Nell’attesa che venga pubblicato il nuovo report Clusit 2022 (che verrà pubblicato alle ore 11.30 del 15/03, ndr), vogliamo rispondere ad uno degli interrogativi più comuni da parte degli imprenditori quando si parla di sicurezza informatica e di “data breach”:
No, non ci stiamo riferendo a quanto costa comprare un Cybercrime as a Service ma alla ben più inquientante quantificazione dei danni derivanti da un vero e proprio un attacco informatico. Parliamoci chiaro, non esiste e, con ogni probabilità, non esisterà mai la possibilità di quantificare esattamente il danno subito. Dobbiamo però sapere a cosa andremo incontro e quindi, in primo luogo, dobbiamo sapere quali sono i danni che possiamo aspettarci se non arriveremo preparati all’evenienza di un attacco informatico.
Quali sono i costi?
- Gli specialistici in sicurezza informatica: troppo spesso sentiamo racconti di tecnici che, improvvisando, decidono di propria iniziativa di ripristinare i dati dal back up. Questo però è un’errore: dove sono i log per poter chiedere aiuto a terzi (Autorità, assicurazioni, etc.)?
- Blocco dei sistemi aziendali: la catena di produzione rimane ferma per n giorni, il danno è più che evidente.
- Costi senza ricavi: come logica conseguenza del punto precedente, si ferma le catena di produzione ma i costi permangono. Costi senza ricavi.
- Perdita di opportunità commerciali: fintanto che i sistemi sono fermi, come si può procedere con una proposta contrattuale?
- Danno d’immagine: la rete non dimentica e il diritto di cronaca, che spesso sentiamo negli ultimi periodi parlare di attacchi informatici, parlerà anche di noi. Che effetto può avere questo su clienti e collaboratori?
- Sanzioni: non dimentichiamoci le sanzioni legate alla mancata adozione delle misure adeguate di sicurezza del GDPR e delle relative, pesanti e dissuasive, sanzioni.
I costi a cui andremo a far fronte sono davvero moltissimi. Ci si aggiunga che i trend sono ancora una volta in aumento (+10% secondo le anticipazioni del Clusit – che potete trovare qui). Di seguito qualche dato:
- Secondo le stime del Sole 24 Ore (del 29 luglio 2020) basate sul rapporto di IBM, il costo medio di un attacco informatico per una PMI è di circa 3,52M (qui l’articolo originale);
- Secondo il Corriere della Sera (qui la relativa fonte) che si rifaceva all’analisi di Kroll, i costi legati alla criminalità informatica sarebbero stati (in un periodo di cinque anni) pari alla mostruosa cifra di 5.200 miliari di dollari. Partendo da questa stima, inoltre, e rifacendosi alla stessa analisi del Sole 24 Ore, anch’essi asserivano i costi medi di 3,52M di dollari per PMI.
Queste cifre dovrebbero farci ben riflettere su quali investimenti effettuiamo: vale la pena rimandare un piccolo investimento sul proprio futuro quando il mondo non ci guarda in faccia e non aspetta che ci troviamo nella situazione migliore per subire un attacco?
Per noi non ha senso rischiare il duro lavoro di una vita per paura di guardare sotto un tappeto: meglio sapere quali finestre abbiamo aperte e come si chiudono piuttosto che apprenderlo nel peggior modo possibile.