A cura di Elena Vaciago, Associate Research Manager, The Innovation Group

Qual è il costo per le aziende legato al cyber crime?

Una stima condivisa del costo del cyber crime è quella di 400 miliardi di dollari all’anno (effettuata nel 2014 da CSIS, Center for Strategic and International Studies, confermata da Lloyds[1]), un valore che corrisponde a circa l’1% del PIL globale e che quindi porta questo tipo di attività criminale allo stesso livello di altre che hanno forte impatto economico, dal narcotraffico a contraffazione e altri crimini internazionali. Un costo che potrebbe quadruplicarsi nel giro di pochi anni, arrivando a valere 2.000 miliardi di dollari nel 2019[2].

Quali sono tutte le componenti di costo del cyber crime? Vanno considerati sia i costi diretti sia quelli indiretti dovuti a:

• Perdita/ furto di asset finanziari, di informazioni personali e di business
• Perdite per sottrazione di brevetti o, più in generale, di Intellectual Property
• Posti di lavoro persi a causa di crimini cyber
• Perdita di produttività
• Costi addizionali per mettere in sicurezza i sistemi informatici e le reti
• Spese per il ripristino a seguito di un attacco cyber, quindi costi per danni fisici, legati al danno di reputazione e costi legali, digital forensic e investigazioni, costi legati a cause intentate da clienti e terze parti. Costi per servici di Credit Monitoring e invio nuove carte di credito per frodi di tipo finanziario. Costi per sanzioni da enti governativi/di regolamentazione.

Consideriamo invece quale può essere il costo di un incidente cyber per una singola azienda. Nel 2016 Ponemon ha stimato un costo medio totale per data breach (sulla base dell’analisi effettuata su un campione di 64 aziende USA) pari a 7 milioni di dollari[3], in crescita del 7% rispetto all’analoga stima del 2015. Va detto subito però che se questo è il valore medio, nella pratica ci possono essere elevate fluttuazioni:

• Il gruppo inglese TalkTalk, un anno fa, in seguito all’attacco cyber con perdita di dati per 156.959 clienti, ha stimato un costo una tantum di 53 milioni di dollari[4]. Si sarebbe trattato delle spese legate alla perdita di fatturato di ecommerce (il sito della società è rimasto inaccessibile per 3 settimane), costi aggiuntivi per IT e tecnologie, maggiori chiamate al call center, costi legati all’Incident Response.
• Morgan Stanley di recente si è accordata per pagare una multa di 1 milione di dollari dopo la compromissione di 730.000 account per un insider threat.
• Yahoo sta solo ora cominciando a calcolare quale sarà il costo del suo data breach per … Secondo un report recente della società, potrebbe arrivare a costare 1 miliardo di dollari (almeno, questa è la cifra che Verizon vorrebbe considerare come “sconto” per la sua offerta da 4,8 miliari di dollari per l’acquisto della società).

Le principali componenti del mercato cybersecurity

I mercati verticali che contribuiscono maggiormente alla spesa in Cybersecurity sono quello bancario/finanziario e quello aerospazio/difesa/intelligence. Seguono in termini di spesa il settore manifatturiero e quello della Pubblica Amministrazione. I Telco sono singolarmente dei Big Spender sul fronte della sicurezza delle reti (Network security, tuttora il segmento di mercato più importante sul fronte delle tecnologie per la sicurezza ICT). Un settore che sta emergendo come molto sensibile al tema, che necessariamente dovrà attrezzarsi maggiormente in futuro sul fronte cybersecurity, è quello sanitario, che è stato colpito nell’ultimo anno da numerosi attacchi con sottrazione di informazioni sanitarie sui pazienti, oltre che da numerose attività ransomware (segnale indicativo del fatto che in molte strutture sanitarie non erano previste misure minime per la difesa da comuni malware).

Il conteggio 2016 sull’incremento del numero di data breach negli USA, a cura dell’ Identity Theft Resource Center (ITRC),  riporta 858 data breaches (con esposizione di quasi 30 milioni di record dall’inizio dell’anno) misurando quindi una crescita del 26% rispetto al 2015 nelle attività del cyber crime. Il settore delle aziende private ha registrato il maggior numero di incidenti con data breach (354, il 43,8% del totale), ma la crescita più rapida degli incidenti è quella registrata dal settore sanitario (293 data breaches, il 36,2% del totale).

Le nostre previsioni per la Cybersecurity nel 2017

L’esperienza degli ultimi anni ci ha insegnato che gli effetti degli attacchi cyber sono diventati nel tempo potenzialmente sempre più devastanti, via via che i criminali del cyberspazio si sono dotati di competenze tecniche, strumenti, finanziamenti e capacità organizzative più ampie. Le attuali strategie di contrasto del cyber crime sono molto inefficaci e presumibilmente questo trend è destinato a durare, fino a quando non assisteremo a un migliore coordinamento internazionale sul fronte dell’identificazione degli hacker e del law enforcement. Nel frattempo, quello a cui assisteremo, forse anche dal prossimo anno, sarà:

• Un proseguimento degli attacchi rivolti a grandi organizzazioni, che dovranno essere preparate a gestirli quasi quotidianamente con procedure efficienti di Incident Response per evitare danni gravi al business.
• Il rafforzamento delle strategie nazionali per il contrasto di azioni di cyber war state-sponsored che sono oggi in grado di impattare non solo il cyber space ma anche il mondo reale, fisico, con conseguenze sulla stessa vita delle persone[5].
• La diffusione a livello pubblico sempre più ampia di dati personali (sanitari, account cloud, finanziari, …), ottenuti tramite accessi illeciti e data breach, metterà in luce la scarsa attenzione di molte aziende sul fronte di una corretta Data governance & protection.
• Avremo evidenza di come anche servizi critici (luce, acqua, gas, TLC, trasporti) possono essere messi in crisi da un attacco cyber con ripercussioni a cascata e danni enormi per la comunità[6].
• Continuerà ad essere al centro del dibattito pubblico il conflitto intrinseco tra la domanda di Privacy dei singoli cittadini, fortemente sottoscritta dalle stesse norme internazionali, e la richiesta di sorveglianza e intelligence necessaria invece ai Governi nazionali a supporto delle attività di difesa, contrasto del cyber crime, law enforcement e antiterrorismo.

Leggi anche “L’evoluzione del mercato per la Cyber Security – Prima parte”