Attacchi in aumento:
Secondo l’ultimo rapporto Clusit sulla sicurezza ICT in Italia, negli ultimi 5 anni il numero degli attacchi informatici alle aziende italiane è aumentato in maniera esponenziale sia in termini di frequenza che di gravità.
Nel 2023 gli attacchi a livello mondiale sono aumentati dell’11%, mentre in Italia sono aumentati addirittura del 65%.
Le aziende più colpite:
I dati relativi al 2023 attestano che l’Italia rappresenta un bersaglio particolarmente facile, avendo ricevuto ben l’11% di tutti gli attacchi rilevati a livello globale (contro un 3,4% del 2021 e un 7,6% del 2022).Il primo bersaglio sono i siti istituzionali/governativi, seguiti dall’industria (13%): è significativo che un quarto del totale degli attacchi rivolti al settore Manufacturing a livello globale riguardi realtà manifatturiere italiane.
Futuro ad alto rischio:
Nell’ultimo report ENISA (“Identifying Emerging Cyber Security Threats And Challenges For 2030”) viene previsto che l’aumento della tecnologia, dell’utilizzo dell’AI e delle tecniche avanzate di deepfake determineranno un significativo aumento degli attacchi cyber di tipo ransomware. Tra le cause principali viene indicato “l’errore umano”, con la conseguente necessità di porre l’attenzione sulle attività di sensibilizzazione e formazione del personale.
Cosa possono fare le imprese?
È fondamentale che le aziende implementino una metodologia di analisi del rischio e adottino le conseguenti misure di sicurezza (gestione dei rischi), nonché stabiliscano un piano di risposta che permetta di rilevare, gestire e segnalare tempestivamente gli incidenti (gestione degli incidenti). Inoltre, la crescita dell’87% degli attacchi di phishing ed ingegneria sociale, insieme alle previsioni ENISA sull’aumento futuro degli attacchi informatici al 2030, impongono alle aziende di investire senza ritardi sulla formazione della governance e del personale, le cui condotte sono quasi sempre la principale porta di ingresso per i criminali informatici (gestione della governance).
Questi interventi, assieme a quelli necessari per la gestione della continuità operativa e la sicurezza della supply chain, dal 18 ottobre 2024 saranno obbligatori per una vasta categoria di aziende, come richiesto dalla Direttiva NIS2.
Tuttavia, mai come in questi tempi i dati esaminati richiedono alle aziende di investire nella propria sicurezza informatica non per adempiere ad un obbligo normativo, ma per tutelare il proprio business e la sicurezza dei propri dati.
Data Breach Stress Test ®
Anche in questa sfida organizzazioni pubbliche e private potranno contare su di noi: visto il grande successo del nostro “Privacy Compliance Stress Test ®”, abbiamo il piacere di presentare il “Data Breach Stress Test ®”.
Il servizio si compone di 3 moduli, interconnessi ma acquistabili separatamente, che hanno come obiettivo quello di individuare le criticità aziendali nella prevenzione e gestione di un attacco informatico:
-
MODULO A legal audit sul rischio di data breach svolto attraverso l’analisi di: documenti (registro trattamenti, nomine responsabili ecc.); procedure operative (es. gestione data breach); misure di sicurezza dichiarate; analisi dei rischi.
-
MODULO B: cyber audit con emissione di report sulle criticità riscontrate, quali ad esempio: perimetro violato, risorse raggiunte, configurazioni mancanti.
-
MODULO C: simulazione di attacco phishing basata sulle campagne attualmente in corso in Italia e costruita ad hoc mediante invio massivo di e-mail al personale aziendale.