Uno spettro si aggira per l’Italia e riguarda lo stato di salute in materia di cyber security delle nostre piccole e medie imprese. A questo proposito abbiamo fatto qualche domanda ad Alessandro Curioni, docente di sicurezza dell’informazione all’Università Cattolica di Milano, oggi in veste di direttore tecnico scientifico della ricerca sul tema Grenke-Clio Security-Cerved.
Curioni cosa possiamo dire dello stato di salute cyber della spina dorsale della nostra economia?
Premetto che si tratta di una ricerca che ha beneficiato delle competenze dei suoi attori e sponsor. Grenke è leader nel leasing operativo leader proprio nel segmento PMI, Clio Security opera come società di consulenza nel medesimo ambito e Cerved, che si è occupata della raccolta dei dati, ha una base dati imponente che ci ha permesso di costruire un campione statistico di oltre 800 aziende intervistate. Detto questo le fornisco subito due dati. Il 60 per cento delle nostre PMI considera la cyber security, in una scala da 1 a 10, di importanza pari ad almeno 8. Inoltre, il 75 per cento ritiene adeguate le misure adottate dalla sua azienda per la protezione dei dati personali.
Detta così sembra che in questi ultimi anni ci sia stata una presa di coscienza collettiva e che tante grida di allarme siano completamente ingiustificate. Siamo a una svolta?
Mi scuso, ma non ho resistito alle tentazione di fornire due dati che a prima vista dicono esattamente questo, ma che in realtà rappresentano il vero problema e, quando messi in relazione agli altri, segnalano che siamo in una situazione molto grave perché le nostre aziende sono vittime di un equivoco: sono convinte che l’adeguamento alla protezione dei dati, sulla quale hanno investito tempo e denaro sotto la minaccia dell’ormai ben noto regolamento europeo in materia, abbia risolto anche il problema della cyber security. In effetti quel 75 per cento ritiene adeguate le misure rispetto alla protezione dei dati personali, ma si dimentica che la cyber security è un’altra cosa.
Se posso obiettare direi che potrebbe anche essere vero. In definitiva il Regolamento europeo parla di adeguatezza delle misure e se proteggo i dati personali allora finisco per proteggere anche il resto elle informazioni e sistemi. Eppure mi dice che non è così?
Ha ragione, ma il problema vero è che la conformità a una norma è fatta, purtroppo fin troppo spesso, per una parte significativa di forma e meno di sostanza. Le faccio un esempio. Il 49 per cento delle imprese, non è poco, mette a disposizione dei propri dipendenti un regolamento che disciplina l’utilizzo delle dotazioni aziendali (pc, tablet e smartphone). Questa è forma. Tuttavia, il 72 per cento delle aziende non offre ai proprio dipendenti corsi dedicati ai rischi cyber. Questa è sostanza. Nel 60 per cento dei casi, poi, l’erogazione della formazione viene affidata al Data Protection Officer, facile immaginare come sia prevalente l’aspetto connesso alla conformità alla normativa.
Ma quali altri indicatori ci dicono che manca, come l’ha definita, la sostanza?
Ci vuole qualche altro numero. Soltanto il 21 percento delle PMI ha adottato l’autenticazione a più fattori per tutti i suoi utenti e un modesto 30 percento ha verificato nell’ultimo anno la sicurezza dei suoi sistemi, magari attraverso un penetration test. Sono due dati sintomatici anche perché parliamo di due misure di prevenzione che, per esempio, nelle grandi aziende sono considerate ormai elementari. In questo senso un aspetto importante è il gap di competenze che affligge il sistema delle PMI, dove anche chi ha la responsabilità della cyber security nel 52 per cento dei casi non sa cosa sia il phishing (le email truffaldine che ci invitato a fare clic o tap nel posto sbagliato) oppure nell’85 per cento dei casi dice di non conoscere gli attacchi DDoS, questo nonostante questa forma di aggressione che inibisce l’accesso ai sistemi da parte dei legittimi utenti, sia da almeno un anno sulle pagine di tutti i media del mondo.
Allora di buone notizie non ne abbiamo?
Mi dispiace, ma è così. Anzi, il senso di falsa sicurezza che ha prodotto la conformità o presunta tale rispetto alla protezione dei dati, rischia di diventare un ostacolo insormontabile per il miglioramento. La domanda vera infatti è: come facciamo a convincere le aziende che rimettere mano al portafogli perché, contrariamente a quanto qualcuno gli ha raccontato, la protezione dei dati e la cyber security non son la stessa cosa?
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.