Sicurezza Informatica nelle PMI: le linee guida pubblicate da UNICRI

L’Istituto Interregionale delle Nazioni Unite per la Ricerca sul Crimine e la Giustizia (UNICRI) ha pubblicato questo mese una nuova ricerca sulla sicurezza informatica per le Piccole e Medie Imprese (PMI) in Italia, relativa ai primi sei mesi del 2015 e che costituisce il primo aggiornamento dello studio: “La criminalità informatica e i rischi per l’economia e le imprese a livello italiano ed europeo” pubblicato a dicembre 2014 sempre da UNICRI.

La sicurezza informatica nel mondo delle PMI rappresenta una sfida strategica per l’economia europea e nazionale. Le PMI costituiscono il 99,8% delle imprese europee e il 99,9% di quelle italiane, con 86,8 milioni di persone occupate in tutta Europa e sono l’asse portante dell’economia nazionale ed europea, ma possono costituire al contempo un anello debole in termini di sicurezza.

Le PMI sono un bersaglio molto attraente per i cyber criminali ma purtroppo sottovalutano ancora troppo questa minaccia. Non importa quale sia il business di una PMI, ogni azienda è appetibile per un cyber criminale. Qualsiasi informazione di tipo commerciale, dati personali, indirizzi e-mail, know-how ecc. è vendibile al mercato nero per commettere frodi, per diffondere malware e per mettere in atto altri crimini. I pericoli a livello aziendale sono costituiti non solo dai danni prodotti dall’attacco in sé, ma soprattutto dalle conseguenze che questi attacchi causano nel lungo periodo. Aumentano sempre più gli attacchi mirati come l’appropriazione dei dati sensibili, la cancellazione dei dati stessi o il furto di materiale coperto da copyright.

La criminalità informatica è più forte e diffusa di quanto si possa pensare, dato che la maggior parte degli attacchi non viene ancora rilevata e denunciata. Le perdite dovute al cyber crime possono anche arrivare a diversi milioni di euro per le singole aziende. Nel 2014 a causa di attacchi su larga scala sono stati compromessi un miliardo di record[1], quindi in media uno ogni tre utenti di internet. Molti di questi erano totalmente in chiaro e quindi facilmente sfruttabili.

Gli attacchi di tipo ransomware nel 2014 sono più che raddoppiati, passando da 4,1 milioni del 2013 agli 8,8 del 2014. Sul piano psicologico è un tipo di attacco molto redditizio perché, nel caso in cui non siano stati effettuati regolari backup, l’utente pur di recuperare i propri dati è disposto a pagare il riscatto.

Riguardo il mondo mobile, Alcatel-Lucent’s Motive Security Labs[2] stima che in tutto il mondo siano stati infettati da malware più di 16 milioni di dispositivi mobili al fine di realizzare azioni di spionaggio industriale e personale, per rubare informazioni e attaccare imprese, privati, banche e governi. Solo nel 2014 le infezioni dei dispositivi mobili sono aumentate del 25% (un incremento del 5% rispetto al 2013).

I fattori che i criminali informatici considerano sono semplicemente la presenza di soldi o dati da rubare e la facilità di violare un obiettivo, e le PMI purtroppo soddisfano entrambi questi requisiti. Nell’attuale era digitale la sicurezza informatica e il corretto uso del web e dello strumento informatico da parte di ogni singolo cittadino, ma soprattutto da parte delle aziende, deve necessariamente essere un elemento da considerare come prioritario. In quest’ottica è necessario mettere in atto una serie di azioni proattive per aumentare la sensibilità nei confronti di questo tema.

Considerando i trend di crescita di questo tipo di minaccia, è quanto mai necessario incominciare a sviluppare sistemi di prevenzione e sicurezza informatica più efficienti.

Non sempre però le aziende si accorgono di essere state violate e spesso non sanno come proteggersi, credendo erroneamente che le azioni da mettere in atto siano solo di tipo tecnico e che siano economicamente impegnative.

Le PMI necessitano di un quadro di assistenza all’implementazione della loro sicurezza informatica che comprenda non solo aspetti tecnici, ma soprattutto uno schema di policy da implementare negli anni in base all’evolversi del cyber crime. Partendo da questo scenario e dall’analisi dei gap esistenti, UNICRI, con la presente ricerca, ha costruito uno schema di linee guida che possa essere il più possibile esaustivo, ma al contempo facilmente comprensibile e soprattutto adattabile alle diverse tipologie di PMI presenti sul nostro territorio.

Le linee guida stilate sono state validate da esperti del settore di Fastweb, IBM, Kaspersky e Microsoft e dai responsabili IT di tre delle aziende più strutturate e consapevoli tra quelle intervistate nel precede studio. Il cyber crime è un fenomeno che non risparmia nessuna tipologia di azienda e nessuna zona d’Italia, quindi non può che richiedere non solo una risposta in termini di conoscenza e prevenzione da parte di ogni singola azienda, ma soprattutto una risposta a livello nazionale.

Linee guida per la Sicurezza Informatica nelle PMI[3]

sicurezza informatica nelle PMI


[3] Le linee guida presentate sono state realizzate grazie alla consulenza del dott. Daniele De Nicolò e alla validazione di Fastweb, IBM, Kaspersky, Microsoft e degli IT Manager di Lucart, Lucense e Tagetik


[2] Motive Security Labs malware report – H2 2014, Alcatel-Lucent’s Motive Security Labs, in <https://resources.alcatel-lucent.com/asset/184652> (ultima consultazione 23-03-2015)


[1] Why SMEs are an attractive target for cyber criminals and what they can do about it, di Neil Ford, in http://www.itgovernance.co.uk/blog/why-smes-are-an-attractive-target-for-cyber-criminals-and-what-they-can-do-about-it/ 02-03-2015. (ultima consultazione 21-05-2015)

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here