L’attacco informatico subito il mese scorso da uno dei fornitori della Toyota ha costretto l’azienda ad interrompere la produzione di quasi 13 000 veicoli in Giappone. Il costo globale degli attacchi informatici ammonta a 6 000 miliardi di dollari l’anno ed aumenta ogni anno. Gli attacchi informatici possono avere conseguenze disastrose per le aziende di tutte le dimensioni, ma soprattutto per le più piccole. Il costo medio di un attacco ransomware può ammontare fino a 1,2 milioni di dollari, e fino a 1,6 milioni di dollari in caso di violazione dei dati informatici. È necessaria un’azione urgente per sostenere le piccole e medie imprese (PMI) nella migliore preparazione e gestione dei rischi per la sicurezza digitale.
Chiudi bene la porta alle tue spalle…
Durante la pandemia, il 70% delle PMI ha adottato nuove soluzioni di e-commerce, telelavoro o smart working. Ciò ha creato nuove opportunità per gli attori malintenzionati di sfruttare applicazioni web, dispositivi e sistemi costruiti frettolosamente. Nel 2020, l’FBI ha ricevuto un numero record di denunce, aumentate del 69% rispetto all’anno precedente. In Austria, il 60% delle aziende ha dichiarato di avere subito un attacco informatico nel 2021, mentre in Germania i danni economici causati dalla criminalità informatica sono più che raddoppiati tra il 2019 e il 2021, raggiungendo i 220 miliardi di euro.
Le PMI sono in ritardo rispetto alle aziende più grandi nell’adozione di pratiche di sicurezza avanzate
Le grandi aziende come Toyota, con più dati e risorse finanziarie a loro disposizione, sono chiaramente obiettivi interessanti. Avendo minori livelli di digitalizzazione, una superficie di attacco più piccola e meno dati per suscitare l’attenzione dei cyber criminali, si potrebbe pensare che le PMI corrano meno rischi.
Tuttavia molte piccole aziende, accelerando nell’adozione di strumenti digitali, stanno offrendo agli hacker nuove opportunità. Le grandi aziende, dotate di maggiore esperienza nell’uso di soluzioni digitali e di sistemi di difesa avanzati e personalizzati, sono più difficili e costose da violare, mentre molte PMI possono cadere vittime di attacchi replicabili ed a basso costo. Inoltre, la criminalità informatica è ora alla portata di dilettanti, che acquistano online ransomware “as-a-service” per estorcere importi minori alle PMI correndo rischi ridotti.
Gli hacker più ambiziosi stanno scoprendo che le PMI possono costituire una porta secondaria per accedere ad aziende più grandi, in quanto nodi deboli nelle loro catene di approvvigionamento. Il settore automobilistico rischia di essere particolarmente vulnerabile, essendo caratterizzato da catene di approvvigionamento lunghe, complesse e interconnesse, con diversi livelli di cybersicurezza e vulnerabilità. Nell’ottobre 2021, l’azienda di forniture automobilistiche tedesca Eberspächer ha subito un attacco che ha paralizzato i suoi sistemi informatici per diversi giorni. I cybercriminali hanno anche paralizzato Pilz e Schmersal, due aziende specialiste dell’automazione nel settore, e sempre più spesso prendono di mira piccole imprese che forniscono componenti speciali per interrompere la produzione.
Proteggere i dati
Le PMI in tutti i settori devono migliorare la loro capacità di gestire i rischi legati alla sicurezza digitale e difendere i loro dati. Nel 2019, nell’UE28, in media il 33% delle PMI adottava misure o procedure per la sicurezza informatica rispetto al 76% delle grandi imprese. Un primo passo è migliorare la gestione dei dati ed aumentare la consapevolezza dei rischi legati alla sicurezza digitale. La formazione nelle aziende è fondamentale, poiché gli “insider” causano una quota crescente di incidenti. Nel 2021 nel Regno Unito, il 57% degli incidenti ha avuto origine all’interno delle aziende e la maggior parte di essi è avvenuta per caso.
Molti governi stanno aiutando le PMI a combattere la minaccia. In Germania, l’Ufficio per il trasferimento della sicurezza informatica nelle PMI sostiene il trasferimento di conoscenze e tecnologie relative alla sicurezza informatica, nonché l’attuazione di misure di cybersicurezza e campagne di sensibilizzazione. In Costa Rica, i Centri Comunitari Intelligenti (CECI) adottano un approccio pratico, offrendo alle PMI corsi di base sulla cybersicurezza. Propongono anche corsi di formazione su tecnologie basate sui dati quali statistica, big data, intelligenza artificiale e l’Internet delle Cose (IoC).
I governi stanno anche lavorando con le aziende tecnologiche per migliorare la sicurezza digitale. Ciò include lo sviluppo di soluzioni commerciali dedicate alle PMI, nonché misure per migliorare i protocolli di sicurezza nei prodotti e servizi esistenti. L’Australia sta investendo 1,67 miliardi di dollari australiani attraverso la sua Strategia Australiana per la Cybersicurezza 2020, che aiuterà le aziende a migliorare la sicurezza dei loro prodotti e servizi e a proteggere i loro clienti dalle minacce informatiche conosciute. La Svezia ha fornito sovvenzioni a consorzi per progettare soluzioni di cybersicurezza per nuovi prodotti e servizi sviluppati nel paese.
Meccanismi di cooperazione efficaci, compresi buoni canali di comunicazione, possono essere vitali per identificare e rispondere alle minacce emergenti. Le reti tra settori industriali, tra PMI e grandi imprese, nonché tra diverse giurisdizioni per la lotta contro gli attacchi “no-border” stanno diventando sempre più importanti. In Germania, l’Ufficio federale per la sicurezza delle informazioni (BSI) sta cercando di creare resilienza attraverso la condivisione di conoscenze ed esperienze tra aziende e fornitori di sicurezza informatica, con il motto “Le reti proteggono le reti”.
La lotta alla criminalità informatica si sta intensificando. Via via che i dati acquisiscono vitale importanza per i modelli di business delle PMI (“conosci il tuo cliente”), le operazioni delle catene di approvvigionamento (“produzione just-in-time“) e i processi di produzione (“automazione”), anche il loro valore per gli attori malintenzionati aumenta. Allo stesso tempo, gli strumenti, le abilità e le tecniche a disposizione dei criminali si stanno facendo sempre più avanzati e meno costosi. Le PMI devono intraprendere azioni urgenti per stare al passo, collaborando con i governi e la comunità tecnologica per proteggere sé stesse, i propri clienti e le catene di approvvigionamento.
La Raccomandazione dell’OCSE sulla gestione del rischio nella sicurezza digitale per il benessere economico e sociale fornisce una guida per una nuova generazione di politiche volte ad ottimizzare l’apertura digitale e la gestione del rischio in materia di sicurezza digitale. La Raccomandazione invita i più alti responsabili in seno a governi ed organizzazioni competenti a ridurre il rischio complessivo e pone un’enfasi particolare sull’opportunità di consentire alle PMI di gestire i propri rischi relativi alla sicurezza digitale.
Per ulteriori informazioni sulla sicurezza digitale nelle PMI, le tendenze emergenti e le relative politiche, si prega di consultare le recenti pubblicazioni « The Digital Transformation of SMEs » e « OECD SME and Entrepreneurship Outlook 2021 ». E non perdetevi l’uscita della Fase I del progetto CE/OCSE « Unleashing SME potential to scale up », che approfondisce la questione chiave della gestione dei dati delle PMI.
Leggi l’articolo in questa lingua:
Sandrine Kergroach is Head of SME and Entrepreneurship Performance, Policies and Mainstreaming unit at the OECD Centre for Entrepreneurship, SMEs, Regions and Cities (CFE). She leads the work on innovation, internationalisation and the scaling up of SMEs and start-ups, their productivity and ESG performance. She supervises activities related to policy monitoring, the development of data infrastructure and the OECD SME and Entrepreneurship Outlook. She also leads efforts for mainstreaming SME&E policy considerations. Sandrine holds a Doctorate in Economics (TU Berlin), a Master in Strategy and Management (Paris Dauphine-PSL), a Master in Modern History (Paris Sorbonne) and a Bachelor in Applied Economics and Statistics (Paris Dauphine-PSL).
Stefan Becker joined the Federal Office for Infomation Security (BSI) as Head of Section, Cyber Security for the Private Sector in May 2017. He started his career at the criminal police in Bonn in 1994. With the creation of the Cybercrime Competence Centre he moved on to the Landeskriminalamt Nordrhein-Westfalen in 2011. Stefan Becker holds a degree in public administration as well as an MBA with a specialisation in Risk and Fraud Management.
Laurent Bernat is a policy analyst at the OECD Secretariat in the Digital Economy Policy Division. He supports the Working Party on Security in the Digital Economy (SDE), under the Committee on Digital Economy Policy (CDEP), as well as the OECD Global Forum on Digital Security for Prosperity. He led the development of the OECD Recommendations on Digital Security Risk Management for Economic and on Social Prosperity (2015) and on Digital Security of Critical Activities (2019). Currently, he coordinates policy work on the digital security of products, vulnerability treatment, “responsible response” by private actors, and the security of communication networks. Laurent worked on many different trust-related policy issues including national cybersecurity strategies, digital identity management, RFID, cryptography policy and the protection of children online. Prior to joining the OECD in 2003, he worked at the French data protection agency, the Commission nationale de l'informatique et des libertés (CNIL) and was associate director in an Internet consulting firm. Laurent BERNAT has a master in political science and international relations.