Sono passati tre anni da quello che è stato definito il più massiccio ricorso al digitale nella storia dell’uomo. La digitalizzazione continua a correre, non si è tornati indietro allo smart working, anzi, il lavoro diventa sempre più virtualizzato. Si è poi visto con ChatGPT cosa è ora possibile fare con l’intelligenza artificiale istruita su una raccolta massiva di contenuti del web. Hanno cominciato a diffondersi gli attacchi deepfake, che simulano persone note e mettono definitivamente in crisi il riconoscimento di cosa è reale e cosa no. In definitiva, il rischio informatico è continuamente sul punto di sfuggire al nostro controllo.

Da tempo si invoca da più parti un completo cambio di passo, uno spostamento dell’attenzione sulla “cyber resilienza”, che appare oggi (non solo perché richiesta dalle norme) un obiettivo più realistico da perseguire piuttosto che non la “cybersecurity”. Quest’ultima sta diventando quasi un’illusione, vista la situazione in cui ci troviamo: attacchi molto sofisticati, incidenti caratterizzati da gravità crescente, difficoltà nell’erigere difese sufficienti, perimetro diffuso e situazione complicata da un’eterogeneità di ambienti da difendere, oltre che dalla progressiva perdita di controllo dell’IT almeno su una parte di questi.

Il paradigma è quindi cambiato: cosa serve però per la cyber resilienza? Per rispondere a questa domanda, oltre che per misurare lo stato attuale di maturità delle aziende italiane, è stata condotta un’indagine, la survey «Cyber Risk Management 2024» di TIG e Cyber Security Angels – CSA (rivolta a gennaio 2024 ad un campione di 166 aziende medio grandi, intervistando chi in azienda si occupa della gestione quotidiana della cybersecurity). L’indagine sarà presentata nel corso del CYBERSECURITY SUMMIT 2024 di TIG, il prossimo 29 febbraio a Milano. Anticipiamo qui i principali risultati.

• GLI ATTACCHI CYBER SONO OSSERVATI IN GRAN NUMERO.
  Tutte le aziende (il 95% secondo la survey) ha osservato attacchi di phishing, il 52% spam / botnet; il 44% smishing/vishing; il 39% malware e il 36% CEO Fraud / Business email compromise. In media le aziende osservano 4,2 diverse tipologie di minacce nel corso di un anno.

• IL RANSOMWARE È UN’EPIDEMIA CHE NON SI FERMA.
  Una quota significativa di aziende (il 34%) afferma di aver subito in passato almeno un attacco ransomware: nel caso di aziende di grande dimensione, questa quota sale al 38%. Il ransomware preoccupa molto le aziende per i numerosi impatti negativi, da quello reputazionale, a quello economico, alla difficoltà nel ripristino dei sistemi. In molti casi poi il pagamento del riscatto ancora avviene: rispondendo alla survey, il 59% delle aziende ha dichiarato che è disposta a pagare il riscatto se non è possibile recuperare i dati in altro modo. Solo il 36% delle aziende è contrario al pagamento del riscatto in qualsiasi circostanza.

• METTERE IN SICUREZZA L’INTELLIGENZA ARTIFICIALE.
  Un tema che è emerso con prepotenza nell’ultimo anno è stato l’arrivo su larga scala delle applicazioni AI e dell’AI generativa. Dal punto di vista del Responsabile della cybersecurity, l’utilizzo dell’AI può comportare numerosi rischi di cybersecurity: al primo post, violazioni della privacy (52%); attacchi basati su AI (es. deepfakes) (52%); la produzione di risultati non corretti (47%) o i comportamenti imprevisti (46%). Le aziende stanno però già reagendo: al fine di mitigare i rischi legati all’AI, si orientano infatti verso azioni mirate come la formazione del personale (54%) e la valutazione accurata del rischio di sicurezza associato all’AI (49%).

• COMPLIANCE EUROPEA ALLE PORTE.
  Manca poco tempo all’entrata in vigore di molte nuove norme europee. L’arrivo del regolamento europeo DORA (Digital Operational Resilience Act), la cui applicazione è prevista entro il 17 gennaio 2025, e della direttiva NIS2, entro il 17 ottobre 2024, introducono importanti responsabilità per il Board delle aziende: se un’impresa non rispetterà la NIS2, ad esempio, potrà subire una sospensione delle autorizzazioni, delle concessioni, il CEO potrà essere sospeso dal suo ruolo. E con la NIS2, i settori impattati che rientrano nel perimetro cibernetico saranno molti di più, comprenderanno l’industria, l’agroalimentare, il chimico e il farmaceutico, che in Italia pesano molto. Le aziende si stanno preparando? Il percorso verso la conformità alle nuove norme europee è in divenire: solo un 7% delle aziende è già conforme, il 37% sta iniziando a muovere i primi passi. Quasi un quarto delle aziende non sa quali azioni intraprendere per essere conformi. Le aziende si mostrano mediamente mature su molti degli ambiti oggetto della nuova compliance europea, primo fra tutti l’autenticazione a più fattori. Ancora molto da fare invece per quanto riguarda la sicurezza della supply chain. 

• PER LA CYBER RESILIENZA SERVIREBBE UNO SFORZO COMUNE E COORDINATO.
  Al momento però solo un 44% delle aziende si è posto il tema di collaborare attivamente con tutte le aree di business potenzialmente coinvolte, in modo da aumentare il controllo. Per i responsabili della cybersecurity, la cyber resilienza si ottiene oggi con la formazione (81% degli intervistati), la tempestività della risposta (73%), test e simulazioni (63%) per verificare il livello di preparazione, visibilità estesa (55%) e threat intelligence (53%). Sono queste secondo i più le parole chiave di una efficace strategia per incrementare la cyber resilienza.

In conclusione, i gap da colmare per raggiungere una maggiore cyber resilienza sistemica sono numerosi: il problema è che dovremmo farcene carico tutti, non si può più demandare la cybersecurity a una singola area dell’azienda. E’ una responsabilità e un compito che deve essere condiviso.