informatica che anche le PMI potrebbero dover fronteggiare:
1) Phishing mirato
Il Cyber Crime non colpisce solo grandi imprese con elevati turnover e molti dati da rubare. Symantec ha scoperto che il 75% delle PMI, rispetto al 35% delle grandi aziende, è stato vittima di phishing. Il phishing mirato è un attacco di posta elettronica, in cui un'email che richiede informazioni riservate apparirà come qualcuno che il destinatario conosce personalmente, come un collega con un certo livello di autorità. In realtà, la persona dietro l'email è un cyber criminale.
2) Ransomware
Ransomware è il termine usato per i virus informatici che minacciano di eliminare importanti file aziendali a meno che la società paghi un riscatto. Ne è un recente esempio l'attacco WannaCry che ha colpito grandi aziende e organizzazioni pubbliche.
Tuttavia, gli attacchi di ransomware sulle PMI sono in aumento, soprattutto perché si ritiene che siano obiettivi più improbabili.
Dal Rapporto Clusit emerge che i ransomware sono responsabili di circa il 30% degli attacchi gravi realizzati con malware semplice e i malware per sistemi operativi mobili, che contano per circa il 20% del totale (7% diretti verso piattaforma iOS, 13% per piattaforma Android). Quest'ultima tipologia di attacco, in particolare, sembra godere di una sorta di "immunità", dal momento che moltissimi dei dispositivi oggi utilizzati è sprovvisto di qualsivoglia misura di sicurezza (anche la più semplice, come un antivirus Android o antivirus iOS).
3) Hotspot Wifi pubblici
Lavorare per strada è sempre più comune e per questo si sfruttano gli hotspot pubblici disponibili. Secondo Ofcom il 77% delle persone crede che il Wifi pubblico sia altrettanto sicuro quanto la propria connessione internet personale. Ma se si tratta di un caffè o di accedere alle e-mail in movimento, i criminali possono attaccare le connessioni hotspot pubbliche e commerciali di Wifi per rubare dati sensibili.
4) Furto d’identità
È facile che i consumatori siano a rischio di furto d'identità. Da un’indagine mondiale commissionata da IBM Security a Ponemon Institute cala in media il costo di una violazione che coinvolge i dati di un’azienda (i cosiddetti data breach), ma in USA e in Italia la tendenza è opposta. Il costo medio per ogni record perso o rubato contenente informazioni sensibili e riservate è aumentato da €112 nel 2016 a €119 nel 2017. Il costo totale medio di violazione dei dati è aumentato nel corso dell'anno da €2,35 milioni a €2,60 milioni.
5) Mancanza di preparazione
Una delle trappole più mortali in cui le PMI possono cadere è la mancanza di preparazione. Senza intraprendere alcuna forma di azione preventiva, gli attacchi informatici possono portare a conseguenze pesanti per aziende di tutte le dimensioni che non prendono seriamente in considerazione il tema della protezione dei dati.
Mentre il boom degli attacchi è evidente, per una PMI la prevenzione è qualcosa che può rapidamente cadere in fondo a una lunga lista di priorità. Per quanto riguarda gli impatti, il Rapporto Italia Eurispes 2017, evidenzia come gli attacchi informatici più temuti dalle piccole e medie imprese siano il furto dati dei clienti (20%), i danni alla reputazione aziendale (17%), i furti di denaro (11,5%), quelli di identità (7,5%) e la sottrazione dei dati dei dipendenti (6,5%)
Secondo Affinion, sono tre i maggiori rischi a cui un attacco informatico espone un business:
1) Costi e sanzioni
Le PMI sono ugualmente un obiettivo come le grandi società, sia perché si percepiscono come meno suscettibili, sia perché sono sempre più intrecciate con il mondo online. Le PMI in genere non dispongono di grandi risorse e conoscenze per prevenire gli attacchi; per esempio, possono non avere un reparto IT dedicato o esperti legali, rendendole così particolarmente vulnerabili. Da maggio 2018 entrerà in vigore il regolamento generale sulla protezione dei dati e saranno previste multe alle società che non prendono misure in merito alla protezione dei dati. Per coloro che non ne terranno conto, le sanzioni potrebbero essere paralizzanti.
2) Interruzione del business
Per ogni PMI il tempo è prezioso e un attacco informatico può rapidamente portare alla perdita di tempo. Le ripercussioni possono essere seriamente dannose se un’azienda non dispone di metodi di prevenzione, di tempo e di investimenti necessari per riparare eventuali danni. Secondo un nuovo studio – “Cost of Cyber Crime Study” – pubblicato recentemente da Accenture e dal Ponemon Institute, i costi legati all’interruzione dell’attività – quali ad esempio quelli relativi a malfunzionamenti dei processi aziendali – sono scesi dal 39% nel 2015 al 33%.
3) Responsabilità reputazionale, perdita di fiducia e fedeltà dei clienti
Come per tutte le aziende prive di misure di prevenzione della sicurezza informatica, le PMI rischiano di esporre le informazioni personali dei propri clienti, perdendo la loro fiducia e distruggendo la loro reputazione., Le vittime di crimini informatici sono molto più propensi a sviluppare una percezione negativa di un'azienda che non è in grado di proteggere se stessa e i suoi clienti. Pertanto, un attacco informatico non ha solo effetti negativi sulla PMI che ne è vittima, ma anche sui suoi clienti.
Come difendersi?
Esistono soluzioni proattive e preventive alla criminalità informatica per aiutare le imprese. La prevenzione è migliore della cura: un attacco può interrompere l'attività e distruggere la reputazione. Oggi esistono soluzioni preventive, anche gratuite, spesso offerte da assicurazioni o banche, che possono aiutare le aziende a monitorare il web, i social media e il dark web fornendo avvisi in caso di attività sospette o di attacchi IT professionali.