Prima di approfondire il tema dei rischi di un attacco cyber, è importante sottolineare che la minaccia, per le aziende, si fa sempre più seria e concreta.
Il Rapporto Clusit del 2024 sottolinea ancora una volta l’aumento costante degli incidenti informatici, sia in termini numerici che di gravità. Non solo gli incidenti sono cresciuti del 65% in Italia rispetto all’anno precedente (+12% a livello globale), ma presentano quasi tutti (81%) un livello di gravità elevato o critico. La cyber security resta dunque un tema di primaria rilevanza per tutte le organizzazioni, a prescindere dal loro livello di maturità e dalle attività già in essere.
I rischi di un attacco cyber: business continuity e confidenzialità dei dati
Per quanto riguarda i rischi di un attacco informatico, non esiste una scala gerarchica universalmente valida. Al contrario, le aziende sono chiamate a condurre un'analisi del rischio e una valutazione degli impatti che tengano conto di tutte le dimensioni coinvolte da un potenziale attacco cyber: quella operativa, finanziaria, legale e reputazionale.
Le priorità di intervento dipendono dunque da un caso all’altro: hanno un peso le dimensioni dell’azienda, il costo del downtime, le normative cui è soggetta e il panorama competitivo, che cambia da un settore all’altro. Si può tuttavia affermare che, tra i rischi di un attacco cyber più temuti dalle imprese, ci siano certamente le interruzioni operative (downtime) e tutto ciò che riguarda l’accessibilità, l’integrità e la confidenzialità dei dati.
Negli anni, gli analisti hanno provato a quantificare in termini finanziari sia il downtime che i data breach. Gartner, prendendo in considerazione aziende di grandi dimensioni, stimò nel 2014 un costo di 5.600 dollari al minuto, e successive rilevazioni (di altri analisti) sono ancora superiori. Addirittura, si stima che un’ora di downtime durante il Prime Day 2018 costò ad Amazon fino a 100 milioni di dollari.
Casi estremi a parte, il downtime è il nemico giurato di qualsiasi attività d’impresa, soprattutto in certi settori come il manufacturing, la cui operatività può essere compromessa da un attacco diretto alle proprie reti OT.
Altro rischio di primissimo piano è quello che riguarda la cosiddetta triade CIA dei dati, ovvero Confidenzialità, Integrità e Disponibilità. Entriamo di fatto nell’ambito del data breach, le cui conseguenze si manifestano in tre ambiti:
- economico, legato a possibili azioni legali dei soggetti danneggiati;
- di compliance (GDPR, HIPAA…) e quindi potenziali sanzioni;
- reputazionale, legato alla rottura della relazione di fiducia con i titolari dei dati e con l’ecosistema commerciale dell’impresa.
Anche in questo caso, la quantificazione dipende da un caso all’altro, dalla gravità dell’incidente, dall’aderenza alle procedure definite dai regolamenti e molti altri fattori. Per avere un ordine di grandezza, però, ci si può fidare della valutazione di IBM, secondo cui il costo medio del data breach è attualmente di 4,45 milioni di dollari.
Rischi di un attacco cyber: i danni reputazionali e la perdita di competitività
I principali rischi di un attacco cyber non riguardano solo la continuità del business e la violazione dei dati . Per quanto essi siano certamente i più evidenti, ce ne sono altri non meno significativi.
Il danno reputazionale potrebbe essere il peggiore in assoluto per l’azienda, perché ha conseguenze a lungo termine e influenza la percezione dei clienti, degli investitori e del pubblico in generale. Nessun cliente o partner commerciale desidera legarsi a un’organizzazione che ha dimostrato di non essere in grado di proteggere adeguatamente la propria operatività e/o i propri dati. Le conseguenze possono essere la perdita di clienti, riduzione della fiducia del mercato (crollo del valore del titolo, in caso di quotazione), aumento delle richieste di risarcimento, e molto altro. Inoltre, i competitor possono approfittare agevolmente dell'immagine danneggiata dell'azienda per acquisire nuovi clienti e ottenere un vantaggio competitivo.
Per quanto riguarda gli impatti finanziari degli attacchi cyber, spesso si parla di conseguenze indirette, come quelle che dipendono da problematiche di compliance e/o di continuità del business. Esistono in realtà anche gli attacchi diretti al patrimonio dell'azienda: si pensi alle frodi finanziarie, alle estorsioni o al social engineering finalizzato ad accedere e appropriarsi indebitamente delle risorse (economiche) aziendali.
Non da ultimo, gli incidenti cyber obbligano l'azienda a importanti esborsi finanziari non previsti, e dunque riducono fortemente la sua capacità di investimento. Questo può mettere l'azienda in una posizione di svantaggio non solo reputazionale rispetto ai suoi concorrenti, ma anche di budget (si pensi a quelli pubblicitari, o in ricerca e sviluppo).
I concorrenti più agguerriti potrebbero essere in grado di capitalizzare sull'instabilità dell'azienda danneggiata e conquistare facilmente quote di mercato.
Tutto ciò accresce l’importanza di investire su servizi, tecnologie e formazione in ambito cyber security, partendo sicuramente da una conoscenza a 360 gradi dei propri rischi cyber oltre che dal mettere in campo, non solo risposte, ma anche adeguati investimenti in prevenzione. È fondamentale, quindi, che le organizzazioni non sottovalutino la portata di questi rischi e investano concretamente nella sicurezza informatica.
