I cambiamenti imposti dalla pandemia Covid-19 hanno spinto all’utilizzo di tecnologie che garantissero continuità operativa e resilienza, ma l’accesso ai dati sensibili attraverso il lavoro da remoto e le operazioni commerciali basate sul Cloud, uniti alla mancanza di una adeguata formazione del capitale umano, hanno reso le organizzazioni più vulnerabili. A fronte dei rischi di immagine e dei costi da affrontare quando vengono perpetrati data breach, gli investimenti in innovazione e capitale umano rappresentano i fattori più rilevanti per mitigare gli impatti degli attacchi sferrati e garantire la sicurezza informatica. Poter contare su team dedicati, predisporre e testare piani di sicurezza, e adottare tecnologie innovative di automazione, restituisce più efficienza nel prevenire e contrastare gli attacchi, riduce i costi e genera ROI in tempi minori nell’area Cybersecurity.
Lo rivela iel report “Cost of a Data Breach 2020“, realizzato da IBM Security e Ponemon Institute. Un’analisi approfondita condotta attraverso 3.200 interviste a responsabili della sicurezza di più di 500 organizzazioni in tutto il mondo che hanno subito una violazione di dati nel periodo compreso tra agosto 2019 e aprile 2020. L’analisi tiene conto di centinaia di fattori di costo, tra cui attività legali, normative e tecniche dovute a perdite di valore del brand, clienti e produttività dei dipendenti.
“La capacità di mitigare gli attacchi informatici vede in netto vantaggio le organizzazioni che hanno investito nelle tecnologie più evolute. Se da un lato il business nel mondo digitale sta crescendo a ritmi sostenuti, dall’altro persiste la carenza di esperti di sicurezza informatica. Inoltre, chi opera in questo ambito è sovraccarico di lavoro a causa della necessità di proteggere una moltitudine di dispositivi, sistemi e dati. Occorre dunque investire in formazione in cybersecurity e automatizzare alcuni processi per fornire risposte più rapide e risolutive in caso di attacco e garantendo efficienza in termini di costi” afferma Wendi Whitmore, Vice President, IBM X-Force Threat Intelligence.
I dati più esposti e gli attacchi più costosi
A livello globale ogni violazione di dati costa in media 3,86 milioni di dollari all’azienda impattata, 2,90 milioni di euro in Italia (-4,9% rispetto al 2019). La violazione dei dati dei dipendenti è quella più gravosa: l’80% di questi attacchi ha portato all’esposizione di informazioni di identificazione personale (Personal Identifiable Information, PII) dei clienti, causando costi ingenti per le aziende.
Il furto e la compromissione delle credenziali, oltre alle configurazioni errate dei server cloud, rappresentano le vulnerabilità più comuni, che causano quasi il 40% dei cyber attacchi. Le organizzazioni che hanno subito attacchi alle reti aziendali attraverso l’uso di credenziali rubate o compromesse hanno speso quasi 1 milione di dollari in più rispetto alla media globale, raggiungendo i 4,77 milioni di dollari per violazione. Lo sfruttamento delle vulnerabilità di terze parti risulta la seconda voce di costo (4,5 milioni di dollari).
Nonostante rappresentino solo il 13% delle azioni malevole, gli attacchi collegati ad attività governative o “nation-state” sono quelli più dannosi. A quelli di natura finanziaria (53%), seppur di maggior numero, non consegue la maggiore perdita economica. Tattiche sofisticate, durata e tipologia delle azioni perpetrate con l’obiettivo di sottrarre dati di alto valore, spesso inducono le vittime degli attacchi a scendere a compromessi, con un conseguente aumento dei costi di recovery, che si attesta mediamente a 4,43 milioni di dollari.
Security Automation e Incident Response: le strategie più efficaci
L’adozione di tecnologie smart incide sulla velocità e sull’efficienza di risposta di un’azienda a una violazione, abbattendo del 50% i costi legati al furto di dati. Le imprese che hanno implementato le più avanzate tecnologie di sicurezza, basate su intelligenza artificiale, machine learning, analytics, e orchestrazione automatizzata per identificare e rispondere agli attacchi, hanno:
- risposto più velocemente (+27%) rispetto alle aziende che non hanno ancora adottato tali misure e che impiegano 74 giorni in più per identificare e contenere un attacco;
- sostenuto meno della metà dei costi di violazione di dati rispetto a quelle non dotate di tecnologie evolute (2,45 milioni di dollari contro 6,03 milioni di dollari, in media).
La preparazione nella risposta agli incidenti (Incident Response, IR) continua a impattare in modo significativo sulle conseguenze economiche di una violazione. Le aziende che non dispongono di un team di sicurezza dedicato e che non testano i propri piani sostengono una spesa media di 5,29 milioni di dollari; mentre le aziende che hanno adottato entrambe le misure, ed effettuano esercitazioni e simulazioni per testare i propri piani IR, spendono 2 milioni di dollari in meno in caso di violazione. Preparazione e prontezza consentono di conseguire un ROI significativo nell’area della cybersecurity.
I dati in Italia
L’Italia è risultata di poco più veloce rispetto alla media globale con 203 giorni in media (contro la media globale di 207 giorni) per intercettare un attacco e 65 per contenere una violazione (contro i 73 mediamente necessari a livello globale). Tra i settori maggiormente colpiti al 1° posto quello finanziario, seguito dal farmaceutico e dal terziario. Le principali cause sono dovute agli attacchi malevoli (52%), agli errori umani (29%) e alle falle dei sistemi (19%). La spesa media complessiva generata da ciascuna causa è pari a 3,20 milioni di euro (attacchi malevoli); 2,62 milioni di euro (falle di sistema); 2,53 milioni di euro (errori umani)
Cresce il numero di organizzazioni che ha adottato tecnologie avanzate per automatizzare la sicurezza: 56% nel 2020, contro il 49% del 2019. La velocità e l’efficienza di risposta di un’azienda a una violazione ha un grande impatto sui costi: in Italia identificare un attacco in meno di 100 giorni fa registrare un costo medio di 2,18 milioni di euro, mentre impiegando oltre 100 giorni, il costo medio si assesta intorno ai 3,62 milioni di euro. Contenere un attacco entro i 30 giorni, richiede una spesa di 2,23 milioni di euro, contro i 3,57 milioni oltre i 30 giorni.
Altre evidenze
- La diffusione di modelli di lavoro ibridi rende gli ambienti meno controllati. Il 70% delle aziende che ha adottato il telelavoro durante la pandemia si aspetta un aggravio dei costi causati da attacchi di violazione dei dati.
- Il 46% degli intervistati ritiene il CISO / CSO responsabile delle violazioni effettuate, ma secondo solo il 27% il CISO / CSO ha potere decisionale in termini di policy e tecnologie. La nomina di un CISO è stata associata alla possibilità di risparmiare 145.000 dollari rispetto al costo medio di una violazione.
- Le violazioni di dati subite da organizzazioni con polizze assicurative contro i cyber risk hanno speso quasi 200.000 dollari in meno rispetto alla media globale di 3,86 milioni di dollari. Il 51% l’ha utilizzata per coprire le spese di consulenza e i servizi legali di terzi, il 36% per risarcire le vittime di attacchi. Solo il 10% delle polizze ha coperto i costi sostenuti a causa di ransomware o estorsioni.
- Gli Stati Uniti sono il Paese con i più elevati costi di violazione dei dati, con una media di 8,64 milioni di dollari. A livello settoriale, l’healthcare ha registrato i costi medi più elevati, pari a 7,3 milioni di dollari, con un aumento di oltre il 10% rispetto all’edizione 2019.