Pillole di sicurezza informatica

Pillole di sicurezza informatica

Sicurezza informatica il rapporto clusit 2024

Lo stato della sicurezza informatica delle aziende in Italia

Il Clusit, Associazione Italiana per la Sicurezza Informatica (https://clusit.it), è un’associazione senza fini di lucro nata a Milano il 4 luglio 2020.

I suoi obiettivi sono inerenti alla sicurezza informatica. In particolare:

• diffondere la cultura della sicurezza informatica presso le aziende, le pubbliche amministrazioni ed i cittadini;
• partecipare all’elaborazione di leggi, norme e regolamenti che coinvolgono la sicurezza informatica, sia a livello comunitario che italiano;
• contribuire alla definizione di percorsi di formazione per la preparazione e la certificazione delle diverse figure professionali operanti nel settore della sicurezza informatica;
• promuovere l’uso di metodologie e tecnologie che consentano di migliorare il livello di sicurezza delle varie realtà.

Il Clusit elabora, ogni anno, un fondamentale report in cui sono riportati gli attacchi informatici che sono avvenuti in Italia nell’anno precedente. Poiché il report si basa su dati resi pubblici dalle forze dell’ordine, dalle istituzioni competenti e dalle singole aziende che hanno subito un attacco informatico, il numero di attacchi riportati è ben lungi dall’essere completo. Quindi, benché le cifre riportate siano preoccupanti, mostrano solo la punta dell’iceberg. La situazione italiana è molto peggiore di quella presentata nel rapporto: peggiora di anno in anno e non risparmia alcun settore della vita civile (aziende, cittadini, pubbliche amministrazioni).

Il rapporto è scaricabile gratuitamente dal sito del Clusit (https://clusit.it).

Vediamo in questa breve sintesi qual è la situazione.

Nel periodo tra gennaio 2019 e dicembre 2023 si sono verificati un totale di 10.858 attacchi informatici andati a buon fine, pari al 56% del totale degli incidenti classificati dal 2011, con una media nell’intero periodo di 232 attacchi al mese.

Nel 2023, gli attacchi a livello globale sono cresciuti dell’11,7%, mentre in Italia sono cresciuti del 64,9%, dimostrando quanto i nostri dati siano sotto un attacco intenso e mirato.

L’Italia è sovraesposta in termini di attacchi rispetto alla sua dimensione nazionale: già nel 2022 il dato italiano rappresentava il 7,6% del totale degli attacchi considerati a livello mondiale, mentre nel 2023 la quota sale all’11,2%, a fronte del PIL italiano che rappresenta appena il 2,2% del PIL mondiale.

Le organizzazioni criminali sono molto interessate all’Italia, perché è uno dei paesi più ricchi a livello mondiale e la cultura informatica è tra le più basse a livello europeo: siamo terzultimi nella classifica dei paesi UE per conoscenze informatiche e quarti per PIL; quindi, siamo estremamente vulnerabili, un bersaglio molto facile e molto ricco. In parole povere l’Italia è una bella mucca da mungere con estrema facilità!

La scarsa cultura relativa alla sicurezza informatica ci porta a fare quattro gravi errori:

1. In Italia siamo al sicuro, perché dovrei preoccuparmi? Dai dati appena esposti è chiaro che l’Italia non solo non è al sicuro, ma è nel mirino delle organizzazioni criminali.
2. Perché dovrebbero attaccare proprio me (o la mia azienda)? Non abbiamo dati importanti… Le organizzazioni criminali non sono interessate ai nostri dati, ma ai nostri soldi. Senza i dati non possiamo sopravvivere in questa era digitale; quindi, i criminali bloccano o sottraggono i dati per ottenere un riscatto. Oppure imbastiscono truffe finanziarie o sentimentali per sottrarci direttamente i soldi.
3. Non mi è mai successo, perché dovrebbe accadere proprio ora? Visto come si è evoluta la criminalità informatica organizzata, la domanda non è più “SE” mi accadrà, ma “QUANDO”. Il rapporto del Clusit evidenzia solo gli attacchi resi noti a livello pubblico, non quelli subiti dalle piccole e medie imprese che non hanno denunciato il fatto.
4. È un rischio che riguarda solo le grandi aziende. Solo perché i mass media ed i giornali parlano solo degli attacchi alle grandi aziende, non è detto che le piccole ne siano esentate. Anzi, visto che la cultura sulla sicurezza informatica è molto scarsa e le piccole aziende possono investire meno nell’implementazione di misure di scurezza informatica e ancor meno nella formazione del personale, risulta evidente che sono bersagli estremamente interessanti per le organizzazioni criminali. Secondo il rapporto della Polizia Postale, relativo alle sole truffe finanziarie, nel 2023 sono stati trattati ben 10.755 casi con oltre 40 milioni di euro sottratti. Ne avete sentito parlare sui giornali, sui mass media o su internet? No! Eppure, è accaduto e le aziende sono state colpite duramente. In molti casi, una piccola azienda colpita da un attacco del genere, fatica a riprendersi, perde quote di mercato e clienti e, in diversi casi, chiude i battenti.

In azienda ci occupiamo della sicurezza fisica con sistemi antifurto, antincendio, antiintrusione, corsi sulla sicurezza sul lavoro, corsi di primo soccorso, ecc.
Ma come proteggiamo il nostro mondo digitale?
Ci abbiamo pensato?
Oppure lasciamo la porta della nostra stalla digitale aperta così che i buoi possano scappare e i ladri entrare senza problemi?