Il 25% paga gli hacker dopo un attacco. Gli altri forse non lo ammettono

Questa è una settimana dedicata ai numeri. Ci occupiamo di quelli proposti dalla quarta edizione dell’indagine “Global Security Attitude” di CrowdStrike, nota azienda in ambito cyber security. Quello su cui vorrei concentrarmi è una particolare risposta fornita dai rappresentanti delle 2.200 organizzazioni prese in considerazione ovvero in quanti hanno ceduto alle richieste dei cyber criminali. Il report spiega come quasi un quarto (24%) delle organizzazioni intervistate che ha subito un attacco ransomware ha finito per pagare il riscatto per riprendere il controllo dei propri sistemi. Di queste il 96% per cento è stata costretta ad un ulteriore pagamento per evitare che le informazioni sottratte diventassero di pubblico dominio.

Il conto è mediamente ammontato a 1,79 milioni di dollari.

Adesso la curiosità riguarda come le nostre organizzazioni si sono posizionate rispetto a tale risultato. Premesso che sono state prese in considerazione cento imprese italiane, tipicamente con più di 500 dipendenti e prevalentemente appartenenti ai settori finanziario, della pubblica amministrazione e delle utility, il risultato sembra lusinghiero. Soltanto il 13 per cento di quelle colpite ha ceduto al ricatto. Questo scarto rispetto alla media mondiale può avere due spiegazioni, entrambe credibili. La prima è che la nostra specifica tendenza a “lavare i panni sporchi in casa propria”, nonostante l’anonimato garantito, abbia preso il sopravvento. Di questo nessuno si stupirebbe. Si presenta tuttavia una seconda possibilità: la nostra arretratezza in tema di digitalizzazione ha permesso a molte aziende di “sopravvivere” anche in assenza se private del supporto dei sistemi informatici. Sarebbe come dire che “non tutti i mali vengono per nuocere”. Tutto sommato se oggi il nostro riscaldamento fosse ancora solidamente ancorato alla “stufa della nonna” forse non risentiremmo in modo così pesante delle tensioni internazionali sui prezzi del gas. Una volta tanto voglio essere ottimista, sperando che sia vera la seconda delle due ipotesi. Se così fosse abbiamo la straordinaria opportunità, arrivando per ultimi, di imparare dagli errori altrui e, ora che siamo sul punto di spendere decine di miliardi per digitalizzarci, di dedicare la giusta quantità di risorse alla sicurezza. In modo assolutamente straordinario questo dovrebbe accadere senza la coercizione di una legge, ma semplicemente sulla base del semplice buon senso e dei numeri. Per decine di migliaia di aziende potrebbe bastare una frazione di quegli 1,79 milioni di dollari, che sono il riscatto medio, per mettersi ragionevolmente al sicuro dai rischi più gravi. Non so per quale ragione, ma molti dei miei colleghi mi ritorceranno contro una frase che dico spesso: “se ti occupi di sicurezza c’è un lusso che non ti puoi permettere: essere ottimista”.