L’ultima edizione del Rapporto CLUSIT (Associazione Italiana per la Sicurezza Informatica) fotografa un’Italia ancora claudicante sulla sicurezza informatica, soprattutto tra le PMI.
Lo scenario globale vede un preoccupante aumento della quantità e minacciosità degli attacchi informatici. Il 2011 è stato l’anno del Security Breach e l’Italia non ha fatto eccezione, a causa del cosiddetto “attivismo informatico” (hacktivism), fenomeno emergente che se non altro ha contribuito ad innalzare il livello di attenzione tra i più esperti.
Per tutti gli altri, invece, valgono i dati statistici diffusi al Safer Internet Day di febbraio: in Italia solo il 2% degli utenti Internet è consapevole dei rischi ed è capace di proteggersi, mentre il 71%, pur disponendo di una protezione di base, non ha sufficienti competenze per difendersi dal furto o uso improprio di identità digitale, rimanendo esposto anche a truffe online di ogni tipo.
Le minacce
Nell’immediato futuro le minacce previste si concentrano sul settore Mobile (con attacchi malmware pensati per smartphone e tablets), sui Social Network (dove gli utenti tendono ad esporre in maniera poco consapevole la propria identità digitale) e nel “vergine” ambito Cloud (dove i cyber criminali potrebbero tentare di prendere il controllo di infrastrutture per poi passarne l’utilizzo ad altri gruppi criminali).
Le attività che si vanno delineando vanno dal comune phishing all’hactivism, passando da spionaggio e sabotaggio fino alla cosiddetta Psycological warfare (PsyOp).
La situazione nelle PMI
Tra le PMI, depositarie del migliore know-how in termini di made in Italy, è in aumento il rischio di cyber spionaggio industriale. Peccato che siamo del tutto impreparate a fronteggiare questo genere di minacce, spesso perpetrato da economie che hanno costi di produzione inferiori.
La sicurezza ICT nelle PMI italiane è spesso pessima: recenti ricerche (fonte Assintel) evidenziano che solo una piccola quota di aziende è consapevole dell’importanza strategica della tutela di informazioni e sistemi digitali.
Tuttavia, I rischi percepiti riguardano solo disservizi, guasti, malware e minacce interne (causate dal personale) a scapito della percezione verso le minacce esterne. Ci è dovuto ad una scarsa diffusione di informazione sulle reali proporzioni dei rischi e degli attacchi in atto: illudendosi di un basso impatto, quindi, le PMI sottovalutano il problema.
Le PMI delegano il problema sicurezza ai fornitori ICT ma è in genere un errore: perché le imprese non sono spesso in grado di definire il livello di sicurezza necessario e i provider ICT non mettono la security come elemento imprescindibile dalla soluzione offerta. Spesso l’esigenza di abbassare il prezzo o di scegliere il fornitore che costa meno, unitamente all’incapacità di valutare correttamente la competenza specifica, causa la scelta di prodotti software e/o servizi in cui il livello della sicurezza e’ scadente.
L’unica nota positiva è l’introduzione della normativa sulla privacy che ha obbligato le PMI a rendersi conformi nel trattamento dei dati personali mediante l’introduzione di credenziali verso i sistemi aziendali, la sistematizzazione del ricorso agli antivirus e l’aggiornamento automatico del SW (patching).
La gestione della sicurezza è dunque ancora piuttosto lontana da un livello adeguato, per cui si consiglia di mantenere alto almeno il livello di aggiornamento, attingendo alle informazioni fornite da quegli istituti come il CLUSIT, che contribuiscono alla divulgazione oggettiva delle minacce.