Abbiamo già parlato altre volte di cybersecurity indicando quanto la situazione non fosse delle più rosee, discutendo anche dati riguardanti vari stati dell’Europa. Questa volta ci concentriamo sui costi che una mancata sicurezza informatica sembra avere sul territorio italiano, grazia a un’indagine svolta da Claudia Biancotti, senior economist del dipartimento di Economia e Statistica della Banca d’Italia.
Informazioni di base
L’articolo considera i valori mediani. La mediana è il valore centrale di un insieme di dati. Descrivendo in maniera grossolana e senza approfondire troppo l’argomento, dato un insieme di valori (per esempio: 0, 0, 1, 2, 3, 4, 5, 5, 6, 7, 7), la mediana sarà il valore che si colloca esattamente al centro di questo insieme (in questo caso la mediana è 4). È stato preso in esame un campione rappresentativo di aziende del settore privato industriale e non-finanziario con almeno 20 dipendenti, per un totale di 3.824 compagnie. Ora siamo pronti per parlare di un mercato che, nel 2016 (anno a cui fa riferimento l’analisi), valeva 570 milioni di euro.
Il settore aziendale
Da questa indagine emerge come l’azienda mediana spenda appena 4.530 € per proteggersi da attacchi informatici. Le cose cambiano chiaramente in base al settore: il range di spesa varia dai 3.120€ delle aziende low-tech (aziende in cui la componente tecnologica è di scarso interesse), ai 19.080€ delle compagnie del settore ICT (Information and Communication Technology; Tecnologie delle informazioni e comunicazioni) perché queste aziende trattano una grande mole di dati preziosi, per cui saranno naturalmente più portate a tutelarsi. Non sorprende, dunque, che solo in questo settore (il 5% del campione) è stato speso l’11% del totale.
La dimensione delle aziende
Ovviamente su questi dati influiscono anche le dimensioni delle aziende. Se l’azienda mediana di 50 dipendenti spende i 3.120€ di cui sopra, quella di 500 dipendenti ne spende 44.590. Infatti, le compagnie più grandi hanno più dispositivi connessi da proteggere, più personale da formare per usarli correttamente e in maniera sicura e anche un numero maggiore di potenziale attacchi informatici da dover gestire, per cui avranno addirittura un intero dipartimento IT deputato alla stima, la prevenzione e la gestione di tali attacchi.
The price of cyber (in)security: evidence from the Italian private sector. From a survey an analysis of the phenomenon and its consequences on the economic growth. Read more about it on the #QEF n.407, published on the #BankOfItaly website: https://t.co/XZCkkDOVGG pic.twitter.com/U2kk6jLGuz
— Banca d’Italia (@bancaditalia) 3 dicembre 2017
Lo Stivale e la cybersecurity
Differenze importanti si rilevano anche tra Nord e Sud del Paese. Il valore mediano di spesa al Sud Italia è di appena 2.700€ contro i 5.000€ di quelle del Nord. Le analisi dimostrano però che questa differenza è spiegabile solo in parte dal fatto che al Sud ci siano più aziende piccole e low-tech. Si ipotizzano dunque anche altre cause quali una minore consapevolezza delle minacce informatiche e una minore quantità di dispostivi connessi, così come è possibile che il mercato della sicurezza informatica al Sud sia decisamente più piccolo.
Come ci difendiamo?
Praticamente tutti hanno dichiarato di usare un software antivirus (aggiornato ogni quanto, però, non è dato saperlo). Inoltre, due terzi delle aziende si premura di formare i propri dipendenti sulla cybersecurity. Risultano meno comuni le analisi di vulnerabilità e la cifratura dei dati.
Conseguenze amare
Una protezione adeguata è importante. Ricordiamo che questi attacchi hanno provocato l’interruzione delle attività e ore di lavoro extra. I danni ammonterebbero a 10.000€ nel 90% dei casi, a 50.000% nell’1% e a oltre 200.000€ nello 0,1%. La stima dei danni che le aziende subiscono, però, potrebbe essere superiore. Infatti, gli effetti indiretti sono difficili da calcolare e fonti esterne testimoniano grandi incidenti informatici, per cui si ritiene che questi valori rappresentino una sottostima del dato reale.
La corsa ai ripari
Questi dati sono importanti perché permettono di pensare a eventuali politiche per ostacolare questi fenomeni. Inoltre, in questo modo i privati possono capire quanto investire in sicurezza informatica. Infatti, un forte incentivo di spesa in materia di sicurezza informatica è dato dall’aver subito in precedente un attacco: ben l’81% delle aziende vittime di attacchi informatici ha conseguentemente investito per aumentare le proprio difese. E voi? Quanto spendete per/spende la vostra azienda in cybersecurity? La ritenete una cifra adeguata? Fatecelo sapere con un commento.
Davide Camarda
