Anno dopo anno, con il crescere del numero delle minacce e degli attacchi, cresce anche il costo dei data breach per aziende ed organizzazioni. Un conto salato, legato alla perdita di attività, alle procedure da ottemperare prima di tornare alla normalità. Senza contare poi che eventuali violazioni si ripercuotono anche su clienti e terze parti che devono attivarsi a loro volta, perché i danni collaterali delle violazioni di dati si propagano nelle “supply chain” e sono critici.
Non solo lievitano i costi, quindi, ma si prolungano nel tempo le conseguenze di una violazione. Basta anche solo pensare che, a livello globale, un ripristino completo dell’operatività richiede 100 giorni e stiamo parlando di sole quelle organizzazioni (appena il 12%) che effettivamente sono in grado di ristabilire la situazione completamente a seguito di un data breach. E’ il report di Ibm, Cost of a Data Breach, ad offrire uno spaccato interessante delle reali violazioni e delle relative conseguenze. La ricerca si basa su un’analisi approfondita delle reali violazioni dei dati subite da 604 organizzazioni a livello globale tra marzo 2023 e febbraio 2024. Ibm la affida a Ponemon Institute e la pubblica da 19 anni: in questa edizione analizza le violazioni di oltre 6.000 organizzazioni. Di interesse specifico per noi è però lo spaccato italiano. E su quello entriamo nei dettagli.
I vettori di attacco più diffusi
Phishing, furto o compromissione delle credenziali sono i vettori di attacco più diffusi (30% delle violazioni) in Italia, ma l’uso di AI e automazione permette anche di ridurre il costo medio delle violazioni di 3,24 milioni di euro. Appena più nel dettaglio con il 17%, il phishing è stato il vettore di attacco iniziale più comune e rappresenta un costo totale medio di 4,18 milioni di euro per violazione; le credenziali rubate o compromesse seguono al 13% (ma con un costo per violazione più elevato, di 4,75 milioni di euro). E’ il social engineering a rappresentare la modalità di ‘ingresso in azienda’ più costosa per chi si deve difendere (4,78 milioni di euro), anche se è al 7% per violazioni analizzate.
I costi e i verticali colpiti
Il costo medio oggi, per l’Italia, è invece complessivamente di 4,37 milioni di euro nel 2024, una cifra che indica un incremento del 23% anche solo rispetto al 2023, con il 70% delle organizzazioni interessate da un data breach che riferisce che la violazione subita ha causato danni significativi o molto significativi. L’analisi per settori colpiti rivela invece che le aziende del settore tecnologico sono quelle che registrano le violazioni più onerose in Italia, con costi medi che toccano i 5,46 milioni di euro, segue il settore industriale (5,13 milioni di euro) e quello farmaceutico (5,01 milioni di euro).
Data breach, ciclo di vita sempre più lungo
A stupire e preoccupare, soprattutto, è il ciclo di vita complessivo dei data breach, anche se l’Italia si distingue rispetto ad altri Paesi: le aziende italiane prese in esame, infatti, hanno bisogno in media di 218 giorni per identificare e contenere gli incidenti, tantissimi giorni ma comunque 40 in meno rispetto alla media globale che è pari a 258 giorni. Mentre a livello globale è interessante osservare che ben il 42% delle violazioni è rilevato dal team o dagli strumenti di sicurezza dell’organizzazione, rispetto al 33% dell’anno precedente e che il rilevamento interno accorcia il ciclo di vita della violazione dei dati di 61 giorni e fa risparmiare alle organizzazioni quasi 1 milione di dollari in costi rispetto a quanto dichiarato da un cybercriminale.
L’utilizzo dell’AI nell’ambito della cybersecurity risulta altresì vantaggioso e il 69% delle organizzazioni italiane analizzate lo sta integrando insieme all’automazione per la sicurezza del proprio Soc (security operation center). E’ questa una percentuale in crescita dell’11% rispetto all’anno scorso. E con l’AI si abbatte il tempo di rilevazione e contenimento in media, si parla di 114 giorni prima rispetto alle organizzazioni che non utilizzano queste tecnologie.
Le difficoltà delle aziende
Le difficoltà delle aziende si legano a diverse cause ma solo una parte di esse è collegabile direttamente alle tecnologie.
Spieghiamo: è dichiarata, per esempio, la carenza di visibilità: il 40% delle violazioni analizzate in Italia riguarda proprio dati archiviati su ambienti multipli (tra cui cloud pubblico, cloud privato e on-prem) e il 29% su cloud pubblico. Le violazioni dei dati che interessano più ambienti comportano anche costi più elevati (4,49 milioni di euro in media), mentre i dati violati archiviati su cloud pubblici richiedono più tempo per essere identificati e contenuti (254 giorni).
Tema critico restano però le competenze: oltre il 50% delle aziende (a livello globale in questo caso) riscontra carenze di personale gravi o di alto livello e di conseguenza registra costi significativamente più elevati per violazione (5,74 milioni di dollari per livelli alti rispetto a 3,98 milioni di dollari per livelli bassi o nessuno). Ciò avviene in un momento in cui le organizzazioni stanno accelerando l’adozione di tecnologie di AI generativa (Gen AI), che ci si aspetta introdurranno anche nuovi rischi per i team di sicurezza. Ed è significativo, al riguardo, che pure tra i fattori principali che incrementano i costi delle violazioni per le organizzazioni italiane ci sia la carenza di competenze in materia di sicurezza (185mila euro), il coinvolgimento di terzi (176mila euro) e la complessità del sistema di sicurezza (172mila euro). Le aziende si stanno comunque muovendo.
Come reagiscono le organizzazioni
Sempre più organizzazioni a livello mondiale dichiarano di essere in fase di pianificazione per aumentare i budget di sicurezza rispetto allo scorso anno (63% contro 51%) e la formazione professionale dei dipendenti emerge come una delle principali aree di investimento pianificate. Le organizzazioni prevedono inoltre di investire in pianificazione e test di risposta agli incidenti, nelle tecnologie di rilevamento e risposta alle minacce (tra sistemi Siem, Soar e Edr), nella gestione delle identità e degli accessi e negli strumenti di protezione dei dati.
Il report sottolinea inoltre due aspetti importanti, relativi alle modalità di reazione delle aziende. In primis, rivela che quando negli incident vengono coinvolte le forze dell’ordine le vittime pagano riscatti inferiori in caso di ransomware e risparmiano in media quasi 1 milione di dollari in costi violazione rispetto alle realtà che non lo fanno e comunque tale risparmio esclude il pagamento del riscatto per coloro che hanno pagato. La maggior parte delle vittime di ransomware (63%) che coinvolge le forze dell’ordine è poi anche in grado di evitare addirittura il pagamento di un riscatto.
Il secondo punto però coinvolge anche i clienti finali ed i consumatori e non è certo una bella notizia, per quanto non sia inattesa. Come accade a fronte di tante altre criticità, i costi delle violazioni vengono trasferiti ai consumatori. Il 63% delle organizzazioni ha dichiarato che nel 2024 aumenterà il costo di beni o servizi a causa delle violazioni in corso e questo è anche il terzo anno consecutivo in cui la maggior parte delle organizzazioni analizzate dichiara di voler intraprendere questa misura.
Raccogliamo in ultimo le considerazioni di Kevin Skapinetz, vice president, Strategy and Product Design di Ibm Security: “Le aziende sono intrappolate in un ciclo continuo di violazioni, contenimento e risposta. Questo ciclo ora include spesso investimenti per rafforzare le difese e scaricare le spese per le violazioni sui consumatori, rendendo la sicurezza il nuovo costo del business”.
Con la diffusione dell’intelligenza artificiale generativa nelle aziende, che amplia la superficie di attacco, queste spese diventeranno insostenibili, e le organizzazioni dovranno rivalutare le misure di sicurezza e le strategie di risposta. Corretto quindi investire in nuovi sistemi di difesa guidati dall’AI come anche sviluppare le competenze necessarie per affrontare i rischi emergenti.
© RIPRODUZIONE RISERVATA
