Il sondaggio annuale Ponemon sulle PMI (2019 Global State of Cybersecurity in Small and Medium-Sized Businesses) è interessante in quanto cerca specificamente attacchi mirati.
Ci si aspetterebbe che il numero degli attacchi alle PMI cresca su tutta la gamma possibile man mano che gli strumenti di hacking automatizzati diventano più diffusi, invece gli attacchi registrati nel sondaggio sono sofisticati e coinvolgono azioni come il phishing mirato a e-mail di un dipendente o l’ottenimento di dati aziendali specifici.
Il sondaggio di quest’anno ha incluso 2.391 professionisti della sicurezza IT e decisori di aziende situate negli Stati Uniti, nel Regno Unito e in tutta Europa. Le aziende variano da 100 a 1.000 dipendenti e i dati sono stati raccolti in agosto e settembre.
I nuovi attacchi sembrano concentrarsi sulle PMI in regioni specifiche, con gli Stati Uniti che ottengono il peggior risultato. Il numero complessivo di attacchi globali alle PMI è rimasto abbastanza stabile, forse addirittura leggermente diminuito (passando dal 67% nel 2018 al 66% nel 2019). Ciò avviene dopo anni di crescita costante e significativa; dal 55% nello studio inaugurale nel 2016 al 61% nel 2017.
Il tipo di attacco globale più comune è il phishing, di cui il 57% delle PMI globali è stato vittima nello scorso anno. Anche i dispositivi rubati e compromessi (33%) e il furto di credenziali (30%) sono vie comuni di attacco.
La perdita di dati è il risultato più comune degli attacchi informatici alle PMI. Il 69% delle aziende negli Stati Uniti che hanno risposto ha perso informazione personale sensibile appartenente a dipendenti o a clienti. È un aumento del 50% da quando è stato condotto il primo sondaggio Ponemon nel 2016.
Le tecnologie
Le nuove tecnologie sembrano essere uno dei principali fattori alla base di questi attacchi. Gli sviluppi relativamente recenti come i dispositivi Internet of Things (IoT), la biometria e l’uso di dispositivi mobili personali per il lavoro sono stati rapidamente e ampiamente adattati dalle PMI. Ma le tecnologie e le pratiche di sicurezza tendono a rimanere indietro in queste aree.
Le aziende sembrano esserne consapevoli, ma sentono di non poter fare nulla al riguardo. Il 49% degli intervistati ritiene che l’uso di dispositivi mobili con applicazioni business-critical abbia indebolito la postura di sicurezza dell’organizzazione.
L’80% ritiene che i dispositivi IoT non garantiti possano portare a un incidente catastrofico sulla sicurezza, ma solo il 21% di queste aziende sta monitorando attivamente questi dispositivi. Il 75% degli intervistati ha implementato la biometria nel proprio profilo di sicurezza o intende farlo presto.
Benefici del GDPR
Grazie all’influenza del Regolamento generale sulla protezione dei dati (GDPR), varie regioni d’Europa hanno riferito di una maggiore fiducia nella loro postura di sicurezza e hanno dovuto gestire meno attacchi informatici nell’ultimo anno.
La regione DACH (Austria, Germania e Svizzera) ha effettivamente la migliore postura di sicurezza dell’IoT, sebbene i numeri complessivi siano ancora relativamente bassi. DACH ha guidato tutte le altre parti del mondo con il 27% delle loro PMI che conduce formazione sulla sicurezza IoT per dipendenti e fornitori e il 25% monitora attivamente i dispositivi IoT utilizzati sul posto di lavoro per violazioni dei dati.
Tuttavia, queste aziende hanno anche espresso la minima preoccupazione per le password dei dipendenti, con solo il 58% che ha risposto che si trattava di un problema di sicurezza.
Benelux (Belgio, Lussemburgo e Paesi Bassi) ha registrato uno dei tassi più bassi di attacchi informatici contro le PMI. Questa regione aveva un’alta enfasi sulla sicurezza delle password complesse (68%) e ha guidato gli intervistati nell’implementazione della biometria (51%).
In Scandinavia il 64% delle PMI ha subito attacchi informatici e il 71% di queste ha riferito che malware o exploit sono riusciti a superare la propria sicurezza.
La Scandinavia è stata anche l’unica regione a concentrarsi principalmente sulla protezione della proprietà intellettuale, mentre altre regioni hanno dato la priorità alla protezione dei dati dei clienti.
Futuri scenari di sicurezza per PMI
Questi rapporti annuali chiariscono che se c’è un bersaglio vulnerabile là fuori, ci sarà un hacker interessato ad esso, non importa quanto piccolo possa sembrare. Sebbene le PMI non affrontino lo stesso profilo di rischio che devono affrontare le grandi organizzazioni aziendali (come attacchi provenienti da parte di gruppi di APT sponsorizzate da stati), tuttavia affrontano abbastanza attacchi informatici che un piano di prevenzione e risposta è vitale.