Oggi i cyber-criminali privilegiano l’attacco alle Pmi perché possono impiegare, con elevata probabilità di successo, modalità di attacco più semplici e a basso impiego di risorse come l’esfiltrazione di dati, il Distributed denial of service (Dos), il ransomware. I danni che ne conseguono possono essere molto seri per l’intera filiera visto il limitato livello di awareness e capacità di reazione a fronte di un attacco
L’aumento degli attacchi cibernetici a livello mondiale vede l’Italia ancora una volta nel ruolo di preda favorita avendo subito – come segnala il recente rapporto Clusit – più del 7,5% degli attacchi globali nell’anno 2022. Il dato, se confrontato con analoga misurazione per l’anno 2021 (allora fu del 3,4%), non può non destare più di qualche preoccupazione. Gli attacchi si sono intensificati in quantità ma anche nel livello di gravità, intesa come capacità di generare danni non solo in termini reputazionali e di sfiducia verso chi li subisce e verso chi è preposto a garantire la protezione, ma anche nelle forme più disparate di disservizi talora severi legati ad attività private e pubbliche e di perdite economiche rilevanti. Se gli attacchi si intensificano è in buona parte a causa del costante incremento della superficie d’attacco. È in questo frammentato puzzle di attori e, più in generale, di stakeholder della sicurezza cibernetica che la supply chain rischia di divenire (e, anzi, in parte già lo è) uno degli anelli più deboli della catena.
Le filiere di approvvigionamento, globali e diffuse, hanno contribuito ad aumentare notevolmente la superficie esposta. Avendo intrapreso percorsi di digital transformation dei propri processi, spingendosi così verso l’interconnessione e l’esposizione in rete senza adottare adeguate contromisure, le filiere hanno reso particolarmente vulnerabile l’intero ecosistema produttivo che ha fatto della digitalizzazione il proprio punto di forza.
Nel solo anno 2022 è stato riscontrato come una ogni cinque intrusioni sia partita dalla filiera di fornitura. Gli attacchi alla supply chain sono causa di rilevanti problemi a chi riceve i suoi prodotti e/o servizi tra cui clienti, partner e istituzioni pubbliche. Vale la pena sottolineare come spesso la filiera sia oggetto privilegiato di incursioni cibernetiche proprio per la facilità con cui si riescono a superare i laschi controlli del perimetro rispetto alle grandi aziende che hanno potuto adottare best practice in materia. Oggi i cyber-criminali privilegiano l’attacco alle Pmi perché possono impiegare, con elevata probabilità di successo, modalità di attacco più semplici e a basso impiego di risorse come l’esfiltrazione di dati, il Distributed denial of service (Dos), il ransomware.
I danni che ne conseguono possono essere molto seri per l’intera filiera visto il limitato livello di awareness e capacità di reazione a fronte di un attacco: questi attacchi informatici possono interrompere i processi fondamentali dell’azienda, bloccando o rallentando i servizi essenziali come il sistema di gestione degli ordini, la logistica o la produzione, e causando gravi disagi che si espandono a macchia d’olio dall’azienda originaria ai clienti, generando ulteriori ritardi e disservizi. Le conseguenze sono facilmente immaginabili e spaziano dall’accesso ai dati dei clienti fino al furto o distruzione o crittografia di dati, con interruzione più o meno grave della continuità del business.
In Italia, dove la maggior parte delle aziende è costituita da Pmi con meno di cinquanta dipendenti, il rischio di attacchi che partono dalle supply chain è particolarmente significativo. Sul territorio nazionale le Pmi rappresentano circa l’80% del volume d’affari totale e impiegano poco meno del 70% della forza lavoro attiva: la filiera è, pertanto, la struttura portante sulla quale le più grandi realtà aziendali fondano i loro business.
La supply chain, identificabile quindi in buona parte in Italia con le Pmi, manca ancora di consapevolezza sui rischi e sugli impatti che un attacco cibernetico potrebbe arrecare all’attività aziendale; ne consegue una scarsa propensione ad anticipare la minaccia e quindi a investire sulla mitigazione del rischio cibernetico. Il budget dedicato a iniziative di cyber-resilienza è ancora percepito come una zavorra piuttosto che come una risorsa. A conferma di ciò la recente stima secondo cui per il 2023 solo poco meno della metà delle Pmi italiane investirà in sicurezza cibernetica e lo farà con una spesa media di circa 4.800 euro annui, cifre troppo basse per garantire soluzioni concrete e risolutive.
Si dovrà, pertanto, puntare al nuovo trend che si sta affermando sul mercato della sicurezza cibernetica che permette anche alle Pmi di accedere a un’adeguata capacità di tutelare sé stesse e il sistema economico-imprenditoriale di cui sono parte, con l’impiego di risorse umane e finanziarie compatibili con le proprie dimensioni. Parliamo della cosiddetta servitization, ovvero lo spostamento dei comportamenti di acquisto dal prodotto/tecnologia da gestire internamente all’azienda verso servizi gestiti “chiavi in mano”. Società di servizi di sicurezza gestiti (Mssp) e fornitori di tecnologie per la sicurezza cibernetica abilitano così i fornitori di servizi di cyber-security a divenire un rilevante punto di riferimento per le Pmi.
Per rendere più robusta la filiera di approvvigionamento, un importante ruolo può e deve essere giocato dalle grandi aziende che – in qualità di principali fruitori dei beni e servizi delle Pmi e potenziali vittime delle loro falle informatiche – dovranno promuovere in senso ampio la consapevolezza sulla materia cyber e sui rischi correlati, con incentivi e premi verso quelle realtà che più investono in sicurezza cyber.
(Intervento pubblicata sul numero 143 della rivista Airpress)
