Le aziende di sicurezza informatica che vendono sistemi difensivi suggeriscono alle aziende le soluzioni più costose e non quelle migliori.
Questo è quanto si legge nella relazione annuale della Banca D’Italia diffusa il 29 maggio 2018. La spiegazione secondo il rapporto è che «due imprese su tre dichiarano di istruire i dipendenti sull’uso sicuro dei dispositivi informatici, più della metà di svolgere analisi sulla vulnerabilità delle reti, mentre solo un terzo ricorre alla cifratura dei dati, una pratica meno costosa rispetto alle altre, ma assai efficace». L’ipotesi che gli estensori fanno è l’esistenza di un’asimmetria informativa che penalizza i clienti e avvantaggia i fornitori, proprio come accade in molti contratti bancari e assicurativi.
A proposito dei contratti assicurativi, l’altro problema che emerge nella relazione è che il mercato delle assicurazioni contro il rischio cibernetico in Italia è poco sviluppato. Il motivo è che assicurare un’azienda contro interruzioni di servizio, databreach e ransomware non è vantaggioso. Almeno per due motivi. Il primo è che non esiste ancora una casistica storica abbastanza ampia per formulare adeguatamente il costo della polizza; il secondo è che le imprese decidono di rivolgersi alle Assicurazioni quando hanno appena subito un danno rilevante e questo porta gli assicuratori a utilizzare l’evento passato come principale misura del rischio rendendoli indisponibili a coprirlo.
Questo non va bene. D’altro canto i dati dell’ultimo capitolo del rapporto dedicato al rischio cibernetico (pp 214-227) dimostrano che per quanto riguarda la mappa del rischio il sistema produttivo nazionale investe troppo poco anche a fronte di danni ingenti che ne rallentano l’operatività e ne aumentano i costi di servizio dopo l’attacco. Il sistema però è molto eterogeneo, a macchia di leopardo, in quanto «la spesa mediana per impresa in misure difensive si colloca sui 4.530 euro, circa il 15 per cento della retribuzione annuale lorda di un lavoratore con mansioni non dirigenziali. Esistono significative differenze tra settori: per le imprese a basso contenuto tecnologico tale spesa non arriva a 3.500 euro, mentre è più alta tra le imprese più grandi; nel comparto Ict oltrepassa i 19.000 euro».
Poiché la probabilità che un’impresa subisca un attacco informatico dipende sia dal valore dei dati custoditi e dalla sua esposizione sul web, sia dalla capacità di difendersi, le imprese Ict e quelle di grandi dimensioni sono portate a spendere di più. Però per queste ultime i dati del 2017 mostrano che è più elevata anche la frequenza delle intrusioni.
Le imprese ad alto contenuto tecnologico non appartenenti al settore Ict attraggono gli attacchi al contrario delle imprese a bassa tecnologia ma, diversamente da quelle del comparto Ict, non hanno ancora sviluppato una sufficiente capacità di difesa. «Questa circostanza sembra confermata dal fatto che le aggressioni informatiche sono più frequenti tra le imprese che fanno ricorso all’e-commerce e al cloud computing, così come ai dispositivi dell’internet delle cose; sono meno frequenti tra quelle che impiegano tecnologie basate sull’intelligenza artificiale».
Tuttavia anche le aziende Ict non possono stare tranquille, il punto di attacco spesso non sono loro, ma i fornitori più piccoli della supply chain, rischio che il progetto Filiera Sicura del Cini, in collaborazione con Cisco e Leonardo vorrebbe scongiurare.
Azienda avvisata, mezza salvata.