Il panorama delle minacce informatiche in Italia è in rapida evoluzione, con i cybercriminali che prendono di mira sempre più le persone e non le infrastrutture.
Dalle minacce basate sulla posta elettronica, come gli attacchi BEC (Business Email Compromise), alla compromissione degli account cloud e ai gravi attacchi ransomware, i cybercriminali sono consapevoli che i dipendenti possono essere facilmente ingannati. Utilizzando gli attacchi di social engineering, gli aggressori possono rubare credenziali, dati sensibili e trasferire fondi in modo fraudolento. I dipendenti, di ogni livello e funzione, possono mettere a rischio l’azienda in numerosi modi, dall'utilizzo di password deboli alla condivisione di credenziali, fino all’apertura di link pericolosi e al download di applicazioni non autorizzate.
Per affrontare questo problema, le organizzazioni devono considerare la frequenza con cui vengono colpite, i rischi che questi attacchi comportano, il loro livello di preparazione e, soprattutto, la loro forza lavoro. La formazione dei dipendenti e la consapevolezza della sicurezza fanno spesso la differenza tra un tentativo di attacco e il suo successo.
Per comprendere meglio l'impatto che i cyber attacchi focalizzati sulle persone stanno avendo sulle aziende, Proofpoint, in collaborazione con la community Facciamo sistema – Cybersecurity, ha commissionato un'indagine che ha coinvolto 138 CISO in tutta Italia.
Il sondaggio ha analizzato tre aree chiave:
- Frequenza degli attacchi informatici
- Preparazione dei dipendenti e dell'organizzazione
- Sfide per l'implementazione di strategie informatiche
La ricerca ha rilevato che la necessità di proteggere le persone da minacce imminenti non è mai stata così elevata:più della metà delle organizzazioni italiane hanno subito almeno un attacco informatico l'anno scorso e un’elevata percentuale anche attacchi multipli. Dal buy-in a livello di consiglio di amministrazione, al potenziamento della formazione sulla consapevolezza della sicurezza IT, le aziende in Italia stanno adottando misure per potenziare le loro difese informatiche.
Italia: un panorama di minacce in evoluzione
Non c'è dubbio che le aziende a livello globale si trovino ad affrontare un panorama di minacce in rapida evoluzione, e l'Italia non fa eccezione. La nostra indagine ha rivelato che il 52% delle organizzazioni italiane ha subito almeno un attacco informatico nel 2019, e la maggior parte (41%) ha segnalato molteplici incidenti.
Il phishing è stata la minaccia più rilevante nel 2019 (39%), seguito da Business Email Compromise (28%), minacce interne e credential phishing, entrambi al 22%. Anche la pandemia COVID-19 ha avuto i suoi effetti, con il 26% delle imprese italiane che ha indicato un aumento del numero di attacchi connessi alla pandemia.
I cyber attacchi possono avere un impatto finanziario e sulla reputazione devastante per le imprese. I CISO italiani hanno evidenziato che il danno al marchio/reputazione è la principale conseguenza legata alla sicurezza informatica (87%), seguita dalla perdita di dati (80%) e da interruzioni aziendali/operative (74%).
I criminali informatici modificano costantemente i loro metodi e approfittano di eventi globali e regionali per lanciare i loro attacchi. Ad esempio, il 26% dei CISO italiani ha dichiarato di aver assistito a un aumento di attività fraudulente legate alla pandemia di Covid-19, mentre il 37% ha affermato di aver rivisto i propri processi di cybersecurity per essere più preparati a contrastarli.
Indipendentemente dal vettore o dall'argomento dell'attacco, un elemento rimane invariato: le minacce informatiche prendono sempre più di mira le persone e non le infrastrutture, e purtroppo è sufficiente un clic da parte di un dipendente perché un attacco abbia successo.
A tal proposito, la nostra ricerca ha rivelato che l’85% dei CISO ritiene che i dipendenti possano rendere la loro azienda più vulnerabile a un attacco. Alla domanda su come i dipendenti abbiano messo a richio l’azienda, i CISO italiani hanno risposto: cadendo nella trappola di email di phishing (67%), cliccando su link pericolosi (63%), gestendo in modo inadeguato le informazioni sensibili (46%).
Attenzione puntata sul livello di prepazione
Una difesa informatica robusta richiede una combinazione di persone e tecnologia per avere successo.
Quando si tratta di consapevolezza e formazione sulla sicurezza, la nostra ricerca mostra un forte scollamento tra visione e realtà. Il 50% dei CISO definisce la mancanza di consapevolezza sulle minacce informatiche la loro sfida più grande, mentre il 39% ritiene che la propria azienda dovrebbe investire di più nella formazione e nella sensibilizzazione. Alla domanda sulle maggiori sfide affrontate nell'implementazione di tecnologia di sicurezza, il 57% dei CISO ha evidenziato un significativo divario nelle competenze e nella formazione in materia di sicurezza.
Sebbene i CISO siano evidentemente consapevoli dell'importanza fondamentale della formazione e della consapevolezza (l'83% è fortemente d'accordo, il 93% è d'accordo in totale), il 65% ha ammesso di formare i propri dipendenti una volta all'anno o meno, con uno sbalorditivo 17% che non li ha mai formati. Il risultato probabilmente più grave è rappresentato dal fatto che solo il 17% delle imprese ha un programma di formazione continua.
I CISO sono consapevoli del fatto che investire in una solida difesa informatica sia fondamentale, poiché il 76% vorrebbe avere un budget più elevato per la sicurezza. In generale, i CISO sono abbastanza fiduciosi (63%) che la loro azienda sia ben preparata ad affrontare gli attacchi informatici, e il 59% si fida effettivamente delle soluzioni e delle tecnologie di cui dispone.
Se le tecnologie sono viste dai CISO con fiducia, un potenziale problema sembra emergere all'interno dell'organizzazione, con un netto scollamento tra il consiglio di amministrazione e il personale IT. Mentre il 52% dei CISO è d'accordo sul fatto che la sicurezza informatica rappresenti una priorità per il board, solo il 21% ritiene che i suoi membri siano ben preparati e comprendano le tecnologie necessarie per implementare le giuste difese. D'altra parte, il 54% dei CISO si fida del proprio team di sicurezza e della capacità di affrontarne i temi.
Dal punto di vista organizzativo, i CISO sono sempre più coinvolti a livello di consiglio di amministrazione e contribuiscono a discutere il budget della cybersecurity nel 56% delle organizzazioni italiane, con l'esecutivo coinvolto nel 55% dei casi.
Conclusioni
Indipendentemente dagli strumenti di attacco - email, applicazioni cloud, web, social media - gli autori delle minacce continuano a sfruttare il fattore umano.
Che si tratti di impostori che si spacciano per colleghi fidati, o di email di phishing sempre più convincenti e link pericolosi, sono gli utenti a essere in prima linea nella battaglia contro i criminali informatici.
Ecco perché una strategia focalizzata sulle persone è un must per le aziende. Si parte dall'identificazione degli utenti più vulnerabili e dalla garanzia che siano dotati delle conoscenze e degli strumenti per difendere la vostra azienda.
Affinchè questa stategia sia efficace, è necessario combinare soluzioni tecnologiche di protezione sempre più avanzate, sistemi di controllo e maggiore visibilità a un programma di formazione che deve essere regolare, completo e adattabile e coprire una serie di argomenti - dalle motivazioni e dai meccanismi delle minacce, a come semplici comportamenti come il riutilizzo delle password e l'inadeguata protezione dei dati possono aumentare le probabilità di successo di un attacco.
I cyber criminali sono concentrati - perfezionando sempre più le loro competenze e tecniche. Se non si fa lo stesso, può esserci un solo vincitore.
