
Puntuale come ogni anno, arriva sul tavolo dei professionisti e degli appassionati della sicurezza informatica il report State of Ransomware 2022 di Sophos, ormai considerato in maniera pressoché unanime quale uno dei documenti più rappresentativi in materia di cybersecurity.
Il report sintetizza i risultati di una ricerca agnostica dal punto di vista dell’offerta commerciale, svolta per conto di Sophos dalla società Vanson Bourne. Il sondaggio si è svolto nel periodo gennaio-febbraio dell’anno in corso ed ha coinvolto 5.600 IT manager nell’ambito delle imprese di medie dimensioni (100-5000 dipendenti), attive in 31 differenti paesi.
Tra le varie considerazioni, utili a focalizzare i principali aspetti relativi alla minaccia ransomware, il lavoro di Sophos offre una sezione specifica sulla realtà italiana, che contiene dati preziosi per formulare alcune considerazioni sullo stato della sicurezza informatica nel nostro paese, in particolare per quanto concerne la percezione e il coinvolgimento della piccola e media impresa in un contesto che di giorno in giorno si presenta quale una costante minaccia per il business.
Indice dei contenuti
Ransomware, una minaccia senza fine, sempre più sofisticata a livello globale
Il fenomeno ransomware diventa anno dopo anno sempre più dilagante, al punto da costituire una minaccia costante per le organizzazioni attive in tutti i settori di attività. Secondo l’indagine svolta da Vanson Bourne a inizio 2022, relativa alla situazione complessiva dell’anno 2021, esattamente due terzi delle aziende (66%) sono state colpite direttamente da un attacco ransomware, un dato che testimonia una drammatica crescita rispetto all’anno della pandemia Covid-19, quel maledetto 2020 in cui il 33% delle organizzazioni rimase concretamente vittima di tale minaccia.
E pensare che, soltanto un anno fa, apparivano quali numeri impressionanti. L’impatto del ransomware è esattamente raddoppiato nel giro di dodici mesi e il trend non lascia presagire particolari rallentamenti nella sua dinamica evolutiva.
Di fronte a certi numeri, che lasciano ben poco spazio all’immaginazione, è lecito parlare di una normalizzazione, anche nella percezione diffusa delle aziende, sempre più consapevoli dei rischi che corrono, al punto da aver aumentato gli investimenti in cybersecurity, sia per migliorare il proprio livello di protezione che per gestire le conseguenze degli attacchi, sapendo già che, presto o tardi, andranno puntualmente a segno.
Piuttosto controversi i dati relativi al pagamento dei riscatti ai cybercriminali, nel contesto degli attacchi a singola, doppia e tripla estorsione. Il 41% dei soggetti coinvolti nel sondaggio ha ammesso di aver pagato una volta vittima da un attacco ransomware. Di questi, il 61% ha dichiarato di essere riuscito a recuperare almeno parzialmente i dati cifrati, mentre soltanto il 4% avrebbe recuperato tutti i dati.
Si tratta di un dato in leggera e poco rilevante flessione rispetto all’anno precedente, ma ciò che sorprende maggiormente è l’entità assunta dai pagamenti di riscatto a livello globale, drammaticamente impennatasi ad una media di 812.360 dollari nel corso del 2021. Il numero di aziende che ha pagato riscatti superiori al milione di dollari è addirittura triplicato rispetto all’anno precedente e soltanto il 21% delle aziende colpite da attacchi ransomware nel corso del 2021 se la sarebbe cavata con cifre relativamente modeste, quantificate entro i 10mila dollari.
Il settore aziendale che ha pagato maggiormente dazio è stato quello manifatturiero, con una media di riscatto nell’ordine di due milioni di euro, mentre il settore sanitario si posiziona sorprendentemente in coda, con una media di 197mila dollari.
Uno dei dati più significativi emersi dall’indagine è il fatto che non sarebbe affatto sufficiente aumentare il budget e il numero di persone da dedicare alla sicurezza informatica in azienda.
Occorre soprattutto investire sulle tecnologie adeguate rispetto all’esigenza specifica, coinvolgendo quindi le competenze adeguate a livello di risorse umane, il che porta le aziende, ed in particolar modo le PMI, ad affidare sempre più spesso in outsourcing l’implementazione e la gestione di determinati ambiti della sicurezza informatica. Al di là che ciò rientri nelle logiche commerciali di un soggetto come Sophos, si tratta di un fenomeno facilmente riscontrabile sul campo, nella quotidiana pratica delle aziende.
Il ricorso ad una consulenza esperta viene soprattutto interpretata quale uno dei sistemi più efficaci per massimizzare il ritorno dell’investimento in materia di cybersecurity. Tale investimento viene sempre più spesso tutelato grazie alla sottoscrizione di polizze assicurative contro i danni derivanti da attacchi informatici, per mitigare almeno in parte il rischio finanziario.
Un aspetto confortante, tra quelli puntualmente analizzati da State of Ransomware 2022, è che finora le compagnie assicurative abbiano coperto almeno parzialmente i danni derivanti da attacchi ransomware ad altre tipologie di minacce informatiche. In ogni caso, l’esponenziale aumento della minaccia, ed il conseguente incremento del rischio, sta rapidamente portando le assicurazioni a rilasciare sempre meno polizze, lasciando alle organizzazioni ben poche alternative rispetto al miglioramento delle proprie strategie di difesa informatica.
A sostegno di tale argomentazione, interviene un ulteriore fattore di novità oggettiva. Se non si dispone di sistemi di sicurezza che le compagnie reputano adeguati, ottenere una polizza cyber assicurativa diventa praticamente impossibile, in quanto i requisiti stanno via via diventando sempre più stringenti, obbligando le organizzazioni ad investimenti importanti.
Il caso italiano: nel 2021, il 61% delle PMI è stato colpito da attacchi ransomware
Il campione italiano preso in considerazione da Vanson Bourne durante lo svolgimento del survey di State of Ransomware 2022 ha coinvolto 200 IT manager, appartenenti ad altrettante PMI con sede nel nostro paese. I dati raccolti durante il sondaggio, che si riferisce alla situazione dell’anno 2021, consentono pertanto di esprimere un andamento qualitativo che, pur in un contesto di allineamento generale, in alcuni ha dimostrato alcune importanti differenze rispetto alla situazione globale.
La percentuale di aziende italiane colpite da attacchi ransomware nel corso del 2021 sarebbe pari al 61%, un valore praticamente raddoppiato rispetto al 31% riscontrato nel corso del 2020 e in linea con il 66% rilevato a livello globale.
Nel contesto delle aziende italiane, il 74% delle realtà che ha dichiarato di aver subito un attacco ransomware, sostiene che almeno parte dei propri dati sia stata cifrata. Tale percentuale è pari a circa il doppio di quanto registrato nel 2020 (34%), ma si posiziona ben al di sopra della media riscontrata a livello globale, ferma al 65%.
Tutte le aziende italiane colpite da attacchi ransomware dichiarano di essere riuscite a recuperare almeno in parte i dati cifrati, prevalentemente grazie ai sistemi di backup (73%), mentre il 43% ha scelto di pagare il riscatto. In ogni caso, raramente si assiste ad una condotta monotematica. Le aziende tendono a muoversi su più fronti, cercando di mettere in atto più sistemi di ripristino in parallelo per dare forma a quanto previsto dai propri piani di continuità di business.
Tra le aziende italiane che hanno scelto di pagare il riscatto ai cybercriminali, il 63% sarebbe riuscita a riottenere i propri dati, valore in linea con la media globale (65% nel 2020, 61% nel 2021).
Soltanto 18 dei soggetti intervistati in Italia ha rivelato l’importo del riscatto versato, la cui media risulta pari a 308.071 dollari, con il 17% che ha pagato meno di 10mila dollari e l’11% che ha invece sborsato oltre un milione di dollari. Ricordiamo che a livello globale, la media dell’importo relativo ai riscatti pagati nel 2021 è risultata pari a 812.360 dollari, un valore decisamente più elevato rispetto all’indicatore italiano.
Il confronto rileverebbe che le nostre aziende sono state mediamente decisamente più fortunate, anche se un campione di sole 18 aziende risulta a nostro avviso troppo ristretto affinché possa ritenersi rappresentativo di quanto realmente accaduto nel nostro paese, almeno per quanto riguarda l’aspetto in questione.
Più interessante risulta il dato relativo ai costi medi che le aziende italiane hanno dovuto sostenere per rimediare in maniera definitiva ad un attacco ransomware subito nel corso del 2021: 1,65 milioni di dollari, a fronte dei 680mila dollari dell’anno precedente.
Si tratta di un dato molto pesante, a cui si aggiunge la testimonianza, offerta dall’89% degli intervistati, che l’attacco subito avrebbe comportato ripercussioni penalizzanti nello svolgimento delle attività. Tale andamento sarebbe assolutamente allineato con la tendenza a livello globale (90%).
A livello di conseguenze sul piano puramente commerciale, espresso in termini di perdita di fatturato, gli attacchi ransomware hanno penalizzato l’84% delle aziende italiane, valore anche in questo caso in linea con l’86% rilevato su scala globale.
Sul piano della continuità di business, gli attacchi ransomware si sono dimostrati sempre più violenti nella loro portata, influendo anche nei tempi di ripristino utili a riprendere le attività in una condizione ritenuta simile a quella che ha preceduto l’attacco. Questo aspetto motiverebbe facilmente gli elevati passivi citati nei punti precedenti anche sul piano puramente commerciale.
Cyber assicurazioni: la situazione polizze per le PMI italiane
Dal punto di vista della copertura assicurativa, l’87% delle aziende italiane sostiene di essere dotata di una polizza, attiva nel corso del 2021. Un valore superiore rispetto alla media globale (83%) che esprime un buon livello di prudenza generale, anche se la quasi totalità (93%) sostiene che il processo per ottenere tali polizze sia diventato molto più complicato rispetto all’anno precedente.
Il 45% delle aziende coinvolte dal sondaggio condotto da Vanson Bourne ha inoltre messo in evidenza come il livello dei requisiti in termini di cybersecurity necessario per ottenere una polizza cyber assicurativa sia diventato molto più stringente, così come le condizioni di rilascio della polizza stessa sarebbero sempre più complesse da formulare e rispettare.
Secondo il 30% delle aziende, le procedure di rilascio richiederebbero infatti molto tempo per poter soddisfare le molte verifiche, mentre il 38% lamenta un generale incremento dei costi di istruttoria. Il report rileva inoltre come in Italia vi sia stato un deciso incremento dei premi delle polizze cyber assicurative nel corso del secondo e del terzo trimestre 2021. Tale evidenza pertanto restituirà una situazione più definita soltanto quando si avranno a disposizione i dati relativi al 2022, quando tutte le aziende avranno rinnovato i loro contratti in essere, ingoiando un boccone decisamente amaro.
Tra i provvedimenti che le aziende hanno dovuto intraprendere per ottenere una miglior condizione assicurativa, il 95% dichiara di aver apportato cambiamenti migliorativi ai propri sistemi di difesa informatica. Il 64% ha invece introdotto nuovi servizi e tecnologie, il 56% ha investimento nella formazione del personale, mentre il 52% ha agito su vasta scala sia sui processi che sui comportamenti.
Sul piano risarcitorio in caso di incidente, i dati relativi al 2021 si presentano abbastanza confortanti, in quanto le compagnie avrebbero pagato un indennizzo relativo al 98% dei sinistri aperti a causa di attacchi ransomware. Tra questi, l’81% dei risarcimenti si è rivelato sufficiente a coprire le spese effettivamente sostenute per riprendere a pieno titolo l’attività, mentre soltanto nel 22% avrebbe coperto il pagamento del riscatto o spese di altra natura.
I consigli di sicurezza informatica contro gli attacchi ransomware
In virtù della propria esperienza sul campo, Sophos ha inoltre fornito alcuni suggerimenti generali per contenere il più possibile la minaccia ransomware nei confronti delle aziende, sia a titolo preventivo che per quanto riguarda l’incident response.
Li citiamo testualmente, così come formulati nel report State of Ransomware 2022:
- Implementare difese di elevata qualità in ogni parte del proprio ambiente informatico. Verificare i controlli di sicurezza implementati, per assicurarsi che continuino a soddisfare le proprie esigenze.
- Svolgere attività di individuazione proattiva delle minacce, per bloccare i cybercriminali prima che possano sferrare un attacco. In caso di mancanza di tempo o personale esperto, ci si può rivolgere a specialisti di Managed Detection and Response (MDR) esterni.
- Potenziare la sicurezza dell’ambiente, individuando e risolvendo le vulnerabilità di sicurezza, ovvero: i dispositivi a cui mancano patch, i computer non protetti, le porte RDP aperte ecc. Le soluzioni di Extended Detection and Response (XDR) sono ideali per svolgere questi tipi di attività.
- Prepararsi al peggio. Bisogna sapere esattamente cosa fare e chi contattare in caso di incidente informatico.
- Effettuare backup e svolgere esercitazioni di ripristino da questi backup. L’obiettivo è cercare di riprendere rapidamente le operazioni, con tempi di inattività minimi.
Tali attività prevedono naturalmente il supporto di consulenze specialistiche o affidamento in outsourcing di determinate attività. Le aziende si stanno muovendo in tale direzione per accrescere il proprio livello difensivo. Il dato più confortante, a fronte della drammatica ascesa del cybercrimine legato al ransomware, è relativo alla crescente consapevolezza dei rischi da parte delle aziende, che si concretizza nel progressivo aumento dell’investimento dedicato alla cybersicurezza.
In attesa che le aziende provvedano a rendere sempre più sicuri i propri sistemi IT, l’appuntamento è sin d’ora rinnovato per State of Ransomware 2023, dove scopriremo ancora una volta a che punto sarà arrivata l’eterna guerra tra gli specialisti della cybersicurezza e la micidiale creatività tecnologica dei cybercriminali.
Contattaci
Ultime News Cyber Security
-
-
Cos’è un Ransomware, come si prende e come proteggersi
28 Aprile 2023 -
Che cos’è un malware e come affrontarlo?
24 Aprile 2023 -
-
Purple Team, Red Team e Blue Team: differenze e cosa fanno
15 Aprile 2023 -
-
Zero Day Exploit: Cos’è e Come Proteggersi
3 Aprile 2023 -
-
Smishing: cos’è e come difendersi da questi attacchi informatici
20 Gennaio 2023 -
Dati biometrici: un nuovo concetto di identità e sicurezza
30 Settembre 2022