Milano, 6 ottobre 2021

L'ultima edizione del report annuale IT Security Economics di Kaspersky rivela la crescente gravità degli incidenti di sicurezza informatica che colpiscono le aziende attraverso i fornitori con cui condividono i dati. Guardando alle enterprise in Europa, nel 2021, l'impatto economico medio di un incidente di questo tipo ammonta a 2 milioni di dollari. Un dato questo che colloca questo incidente in cima alla lista degli attacchi più costosi.

Sono sempre più frequenti gli attacchi che colpiscono le aziende tramite i fornitori con cui collaborano. I dati aziendali infatti vengono generalmente condivisi con più terze parti che includono service provider, partner, fornitori e filiali. Pertanto, le aziende devono tenere in considerazione non solo i rischi di sicurezza informatica che interessano la loro infrastruttura IT, ma anche quelli che possono provenire dall'esterno.

Secondo il sondaggio Kaspersky, un terzo (28%) delle grandi aziende europee ha subito attacchi che coinvolgevano dati condivisi con i fornitori. La percentuale non si discosta in modo significativo dal report del 2020 (con il 29%). Anche l'impatto finanziario è lo stesso dell'anno scorso, con due milioni di dollari.

Per quanto riguarda le altre tipologie di attacco, nella maggior parte dei casi, a livello globale hanno avuto impatto economico inferiore come ad esempio la perdita fisica di dispositivi di proprietà dell'azienda (1,3 milioni di dollari), attacchi di cryptomining (1,3 milioni di dollari) e l'uso inappropriato delle risorse IT da parte dei dipendenti (1,3 milioni di dollari).

In generale, l'impatto economico medio di un attacco ad una enterprise europea è aumentato con 1,1 milioni di dollari nel 2021 rispetto ai 839 mila dollari nel 2020. Tuttavia, a livello globale, è diminuito: da 1,09 milioni di dollari nel 2020 a 927.000 dollari nel 2021.

La possibile ragione dietro a questo calo a livello globale può essere individuata nel fatto che i precedenti investimenti in misure di prevenzione e mitigazione hanno funzionato per le imprese. Oppure il costo medio è stato influenzato dal fatto che quest’anno le imprese sono state meno propense a segnalare le violazioni dei dati, con il 41% che è riuscito a evitarlo contro al 33% nel 2020. Le aziende finanziariamente vulnerabili potrebbero essere riluttanti a dedicare tempo e spese per un'indagine penale o rischiare danni alla reputazione nel caso in cui una violazione diventi di dominio pubblico.

“Nel momento in cui le organizzazioni valutano le esigenze di sicurezza informatica per la loro attività dovrebbero prendere in considerazione il rischio di una violazione che coinvolge i dati condivisi con i fornitori, soprattutto tenuto conto la gravità delle conseguenze. La pandemia ha cambiato il panorama delle minacce e le organizzazioni dovrebbero essere pronte ad adattarsi. Le aziende dovrebbero classificare i propri fornitori in base al tipo di lavoro che svolgono e alla complessità dell'accesso che ricevono (se trattano dati e infrastrutture sensibili o meno) e applicare i requisiti di sicurezza di conseguenza. Le aziende dovrebbero condividere i dati solo con terze parti affidabili ed estendere i propri requisiti di sicurezza ai fornitori. Questo vuol dire che nel caso di trasferimento di dati o informazioni sensibili andrebbe richiesta ai fornitori tutta la documentazione e le certificazioni (come SOC 2) in modo da confermare il livello di condivisione che può essere messo in atto. In casi molto delicati, consigliamo inoltre di condurre un audit di conformità preliminare di un fornitore prima di firmare qualsiasi contratto", commenta Evgeniya Naumova, Executive VP, Corporate Business di Kaspersky.

Per ridurre al minimo il rischio di eventuali attacchi e violazioni dei dati per le aziende, è necessario utilizzare un'efficace protezione per endpoint con funzionalità di rilevamento e risposta alle minacce. Inoltre, i servizi di protezione gestiti aiuteranno le organizzazioni nelle indagini sugli attacchi e nella risposta degli esperti. Questo livello essenziale di protezione degli endpoint è incluso nel framework Kaspersky Optimum Security. Per le organizzazioni con una funzione di sicurezza IT matura, il framework Kaspersky Expert Security fornisce inoltre anti-APT, le ultime informazioni sulle minacce e una formazione professionale dedicata.

Per ulteriori informazioni sui costi e sui budget della sicurezza IT nelle aziende nel 2021 è disponibile l’IT Security Calculator di Kaspersky. Il report completo "IT Security Economics 2021: Managing the trend of crescente complessità IT" è disponibile per il download a questo link.

Metodologia

Il Kaspersky Corporate IT Security Risks Survey (ITSRS) è un sondaggio globale sui responsabili delle decisioni aziendali IT. Tra maggio e giugno 2021 sono state condotte un totale di 4.303 interviste ad aziende con oltre 50 dipendenti in 31 paesi. Agli intervistati sono state chieste informazioni sullo stato della sicurezza IT all'interno delle loro organizzazioni, i tipi di minacce che affrontano e i costi che devono sostenere per riprendersi dagli attacchi. In tutto il rapporto, le aziende sono indicate come PMI (piccole e medie imprese con 50-999 dipendenti) o imprese (aziende con oltre 1.000 dipendenti). Non tutti i risultati del sondaggio sono inclusi in questo rapporto.



Indagine Kaspersky: gli incidenti rivolti ai fornitori si inseriscono tra gli attacchi più costosi per le aziende nel 2021

Kaspersky Logo