AGI – Ogni singolo dato rubato in Italia costa alle imprese, in media, 143 euro. A livello globale si sale a 164 dollari. L’industria farmaceutica è quella che ci rimette di più: ogni dato rubato è costato 182 euro. Seguono il settore tecnologico (174 euro) e i servizi finanziari (173 euro).
Considerando l’intensità e la frequenza degli attacchi, il conto lievita: secondo il report Cost of a Data Breach di Ibm, in Italia il danno medio è di 3,4 milioni di euro, il 13% in più rispetto al 2020. A livello globale, arriva a 4,35 milioni di dollari, il livello più alto degli ultimi cinque anni. E visto che non si parla di spiccioli, a rimetterci sono anche i consumatori, sui quali le aziende scaricano in parte i costi degli attacchi.
Perché ci rimettono gli utenti
“A pagare le conseguenze delle violazioni alla security non sono più solo le aziende vittime di attacchi, ma sempre più i consumatori”, afferma il rapporto. Per far fronte a questi costi, infatti, il 60% delle organizzazioni analizzate ha aumentato i prezzi dei propri prodotti e servizi. “I cybercriminali – sottolinea Ibm – stanno acquisendo un peso sempre maggiore nel definire le sorti dell’economia globale, contribuendo con la loro attività all’incremento dell’inflazione e alle interruzioni nelle catene di approvvigionamento”.
Le tattiche di attacco
A livello globale, quasi un attacco su cinque è causato da credenziali rubate o compromesse. In Italia, invece, il primo vettore è il phishing. Cioè una tattica che mira a ingannare la vittima, spesso via e-mail. Non è però il phishing a causare i danni più consistenti: sono più elevati (in media poco meno di 5 milioni di euro) i costi dovuti alla perdita accidentale di dati.
Ransomware: perché pagare non conviene
Molto ricorrenti (un caso su dieci) sono i ransomware, attacchi che non si limitano a intromettersi nel dispositivo o nella rete ma la bloccano e chiedono un riscatto per liberarla. Lo studio ha confermato che pagare non è una buona idea. Perché non si hanno certezze e, soprattutto, perché il riscatto non contribuisce ad arginare i costi delle violazioni. Le vittime di ransomware che hanno scelto di pagare, infatti, hanno risparmiato solo 610.000 dollari rispetto alle organizzazioni che hanno deciso di non farlo. A questa cifra va però detratto il costo del riscatto. Considerando che, secondo Sophos, nel 2021 la richiesta media di pagamento è stata di 812.000 dollari, pagare non sembra essere conveniente, né a livello operativo né economico.
Vanno inoltre considerati altri danni collaterali. Si sta infatti accentuando quello che Ibm chiama “effetto persecutorio”: l’83% delle organizzazioni analizzate ha subito più di una violazione nel corso della propria attività. Insomma: liberarsi di un problema non vuol dire averlo risolto. Il riscatto, inoltre, finanzia (indirettamente) attacchi futuri, mentre l’azienda potrebbe utilizzare la stessa cifra per migliorare la propria cybersicurezza. In altre parole: si finisce per sostenere l’avversario anziché rafforzare la propria difesa. Un errore, anche perché, su questo punto, le imprese sono ancora in ritardo
Aziende in ritardo
Solo il 40% è in possesso di un livello sufficientemente maturo di sistemi “Zero Trust”, cioè con un approccio che presuppone – sempre, ovunque e per chiunque – autenticazione e verifiche. Eppure i risultati sono chiari: le aziende italiane che hanno sistemi maturi sono riuscite a dimezzare i costi dei data breach: 2,16 milioni di euro contro 4,86 milioni per le imprese che non hanno ancora adottato contromisure. Il rapporto Ibm conferma quindi come la spesa in sicurezza informatica sia in realtà un investimento, in particolare quando rivolto ad automazione e intelligenza artificiale: le organizzazioni che hanno adottato in modo massiccio soluzioni di questo tipo hanno pagato mediamente 3 milioni di dollari in meno.