Iniziamo con un dato che permette di capire l’importanza delle falle nella sicurezza: il 54% delle aziende francesi segnala di aver subito da uno a tre attacchi informatici nel 2021. Il dato è ancor più allarmante se si considera che, dall’inizio della crisi sanitaria, quasi il 58% delle imprese afferma che il lavoro da casa ha reso l’azienda più vulnerabile agli attacchi informatici.
Oltre a dare prova di una sempre maggiore creatività nel progettare attacchi più complessi volti a rispondere a motivazioni pecuniarie o politiche, gli hacker prendono altresì di mira aziende molto diverse tra di loro. L’evidenza è chiara: dalle multinazionali del settore bancario alle piccole imprese edili, nessuno è al sicuro.
Tuttavia, non tutti i settori sono colpiti allo stesso modo. Nonostante la tendenza generale chiaramente al rialzo, alcuni comparti resistono meglio di altri. Com’era prevedibile, secondo i professionisti, un numero significativo di hacker tende a prendere di mira settori d’attività specifici per via della loro vulnerabilità.
I settori più colpiti
La sanità mantiene la prima posizione
Tra i dati più sensibili, i dati medici occupano un posto di rilievo. Per questo, nel suo Report 2021 sul costo di violazione dei dati (Cost of a Data Breach Report 2021), IBM indica che il comparto sanitario rappresenta quello più colpito dalle falle nella sicurezza. Con un costo medio di 9,23 milioni di dollari per incidente, il settore mantiene la triste posizione di leader per il decimo anno consecutivo.
Un esempio recente illustra la posta in gioco per questo settore. Nel 2020, il Medical Center della University of Vermont (UVM) è stato vittima di un grave attacco. Per diversi giorni, il personale non ha avuto modo di sapere quali pazienti avessero un appuntamento. Sebbene il centro non abbia mai pagato un riscatto, si stima che l’attacco sia costato 50 milioni di dollari.
Il settore finanziario, un bersaglio di primo piano
Al secondo posto, il settore finanziario ha rappresentato un costo medio di 5,72 milioni di dollari nel 2021. A causa della sua tendenza alla digitalizzazione, il settore finanziario è ricco di dati sensibili, costituendo così un bersaglio di primo piano per gli attacchi informatici. I responsabili della sicurezza di Mastercard hanno recentemente dichiarato al New York Times di affrontare oltre “460.000 tentativi di intrusione al giorno, pari al 70% in più rispetto all’anno prima”.
Questi dati impressionanti spiegano gli investimenti effettuati nel settore. Infatti, secondo i dati della società Deloitte, gli istituti finanziari destinano in media lo 0,3% del fatturato e il 10% del budget informatico alla cibersicurezza.
Industria farmaceutica e nuove tecnologie ancora esposte
Stando allo stesso report, l’industria farmaceutica e le nuove tecnologie occupano il terzo e il quarto posto, con un costo medio delle violazioni dei dati rispettivamente pari a 5,04 milioni e 4,88 milioni di dollari. In generale, i settori industriali che prevedono normative stringenti sono di gran lunga i più efficaci nel contenere gli attacchi informatici nonostante il costante aumento del numero di questi ultimi.
I settori meglio attrezzati
Il settore pubblico, un buon esempio
Il settore pubblico, soprattutto le attività correlate ad attività strategiche per lo Stato (Difesa, trasporti, ecc.) occupa una posizione decisamente migliore nella classifica, con un costo medio delle falle nella sicurezza pari ad “appena” 1,93 milioni di dollari. Una possibile spiegazione è che queste organizzazioni rappresentano più obiettivi politici che finanziari.
OIV e OSE: la maturità
Si può presumere che un buon numero di società private con lo status di OSE (Operatore di Servizi Essenziali) o di OIV (Operatore di Importanza Vitale) possano contare su una maturità significativa in fatto di cibersicurezza. Infatti, questi soggetti sono costantemente alle prese con minacce informatiche di ogni tipo.
Tra i circa quindici settori interessati dallo status di OSE, figurano le realtà del mondo assicurativo ed energetico. A causa dell’impatto negativo che l’interruzione dei loro servizi potrebbe esercitare a livello nazionale in Francia, alcune di queste organizzazioni devono ormai rispettare degli obblighi in materia di sicurezza dei sistemi informatici e delle reti.
Questa necessità in fatto di cibersicurezza potrebbe spiegare perché il settore energetico sia passato dall’essere il secondo settore più costoso al quinto, scendendo dai 6,39 milioni di dollari del 2020 ai 4,65 milioni di dollari del 2021 (un calo del 27,2%). In Francia, la responsabilità della gestione del segmento cibersicurezza del dispositivo spetta all’ANSSI, che affianca gli OIV nell’attuazione delle nuove misure.
Hotel e media ancora risparmiati, ma in aumento
Sempre secondo lo stesso report, gli ultimi settori che riescono a contenere il costo medio delle violazioni sono l’industria alberghiera e i media, rispettivamente con 3,03 milioni e 3,17 milioni di dollari. Tuttavia, i dati vanno contestualizzati: in questi due settori la tendenza è all’aumento.
Di conseguenza, mentre alcuni settori resistono meglio di altri grazie alla maggiore maturità in termini di cibersicurezza o alla capacità di investimento su questo fronte, la stragrande maggioranza dei settori è alle prese con un numero crescente di attacchi e con l’aumento del costo medio delle falle nella sicurezza, indipendentemente dalle dimensioni dell’azienda o della sua posizione geografica. Appare quindi ancora più importante puntare su campagne di sensibilizzazione a più ampio raggio sulle best practice, continuare a investire nella cibersicurezza per prevenire anziché reagire e, infine, svolgere con maggiore regolarità interventi per l’identificazione delle vulnerabilità e dei rischi.
