Numeri che fanno paura. Fra gli 80 e i 90 milioni di attacchi informatici ogni anno, l’equivalente di 250mila attacchi giornalieri, cui si sommano circa 400 nuove minacce intercettate ogni minuto e una percentuale vicina al 70% di offensive maligne non rilevate. Lo scenario della cybersecurity, che piaccia o no, è questo. E rappresenta una spina nel fianco non solo per chi si occupa di sicurezza: i costi annuali dovuti al crimine cybernetico per le aziende americane ammontano infatti, mediamente, a 12,7 milioni di dollari (contro i 6,5 milioni del 2010). Quelli su scala globale vanno dai 375 ai 575 miliardi e l’impatto sull’economia potrebbe schizzare alla cifra record di tre trilioni di dollari entro il 2020.

Nel delineare questo scenario, Sarbjit Nahal, Equity Strategist presso BofA Merryl Linch, evidenzia la rapida crescita degli attacchi contro le infrastrutture critiche e di produzione. Il settore dell’energia è il primo obiettivo nel mirino e i miliardi di “data record” compromessi nei soli Stati Uniti nel 2014 sono la conferma che non si tratta di ingiustificate proiezioni catastrofiste ma di un problema di sicurezza nazionale. Un problema rafforzato nella sua dimensione dal fatto che gli addetti interni alle organizzazioni sono stati direttamente coinvolti nel 55% degli incidenti avvenuti nel 2014 e che l’errore umano ha contribuito al 95% degli stessi. «A lungo termine – spiega ancora l’analista – crediamo che la cybersecurity possa rappresentare una minaccia fondamentale per i tre pilastri della disruption tecnologica in atto, e cioè Internet of Things, sharing economy e servizi online».

Le aziende, e soprattutto quelle dei settori più colpiti, vale a dire finanza e assicurazioni, information technology, manifatturiero e retail, come rispondono? Investendo, e tanto. Il mercato delle soluzioni di cyber sicurezza vale oggi circa 75 miliardi di dollari e si stima possa oltrepassare la soglia dei 170 miliardi entro i prossimi cinque anni, abbracciando molteplici ambiti di applicazione, dal cloud ai sistemi di pagamento elettronico, dalla biometria all’Internet delle cose, dalla crittografia alle piattaforme mobili.

Ma non è abbastanza, perchè sono cambiati i presupposti del fenomeno: se prima la priorità era tenere lontane le minacce dal perimetro dell’organizzazione, oggi la battaglia si gioca all’interno, perchè gli hacker (nei sistemi informatici di molte grandi imprese e svariati enti governativi) sono già entrati. Con la complicità o meno dei dipendenti e (spesso) senza farsi scoprire. Se i cybercriminali sono già “dentro”, come possono le aziende difendere dati e processi? Nòva l’ha chiesto a Eugene Kaspersky, il fondatore e Ceo di Kaspersky Lab. «La portata delle minacce che arrivano dall’interno – dice – è più estesa rispetto alla sicurezza informatica tradizionale, che prevede per lo più soluzioni tecnologiche volte a proteggere i dati dalle violazioni e i sistemi informatici e le reti dalle intrusioni esterne. È molto difficile, quindi, evitare il furto di dati da parte di chi ha le autorizzazioni per accedervi. Se il criminale informatico fa parte del team It ha tutte le credenziali necessarie, oltre ad una conoscenza approfondita delle procedure di sicurezza: impedire a questi soggetti di causare perdite di informazioni è praticamente impossibile». Non mancano i possibili rimedi, a cominciare dall’effettuare controlli regolari dell’infrastruttura e degli asset critici e dall’impostare limitazioni ai diritti di accesso (policy rigorose per gli account e meccanismi di autenticazione forti). Ma è sintomatico il fatto che secondo Kaspersky l’unica cosa da fare per essere al sicuro sia quella di «prestare molta attenzione nella selezione dei dipendenti».

Il controllo delle attività degli addetti, come confermano gli esperti, è un aspetto centrale della questione. La modernizzazione dell’art 4 dello Statuto dei lavoratori in ottica di cybersecurity contenuta nel Job Act promette alle aziende una maggiore capacità di difesa, facilitando di fatto l’azione di controllo automatizzato di specifiche attività (le e-mail gestite con i sistemi e i device aziendali per esempio). Ma le norme che allineano l’Italia a molti altri Paesi rischiano di generare confusione dentro le imprese, bloccando l’avvio di progetti di security avanzati? Secondo Gabriele Faggioli, presidente del Clusit, non si corre questo pericolo perchè i nuovi decreti attuativi «servono a fare chiarezza. Le aziende e le pubbliche amministrazioni – spiega il massimo esponente dell’Associazione Italiana Sicurezza Informatica – devono muoversi in un ambito normativo in via di evoluzione che richiede prevenzione e difesa, formazione e regole interne. Se si considera l’utilizzo sempre più massiccio delle apparecchiature in mobilità e delle tecnologie di controllo remoto e di geolocalizzazione, appare quanto mai opportuno trovare un equilibrio fra esigenze di sicurezza e limiti al potere di controllo dei cittadini e dei lavoratori». Un equilibrio però delicato e, secondo Faggioli, non sempre facile da raggiungere. Anche perché fra i fattori che mettono a rischio la sicurezza è ancora preponderante «la scarsa considerazione del problema da parte dei vertici aziendali, che vedono la sicurezza come un costo, come in effetti lo è, senza però valutare i rischi di non essere abbastanza sicuri».