Cyber security, le Pmi si sentono al sicuro. Ma sbagliano: numeri horror

Cyber Security, ecco perché le pmi sbagliano a sentirsi al sicuro

Una ricerca di Grenke Italia, società specializzata nel noleggio operativo di beni e servizi strumentali per le imprese, evidenzia come il 72,7% delle aziende italiane non ha mai svolto attività di formazione in materia di cybersecurity, il 73,3% non sa cosa sia un attacco ransomware mentre il 43% non ha un responsabile della sicurezza informatica, il 26% è quasi sprovvisto di sistemi di protezione e solo 1 azienda su 4 (22%) ha una rete “segmentata” cioè più sicura. Queste evidenze della survey, realizzata in collaborazione con Cerved Group e Clio Security, tratteggiano una certa “superficialità” delle piccole e medie imprese italiane che pensano di essere al sicuro o esenti da possibili attacchi informatici ma che spesso non adottano comportamenti virtuosi e sanno poco e niente dei pericoli a cui vanno incontro. La ricerca ha riguardato un campione rappresentativo di più di 800 imprese con un fatturato compreso fra 1 e 50 milioni di euro e tra 5 e 250 dipendenti. Affaritaliani.it ha interpellato il direttore scientifico della ricerca e fondatore di DI.GI. Academy Alessandro Curioni.

Leggi anche: Cybercrime, false offerte di lavoro sul web: sventata frode da 6 mln

Perché ritiene tale ricerca davvero importante?
Ci sono due aspetti significativi. Il primo sono le oltre 800 aziende estratte dalle basi dati Cerved che censiscono circa 700 mila PMI e quindi garantiscono la rispondenza del campione rispetto alla reale composizione dell’universo delle imprese nazionali. Il secondo è il contributo dei partner Grenke, il principale operatore nel settore del noleggio operativo per le piccole e medie imprese, e Clio Security, una startup che raccoglie l’expertise di analisti e consulenti che ha una lunga esperienze con questo tipo di aziende. In effetti il questionario ha fatta emergere alcuni elementi molto interessanti.

Leggi anche: Cybercrime, boom di estorsioni nel 2023: vittime in aumento del 46%

Quali sono gli aspetti negativi e quali, se ce ne sono, positivi?
Purtroppo, lo scenario è sostanzialmente negativo e nel breve periodo è impensabile che cambi. Se ancora il 72 per cento delle aziende non forma i propri dipendenti sul tema dei rischi cyber e il 70 per cento non verifica periodicamente la sicurezza dei propri sistemi attraverso penetration o altre forme di audit, non possiamo certo dire che va tutto bene. Questi e altri numeri dicono che la situazione è grave.

Secondo lei a cosa è dovuto lo scenario attuale? Esistono fattori precisi facilmente individuabili?
Questo è un aspetto interessante perché, contrariamente a quanto si è soliti pensare, il problema non sembrano essere i costi della sicurezza, piuttosto le nostre PMI ritengono di avere fatto uno sforzo significativo per adeguarsi alle richieste della normativa europea per la protezione dei dati e, per qualche strana ragione, ritengono questo sia sufficiente a risolvere anche la questione della cyber security. Questo spiegherebbe perché il 60 per cento delle nostre PMI ritiene la cyber security importante e, parallelamente, alla domanda: “Quanto ritiene adeguate le misure adottate dalla sua azienda per la protezione dei dati personali?” il 75 ha risposto attribuendo un livello di adeguatezza da 8 a 10 alle misure adottate.

Secondo lei esiste più una questione dimensionale, organizzativa o generazionale alla base di risultati del genere?
In realtà temo che la questione sia culturale, quindi di quelle molto difficili da risolvere nel breve termine, anche perché mette insieme sia il tema organizzativo sia quello generazionale. Tuttavia, adesso si combina anche con un fattore psicologico. Da un lato l’incapacità di comprendere che essere conformi a una norma non produce come immediata conseguenza la soluzione dei propri problemi di sicurezza, dall’altro, proprio su questa premessa, l’impresa sarà come minimo reticente a investire altre risorse per qualcosa che in cuor suo pensa di avere già risolto.

Si può dire che le pmi corrono meno rischi di quelle grandi dal punto di vista della sicurezza informatica, o anche questo è un mito da sfatare?
Se per rischio intendiamo il fatto che ci sono meno possibilità per una PMI di essere attaccati è semplicemente una questione statistica. Ci sono più PMI che grandi imprese e in percentuale le secondo subiscono più attacchi delle prime. In valori assoluti ovviamente le parti si invertono. In ogni caso si parla tanto di resilienza cyber perché il problema non è se subiremo un attaccato, ma quando accadrà. Se invece con “meno rischi” intendiamo che le conseguenze saranno meno gravi, allora tutto dipende dal livello di digitalizzazione della PMI che anche su questo non comprende spesso un aspetto fondamentale. Ormai i sistemi digitali sono entrati o stanno per entrare anche nel cuore del business aziendale. Anche il produttore di pentole deve iniziare a essere consapevole che le sue macchine di produzioni sono molti simili a uno smart phone che fa anche altro.

Il mondo della sicurezza informatica legata alle aziende prevede lo sviluppo di nuove professioni?
La ricerca ha dimostrato chiaramente che il personale che si occupa di cyber security all’interno delle PMI nel 90 per cento dei casi ha conoscenze minime sia delle tecnologie sia delle principali forme di attacco. Esiste quindi un problema enorme di competenze. D’altra parte, il tema della cyber security è diventato talmente complesso che ENISA, l’Agenzia Europea per la Cybersecurity, ha messo a punto un framework delle competenze che conta ben 12 diverse specializzazioni. Oggi occuparsi di cyber security non è tanto diverso dal fare il medico: mica tutti fanno lo stesso lavoro.