Ransomware: i dati 2021, le cyber assicurazioni e i consigli per le PMI

Data di pubblicazione: 22 Luglio 2022

Puntuale come ogni anno, arriva sul tavolo dei professionisti e degli appassionati della sicurezza informatica il report State of Ransomware 2022 di Sophos, ormai considerato in maniera pressoché unanime quale uno dei documenti più rappresentativi in materia di cybersecurity.

Il report sintetizza i risultati di una ricerca agnostica dal punto di vista dell’offerta commerciale, svolta per conto di Sophos dalla società Vanson Bourne. Il sondaggio si è svolto nel periodo gennaio-febbraio dell’anno in corso ed ha coinvolto 5.600 IT manager nell’ambito delle imprese di medie dimensioni (100-5000 dipendenti), attive in 31 differenti paesi.

Tra le varie considerazioni, utili a focalizzare i principali aspetti relativi alla minaccia ransomware, il lavoro di Sophos offre una sezione specifica sulla realtà italiana, che contiene dati preziosi per formulare alcune considerazioni sullo stato della sicurezza informatica nel nostro paese, in particolare per quanto concerne la percezione e il coinvolgimento della piccola e media impresa in un contesto che di giorno in giorno si presenta quale una costante minaccia per il business.

Indice dei contenuti

Ransomware, una minaccia senza fine, sempre più sofisticata a livello globale

Il fenomeno ransomware diventa anno dopo anno sempre più dilagante, al punto da costituire una minaccia costante per le organizzazioni attive in tutti i settori di attività. Secondo l’indagine svolta da Vanson Bourne a inizio 2022, relativa alla situazione complessiva dell’anno 2021, esattamente due terzi delle aziende (66%) sono state colpite direttamente da un attacco ransomware, un dato che testimonia una drammatica crescita rispetto all’anno della pandemia Covid-19, quel maledetto 2020 in cui il 33% delle organizzazioni rimase concretamente vittima di tale minaccia.

E pensare che, soltanto un anno fa, apparivano quali numeri impressionanti. L’impatto del ransomware è esattamente raddoppiato nel giro di dodici mesi e il trend non lascia presagire particolari rallentamenti nella sua dinamica evolutiva.

Di fronte a certi numeri, che lasciano ben poco spazio all’immaginazione, è lecito parlare di una normalizzazione, anche nella percezione diffusa delle aziende, sempre più consapevoli dei rischi che corrono, al punto da aver aumentato gli investimenti in cybersecurity, sia per migliorare il proprio livello di protezione che per gestire le conseguenze degli attacchi, sapendo già che, presto o tardi, andranno puntualmente a segno.

Piuttosto controversi i dati relativi al pagamento dei riscatti ai cybercriminali, nel contesto degli attacchi a singola, doppia e tripla estorsione. Il 41% dei soggetti coinvolti nel sondaggio ha ammesso di aver pagato una volta vittima da un attacco ransomware. Di questi, il 61% ha dichiarato di essere riuscito a recuperare almeno parzialmente i dati cifrati, mentre soltanto il 4% avrebbe recuperato tutti i dati.

Si tratta di un dato in leggera e poco rilevante flessione rispetto all’anno precedente, ma ciò che sorprende maggiormente è l’entità assunta dai pagamenti di riscatto a livello globale, drammaticamente impennatasi ad una media di 812.360 dollari nel corso del 2021. Il numero di aziende che ha pagato riscatti superiori al milione di dollari è addirittura triplicato rispetto all’anno precedente e soltanto il 21% delle aziende colpite da attacchi ransomware nel corso del 2021 se la sarebbe cavata con cifre relativamente modeste, quantificate entro i 10mila dollari.

Il settore aziendale che ha pagato maggiormente dazio è stato quello manifatturiero, con una media di riscatto nell’ordine di due milioni di euro, mentre il settore sanitario si posiziona sorprendentemente in coda, con una media di 197mila dollari.

Uno dei dati più significativi emersi dall’indagine è il fatto che non sarebbe affatto sufficiente aumentare il budget e il numero di persone da dedicare alla sicurezza informatica in azienda.

Occorre soprattutto investire sulle tecnologie adeguate rispetto all’esigenza specifica, coinvolgendo quindi le competenze adeguate a livello di risorse umane, il che porta le aziende, ed in particolar modo le PMI, ad affidare sempre più spesso in outsourcing l’implementazione e la gestione di determinati ambiti della sicurezza informatica. Al di là che ciò rientri nelle logiche commerciali di un soggetto come Sophos, si tratta di un fenomeno facilmente riscontrabile sul campo, nella quotidiana pratica delle aziende.

Il ricorso ad una consulenza esperta viene soprattutto interpretata quale uno dei sistemi più efficaci per massimizzare il ritorno dell’investimento in materia di cybersecurity. Tale investimento viene sempre più spesso tutelato grazie alla sottoscrizione di polizze assicurative contro i danni derivanti da attacchi informatici, per mitigare almeno in parte il rischio finanziario.

Un aspetto confortante, tra quelli puntualmente analizzati da State of Ransomware 2022, è che finora le compagnie assicurative abbiano coperto almeno parzialmente i danni derivanti da attacchi ransomware ad altre tipologie di minacce informatiche. In ogni caso, l’esponenziale aumento della minaccia, ed il conseguente incremento del rischio, sta rapidamente portando le assicurazioni a rilasciare sempre meno polizze, lasciando alle organizzazioni ben poche alternative rispetto al miglioramento delle proprie strategie di difesa informatica.

A sostegno di tale argomentazione, interviene un ulteriore fattore di novità oggettiva. Se non si dispone di sistemi di sicurezza che le compagnie reputano adeguati, ottenere una polizza cyber assicurativa diventa praticamente impossibile, in quanto i requisiti stanno via via diventando sempre più stringenti, obbligando le organizzazioni ad investimenti importanti.

Il caso italiano: nel 2021, il 61% delle PMI è stato colpito da attacchi ransomware

Il campione italiano preso in considerazione da Vanson Bourne durante lo svolgimento del survey di State of Ransomware 2022 ha coinvolto 200 IT manager, appartenenti ad altrettante PMI con sede nel nostro paese. I dati raccolti durante il sondaggio, che si riferisce alla situazione dell’anno 2021, consentono pertanto di esprimere un andamento qualitativo che, pur in un contesto di allineamento generale, in alcuni ha dimostrato alcune importanti differenze rispetto alla situazione globale.

La percentuale di aziende italiane colpite da attacchi ransomware nel corso del 2021 sarebbe pari al 61%, un valore praticamente raddoppiato rispetto al 31% riscontrato nel corso del 2020 e in linea con il 66% rilevato a livello globale.

Nel contesto delle aziende italiane, il 74% delle realtà che ha dichiarato di aver subito un attacco ransomware, sostiene che almeno parte dei propri dati sia stata cifrata. Tale percentuale è pari a circa il doppio di quanto registrato nel 2020 (34%), ma si posiziona ben al di sopra della media riscontrata a livello globale, ferma al 65%.

Tutte le aziende italiane colpite da attacchi ransomware dichiarano di essere riuscite a recuperare almeno in parte i dati cifrati, prevalentemente grazie ai sistemi di backup (73%), mentre il 43% ha scelto di pagare il riscatto. In ogni caso, raramente si assiste ad una condotta monotematica. Le aziende tendono a muoversi su più fronti, cercando di mettere in atto più sistemi di ripristino in parallelo per dare forma a quanto previsto dai propri piani di continuità di business.

Tra le aziende italiane che hanno scelto di pagare il riscatto ai cybercriminali, il 63% sarebbe riuscita a riottenere i propri dati, valore in linea con la media globale (65% nel 2020, 61% nel 2021).

Soltanto 18 dei soggetti intervistati in Italia ha rivelato l’importo del riscatto versato, la cui media risulta pari a 308.071 dollari, con il 17% che ha pagato meno di 10mila dollari e l’11% che ha invece sborsato oltre un milione di dollari. Ricordiamo che a livello globale, la media dell’importo relativo ai riscatti pagati nel 2021 è risultata pari a 812.360 dollari, un valore decisamente più elevato rispetto all’indicatore italiano.

Il confronto rileverebbe che le nostre aziende sono state mediamente decisamente più fortunate, anche se un campione di sole 18 aziende risulta a nostro avviso troppo ristretto affinché possa ritenersi rappresentativo di quanto realmente accaduto nel nostro paese, almeno per quanto riguarda l’aspetto in questione.

Più interessante risulta il dato relativo ai costi medi che le aziende italiane hanno dovuto sostenere per rimediare in maniera definitiva ad un attacco ransomware subito nel corso del 2021: 1,65 milioni di dollari, a fronte dei 680mila dollari dell’anno precedente.

Si tratta di un dato molto pesante, a cui si aggiunge la testimonianza, offerta dall’89% degli intervistati, che l’attacco subito avrebbe comportato ripercussioni penalizzanti nello svolgimento delle attività. Tale andamento sarebbe assolutamente allineato con la tendenza a livello globale (90%).

A livello di conseguenze sul piano puramente commerciale, espresso in termini di perdita di fatturato, gli attacchi ransomware hanno penalizzato l’84% delle aziende italiane, valore anche in questo caso in linea con l’86% rilevato su scala globale.

Sul piano della continuità di business, gli attacchi ransomware si sono dimostrati sempre più violenti nella loro portata, influendo anche nei tempi di ripristino utili a riprendere le attività in una condizione ritenuta simile a quella che ha preceduto l’attacco. Questo aspetto motiverebbe facilmente gli elevati passivi citati nei punti precedenti anche sul piano puramente commerciale.

Cyber assicurazioni: la situazione polizze per le PMI italiane

Dal punto di vista della copertura assicurativa, l’87% delle aziende italiane sostiene di essere dotata di una polizza, attiva nel corso del 2021. Un valore superiore rispetto alla media globale (83%) che esprime un buon livello di prudenza generale, anche se la quasi totalità (93%) sostiene che il processo per ottenere tali polizze sia diventato molto più complicato rispetto all’anno precedente.

Il 45% delle aziende coinvolte dal sondaggio condotto da Vanson Bourne ha inoltre messo in evidenza come il livello dei requisiti in termini di cybersecurity necessario per ottenere una polizza cyber assicurativa sia diventato molto più stringente, così come le condizioni di rilascio della polizza stessa sarebbero sempre più complesse da formulare e rispettare.

Secondo il 30% delle aziende, le procedure di rilascio richiederebbero infatti molto tempo per poter soddisfare le molte verifiche, mentre il 38% lamenta un generale incremento dei costi di istruttoria. Il report rileva inoltre come in Italia vi sia stato un deciso incremento dei premi delle polizze cyber assicurative nel corso del secondo e del terzo trimestre 2021. Tale evidenza pertanto restituirà una situazione più definita soltanto quando si avranno a disposizione i dati relativi al 2022, quando tutte le aziende avranno rinnovato i loro contratti in essere, ingoiando un boccone decisamente amaro.

Tra i provvedimenti che le aziende hanno dovuto intraprendere per ottenere una miglior condizione assicurativa, il 95% dichiara di aver apportato cambiamenti migliorativi ai propri sistemi di difesa informatica. Il 64% ha invece introdotto nuovi servizi e tecnologie, il 56% ha investimento nella formazione del personale, mentre il 52% ha agito su vasta scala sia sui processi che sui comportamenti.

Sul piano risarcitorio in caso di incidente, i dati relativi al 2021 si presentano abbastanza confortanti, in quanto le compagnie avrebbero pagato un indennizzo relativo al 98% dei sinistri aperti a causa di attacchi ransomware. Tra questi, l’81% dei risarcimenti si è rivelato sufficiente a coprire le spese effettivamente sostenute per riprendere a pieno titolo l’attività, mentre soltanto nel 22% avrebbe coperto il pagamento del riscatto o spese di altra natura.

I consigli di sicurezza informatica contro gli attacchi ransomware

In virtù della propria esperienza sul campo, Sophos ha inoltre fornito alcuni suggerimenti generali per contenere il più possibile la minaccia ransomware nei confronti delle aziende, sia a titolo preventivo che per quanto riguarda l’incident response.

Li citiamo testualmente, così come formulati nel report State of Ransomware 2022:

Implementare difese di elevata qualità in ogni parte del proprio ambiente informatico. Verificare i controlli di sicurezza implementati, per assicurarsi che continuino a soddisfare le proprie esigenze.
Svolgere attività di individuazione proattiva delle minacce, per bloccare i cybercriminali prima che possano sferrare un attacco. In caso di mancanza di tempo o personale esperto, ci si può rivolgere a specialisti di Managed Detection and Response (MDR) esterni.
Potenziare la sicurezza dell’ambiente, individuando e risolvendo le vulnerabilità di sicurezza, ovvero: i dispositivi a cui mancano patch, i computer non protetti, le porte RDP aperte ecc. Le soluzioni di Extended Detection and Response (XDR) sono ideali per svolgere questi tipi di attività.
Prepararsi al peggio. Bisogna sapere esattamente cosa fare e chi contattare in caso di incidente informatico.
Effettuare backup e svolgere esercitazioni di ripristino da questi backup. L’obiettivo è cercare di riprendere rapidamente le operazioni, con tempi di inattività minimi.

Tali attività prevedono naturalmente il supporto di consulenze specialistiche o affidamento in outsourcing di determinate attività. Le aziende si stanno muovendo in tale direzione per accrescere il proprio livello difensivo. Il dato più confortante, a fronte della drammatica ascesa del cybercrimine legato al ransomware, è relativo alla crescente consapevolezza dei rischi da parte delle aziende, che si concretizza nel progressivo aumento dell’investimento dedicato alla cybersicurezza.

In attesa che le aziende provvedano a rendere sempre più sicuri i propri sistemi IT, l’appuntamento è sin d’ora rinnovato per State of Ransomware 2023, dove scopriremo ancora una volta a che punto sarà arrivata l’eterna guerra tra gli specialisti della cybersicurezza e la micidiale creatività tecnologica dei cybercriminali.

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durata	Descrizione
__kla_id	2 years	Cookie set to track when someone clicks through a Klaviyo email to a website.
SRM_B	1 year 24 days	Used by Microsoft Advertising as a unique ID for visitors.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-137720848-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gat_UA-35242002-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
ajs_anonymous_id	1 year	This cookie is set by Segment to count the number of people who visit a certain site by tracking if they have visited before.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Ransomware, una minaccia senza fine, sempre più sofisticata a livello globale

Il caso italiano: nel 2021, il 61% delle PMI è stato colpito da attacchi ransomware

Cyber assicurazioni: la situazione polizze per le PMI italiane

I consigli di sicurezza informatica contro gli attacchi ransomware

Contattaci

Ultime News Cyber Security

Attack Surface: cos’è e come ridurre la superficie di attacco

Crittografia simmetrica e asimmetrica: significato e differenze

Dark web: cos’è, come accedere e cosa si trova

Differenza tra phishing, smishing e vishing

Social engineering: cos’è, tipi di attacchi e come proteggersi

Phishing attack: cos’è e come prevenire gli attacchi di phishing

Ethical hacker: chi è, competenze e come diventarlo

Incident Response: 7 fasi per minimizzare i danni più velocemente

Deep web: cos’è, come entrarci e i suoi pericoli

Insider Threats: identifica e contrasta le minacce interne

Cookie	Durata	Descrizione
__awc_tld_test__	session	No description
_clck	1 year	No description
_clsk	1 day	No description
_hjSession_1956240	30 minutes	No description
_hjSessionUser_1956240	1 year	No description
AnalyticsSyncHistory	1 month	No description
CLID	1 year	No description
last_pys_landing_page	7 days	No description
last_pysTrafficSource	7 days	No description
li_gc	2 years	No description
pys_first_visit	7 days	No description
pys_landing_page	7 days	No description
pys_session_limit	1 hour	No description
pys_start_session	session	No description
pysTrafficSource	7 days	No description
SM	session	No description available.

Ransomware, i dati 2021, le cyber assicurazioni e i consigli per le PMI

Ransomware, una minaccia senza fine, sempre più sofisticata a livello globale

Il caso italiano: nel 2021, il 61% delle PMI è stato colpito da attacchi ransomware

Cyber assicurazioni: la situazione polizze per le PMI italiane

I consigli di sicurezza informatica contro gli attacchi ransomware

Contattaci

Ultime News Cyber Security