Cybersicurezza: Pmi si sentono a posto, ma agiscono male e non si formano
Una ricerca di Grenke Italia, società specializzata nel noleggio operativo di beni e servizi strumentali per le imprese, evidenzia come il 72,7% delle aziende italiane non ha mai svolto attività di formazione in materia di cybersecurity, il 73,3% non sa cosa sia un attacco ransomware mentre il 43% non ha un responsabile della sicurezza informatica, il 26% è quasi sprovvisto di sistemi di protezione e solo 1 azienda su 4 (22%) ha una rete “segmentata” cioè più sicura. Queste evidenze della survey, realizzata in collaborazione con Cerved Group e Clio Security, tratteggiano una certa “superficialità” delle piccole e medie imprese italiane che pensano di essere al sicuro o esenti da possibili attacchi informatici ma che spesso non adottano comportamenti virtuosi e sanno poco e niente dei pericoli a cui vanno incontro. La ricerca ha riguardato un campione rappresentativo di circa più di 800 imprese con un fatturato compreso fra 1 e 50 milioni di euro e tra 5 e 250 dipendenti. “Sosteniamo da sempre - afferma Aurelio Agnusdei, country manager di GRENKE Italia - il percorso di trasformazione digitale delle PMI, e il tema della cybersecurity è una parte importante di questo percorso che, se non gestito adeguatamente, può impattare negativamente sul business dell’impresa perciò nell’ottica di ascolto e supporto concreto ai nostri clienti abbiamo commissionato questa ricerca a Cerved con il supporto di Clio Security, affidandone la direzione scientifica ad Alessandro Curioni”.
“Sembra paradossale – commenta il direttore scientifico della ricerca e fondatore di DI.GI. Academy Alessandro Curioni - , ma c’è una certa confusione tra cybersecurity e protezione dei dati personali dettata dal regolamento europeo in materia. Da un lato il 60 per cento delle imprese che non considerano la cybersecurity rilevante affermano che la ragione risiede nel fatto che non trattano dati sensibili, dall’altro il 75,1 per cento ritiene adeguate le misure adottate dalla sua azienda per la protezione dei dati personali, è evidente l’errore per cui si pensa che cyber security e protezione dei dati siano la stessa cosa”.
“Non è plausibile - afferma Michael Clemente presidente di Clio Security - che il peso della cybersecurity del sistema Paese debba ricadere solo sulle grandi realtà produttive, e alcune PA, che hanno i budget e la forza contrattuale per poter a loro volta imporre sulla propria catena di fornitura gli adempimenti e investimenti necessari.Gli investimenti in sicurezza devono crescere e adeguarsi al livello dei nostri partner e competitor europei per mettere al passo anche le aziende digitalmente più arretrate, che sono in una situazione francamente già drammatica”. Cybersicurezza questa sconosciuta. Per un’azienda intervistata su 5 la cybersecurity è poco rilevante nella gestione della sua attività, e la grande maggioranza (61%) di questi lo afferma perché non ritiene di trattare dati sensibili. Quasi il 73% delle imprese intervistate non organizza per i dipendenti momenti di formazione sui rischi informatici e sulle precauzioni da adottare. In questo contesto non stupisce che quasi 3 PMI su 4 (73%) affermano di non sapere cosa sia un attacco “ransomware”.
Meno della metà degli intervistati (48%) conosce il phishing anche se risulta l’attacco informatico più subito dalle PMI italiane (il 12% ha dichiarato di averlo subito). Tra il dire e il fare. Passando dal livello di conoscenza alle azioni concrete emerge ancora di più l’impreparazione delle piccole e medie aziende del nostro Paese sul fronte della cybersicurezza. La maggioranza relativa delle aziende intervistate (45%) non ha effettuato verifiche sulla sicurezza informatica aziendale in passato e non prevede di farne in futuro. Il 43% delle PMI non è dotato di un responsabile della sicurezza informatica (interno o esterno) in grado di comprendere potenziali minacce cyber.