SCATTA l’allarme cybersicurezza per le pmi italiane. Una ricerca di Grenke Italia, realizzata in collaborazione con Cerved Group e Clio Security, evidenzia infatti come il 72,7% delle aziende non ha mai svolto attività di formazione in materia, il 73,3% non sa cosa sia un attacco ransomware, il 43% non ha un responsabile della sicurezza informatica, il 26% è quasi sprovvisto di sistemi di protezione e meno di un’azienda su quattro (22%) ha una rete “segmentata” cioè più sicura. Dallo studio, che ha riguardato un campione rappresentativo di circa più di 800 imprese con un fatturato compreso fra 1 e 50 milioni di euro e tra 5 e 250 dipendenti, emerge uno scenario di piccole e medie imprese ancora impreparate e sprovvedute di fronte al rischio di attacchi informatici sempre più frequenti, che pensano di essere al sicuro o esenti da possibili attacchi informatici, che spesso non adottano comportamenti virtuosi e sanno poco e niente dei pericoli a cui vanno incontro. Per un’azienda intervistata su cinque la cybersecurity è poco rilevante nella gestione della sua attività, e la maggioranza (61%) di queste lo afferma perché non ritiene di trattare dati sensibili. Meno della metà degli intervistati (48%) conosce il phishing, anche se risulta l’attacco informatico più subito dalle pmi italiane (il 12% ha dichiarato di averlo subito). Passando dal livello di conoscenza alle azioni concrete, emerge ancora di più l’impreparazione delle piccole e medie aziende del nostro Paese sul fronte della cybersicurezza. La maggioranza relativa delle aziende intervistate (45%), infatti, non ha effettuato verifiche sulla sicurezza informatica aziendale in passato e non prevede di farne in futuro.
"La situazione che descrive l’indagine è preoccupante per diverse ragioni – commenta Alessandro Curioni (nella foto), direttore scientifico della ricerca e fondatore di DI.GI. Academy – La prima e forse più grave è che le imprese sono sostanzialmente convinte di avere fatto tutto il necessario e questo sulla base di un’idea profondamente sbagliata: pensare che essere in regola con le normative in materia di protezione dei dati personali sia equivalente ad avere la corretta postura nell’ambito della cybersecurity. Un dato che emerge chiaramente a fronte del 75% degli intervistati che afferma di avere adottato misure di sicurezza adeguate alla protezione dei dati personali. Quando poi si entra nel merito di cosa concretamente fanno le imprese il divario tra l’immaginato e la realtà diventa abissale, e per comprenderlo basta fare un semplice esercizio rispetto al più comune scenario di attacco: quello ransomware. In questa situazione i criminali hanno ottenuto un accesso alla rete e successivamente prima hanno esfiltrato i dati e poi crittografato i sistemi per chiedere quindi un riscatto".
Secondo Curioni, le misure, almeno quelle di base, che un’azienda dovrebbe adottare per prevenire e contenere gli effetti dell’attacco sono piuttosto semplici. "Anzitutto svolgere un adeguato programma di formazione sulla popolazione aziendale (il 72,7% non lo fa). Quindi adottare l’autenticazione a più fattori per tutti gli utenti (il 79% non ne dispone). Inoltre occorre verificare periodicamente la sicurezza dei sistemi attraverso, per esempio, dei penetration test (il 65,3% non lo ha mai fatto). Infine è importante disporre di un backup aggiornato e conservato al di fuori della propria rete aziendale (il 77% lo fa, ma solo poco più della metà lo conserva anche o solo al di fuori dei suoi sistemi). Quindi, ottimisticamente, la metà delle pmi potrebbe evitare il blocco dei suoi sistemi per un tempo indefinito, ma una su quattro è totalmente impreparata rispetto al furto dei dati. La sfida – conclude il direttore scientifico della ricerca – sarà convincere chi pensa di essere tranquillo del contrario. E non sarà facile, perché non c’è peggior sordo di chi non vuol sentire".