Rischi informatici ma mancano le competenze necessarie
Il cybercrime è stato la causa dell’81% degli attacchi gravi a livello globale; le attività di cyber espionage costituiscono il 14% degli attacchi. Sono cresciuti, inoltre, le offensive cyber verso banking & finance (8%), le imprese e i produttori di tecnologie hardware e software (5%) e contro infrastrutture critiche (4%). Negli ultimi dodici mesi sono aumenti gli attacchi veicolati tramite l’abuso della supplychain, ovvero tramite la compromissione di terze parti, il che
consente poi a criminali e spie di colpire i contatti (clienti, fornitori, partner) dell’obiettivo, ampliando notevolmente il numero delle vittime e passando più facilmente inosservati. Un quadro che in Italia, ha fatto balzare i rischi informatici e l’interruzione di attività, per il secondo anno consecutivo, al primo e al secondo posto nella classifica delle prime dieci minacce.
Non è certo un caso quindi se nel nuovo rapporto Inapp, pubblicato proprio due giorni fa, in cima alle qualifiche professionali più specializzate che le imprese stanno cercando balzano quasi in testa gli esperti in sistemi e in architetture informatiche, manager in sistemi di sicurezza informatica e gli specialisti in cyber security. I data specialist e i cloud computing, i profili più richiesti e ricercati dalle imprese in assoluto, sono le figure che stanno proprio in cima alla classifica degli specialisti più ricercati, ma subito o poco prima degli esperti in sistemi per contrastare i crimini informatici. Un gruppo di esperti le cui competenze si incrociano sempre più per poter rispondere a quella che è diventata – più ancora del Covid e della paura di eventuale altra crisi pandemia - la prima preoccupazione delle aziende italiane e globali: il rischio di attacchi informatici.
Non è quindi un’altra coincidenza se la carenza e la difficoltà di profili professionali adeguati per la prima volta entra nella classifica delle minacce all’attività d’impresa (timore per il 13%), in nona posizione. Attirare e trattenere lavoratori qualificati resta sempre particolarmente difficile. Tanto che le imprese classificano questo rischio tra i primi cinque nei settori dell’ingegneria, delle costruzioni, dell’immobiliare, dei servizi pubblici e sanità. E il primo rischio per i trasporti.
Le nuove sfide oltre il caro-energia
Le imprese non stanno facendo solo i conti, quindi, con la crisi energetica, con un mondo che rallenta la crescita per essere finita sotto il peso dell’inflazione alta e persistente e del caro prezzi dell’energia. Nemmeno l’Italia sta sfuggendo a questi segnali di frenata, con il proprio sistema produttivo alle prese in particolare con gli aumenti dei prezzi energia legato alle strozzature della catene di approvigionamento.
Il Fmi, Fondo monetario internazionale, ha già fatto saper di aver tagliato le previsioni di crescita del Pil, rivedendo al ribasso al +3,8% dal 4,2% la crescita stimata solo due mesi fa, a inizio novembre 2021.
Ora, a offuscare la fotografia dello stato di salute della ripresa, sia globale sia italiana, si inserisce un nuovo rapporto che mette l’accento e aggiunge nuove sfide a quelle già numerose e ai molteplici rischi che vengono avanti. In realtà è un ulteriore rilancio di un allarme che ha già risuonato pesantemente anche l’anno scorso, proprio in coincidenza dell’accelerazione tecnologica indotta dall’emergenza sanitaria. Allarmi che vanno anche ben oltre il monito che ha lanciato il ministro dell’Università e della Ricerca, Maria Cristina Messa, per la quale «la pandemia da Covid-19 ha accelerato tutti i processi digitali, portando a usare quotidianamente l’e-teaching e l’e-learning, così come il telelavoro e la telemedicina sperimentale, cambiamenti che non sono temporanei, ma che influenzeranno significativamente il nostro futuro». E quindi la riflessione anche sui rischi, partendo dall’ambito non solo aziendale (smart working, in particolare), ma anche dentro le istituzioni del mondo dell’istruzione e della formazione: «Sebbene la connettività e gli strumenti digitali siano stati molto importanti – spiega la ministra Messa - per garantire la continuità delle attività formative, ci sono comunque conseguenze negative sul fronte sociale e psicologico», ha proseguito il ministro. «Credo si stia assistendo a un impoverimento delle conoscenze e delle capacità relazionali di studenti e professori a causa della distanza sociale e dell’uso prolungato del digitale in sostituzione delle attività didattiche in presenza».
Il rischio di interrompere i sistemi informatici
Un primo fronte di rischio, quindi. Ma l’allarme ancora più elevato di livello arriva dall’Allianz Risk Barometer 2022, studio dal quale emerge che i rischi informatici sono la maggiore preoccupazione per le aziende a livello italiano, di quasi una su due (il 44%), e poco meno altrettanto su dimensione globale, il 42% delle imprese. La minaccia di attacchi ransomware, le violazioni di dati o le lunghe sospensioni dei sistemi It preoccupano le aziende. Ancora di più dell’interruzione di attività, di cui i cyber attacchi possono essere certamente una delle cause, ma anche delle catastrofi naturali o, appunto, di nuove emergenze sanitarie come la pandemia.
La fotografia che emerge dal sondaggio annuale di Allianz Global Corporate-Specialty (che raccoglie le opinioni di 2.650 esperti provenienti da 89 Paesi) tra cui Ceo, risk manager, broker ed esperti assicurativi, è rivelatrice di un dato nuovo rispetto al passato: la digitalizzazione ha reso tutti vulnerabili, tanto che la strategia degli attacchi è cambiata radicalmente. Gli obiettivi non si scelgono più, i target non sono più obiettivi precisi o puntuali. La strategia delle aggressioni cyber si realizza in parallelo verso obiettivi molteplici, spesso indifferenziati, che vengono colpiti “a tappeto” dalle organizzazioni cyber criminali, secondo una logica “industriale”. L’attacco viene lanciato a raffica, a 360 gradi.
Anche se si è registrata una lieve diminuzione di queste aggressioni informatiche, i numeri finora conosciuti su questo fenomeno continuano ad però alimentare timori. Solo l’anno scorso, anno ancora di piena pandemia, l’ente Clusit - Associazione Italiana per la Sicurezza Informatica – ha registrato il record negativo degli attacchi informatici: a livello globale sono stati 1.871 i reati gravi di dominio pubblico rilevati, con un impatto sistemico in ogni aspetto della società, della politica, dell’economia e della geopolitica. In media, si tratta di 156 attacchi gravi al mese, il valore più elevato mai registrato ad oggi (erano 139 nel 2019), con il primato negativo di dicembre, in cui sono stati rilevati 200 attacchi gravi.
Nel 2020 l’incremento degli attacchi cyber a livello globale è stato del 12%; negli ultimi quattro anni la crescita è stata costante, con un aumento degli attacchi gravi del 66% rispetto al 2017. Il rapporto Clusit sulla sicurezza Ict in Italia e nel mondo evidenzia tuttavia che lo scenario sembrerebbe meno critico rispetto alla situazione effettiva. Ma con una precisazione: spesso a ridimensionare la portata del fenomeno, contribuisce la tendenza complessiva delle aziende o degli stessi soggetti rimasti vittima di attacchi che, invece della denuncia, preferiscono mantenere “nascosti”, comunque riservati gli attacchi cyber subìti, soprattutto in Europa.
Imprese preoccupa la transizione energetica
La classifica dei rischi informatici si posizionano in cima all’Allianz Risk Barometer solo per la seconda volta nella storia del sondaggio (44% delle risposte). A livello globale, mentre la paura di interruzione di attività aziendale e produttiva scende al secondo posto (42%), le catastrofi naturali salgono al terzo posto (25%), dal sesto del 2021. Più attenzione quest’anno anche verso il cambiamento climatico che sale al sesto posto dal nono, cioè nella posizione più alta mai raggiunta (17%), mentre fa meno paura, oggi, la pandemia che scende al quarto (22%).
Incidenti e minacce informatiche sono tra i primi tre rischi percepiti. E il driver principale è ancora la recente impennata degli attacchi ransomware. Con tattiche di «doppia estorsione» che combinano la crittografia dei sistemi con la violazione dei dati. In primo piano la denuncia anche di uno sfruttamento della vulnerabilità del software che potenzialmente colpiscono migliaia di aziende. O che prendono di mira infrastrutture critiche fisiche.
La sicurezza informatica è anche la principale preoccupazione delle aziende impegnate in progetti di transizione Esg (Environmental, Social, Governance). Che riconoscono al tempo stesso di una «necessità di essere resilienti, di pianificare attività che permettono di essere pronti in caso di future interruzioni».
L’interruzione di attività è al secondo posto della classifica. E secondo l’indagine, la causa più temuta è quella conseguente agli incidenti informatici. Considerando l’impatto della crescente dipendenza delle aziende dalla digitalizzazione e il passaggio al lavoro da remoto.
Lo scoppio di una pandemia rimane una preoccupazione importante per le aziende, ma scende dalla seconda alla quarta posizione (il sondaggio è stato fatto prima dell’emergere della variante Omicron). C’è infine una finestra di prospettiva favorevole che si apre su questo scenario: mentre la crisi del Covid-19 continua a mettere in ombra le prospettive economiche in molti settori, il dato incoraggiante che emerge proprio in riferimento ala minaccia di una eventuale nuova emergenza sanitaria, spiega come le aziende alla fine dichiarano di essersi adattate bene. Otto imprese su dieci, la maggior parte degli intervistati (80%), quindi, pensa di essere “adeguatamente preparato per una futura situazione emergenziale”.
Allo stesso modo, ed è un dato che emerge in relazione alle minacce più tenute in considerazione, si temono gli impatti sulla supply chain (41%). Le imprese sono anche preoccupate di gestire la transizione delle loro aziende verso un’economia a basse emissioni di carbonio (36%). Nonché di soddisfare i complessi requisiti normativi e di reporting e di evitare potenziali rischi di contenzioso per non aver preso adeguati provvedimenti (34%).