PMI e cybersecurity: il problema è più grave del previsto

Settimana di numeri. Questa volta però sono, almeno per me, piuttosto speciali. In effetti sto scrivendo in qualità di direttore tecnico scientifico di una ricerca sullo stato della cyber security nelle piccole e medie imprese italiane. Lo studio è stato promosso da Grenke, azienda di leasing operativo leader proprio nel segmento PMI, e Clio Security, che opera come società di consulenza nel medesimo ambito, e affidato a Cerved per la raccolta dei dati. Vi dico subito che il campione è molto significativo (oltre 800 aziende intervistate) e rispecchia fedelmente la struttura del mercato italiano visto che Cerved lo ha estratto dalla sua base dati che di aziende ne censisce circa 700 mila. Veniamo ora ai fatti.

Tra noi professionisti della cyber security si sono andati consolidando alcuni luoghi comuni: le PMI non spendono in cyber security perché non hanno i soldi e perché in fondo non se ne preoccupano. I dati li sfatano entrambi: meno dell’1 per cento afferma che si tratta di un problema di risorse e il 60 per cento dichiara che la cyber security in una scala da 1 a 10 è importante almeno 8. Allora il mondo è cambiato senza che lo notassimo? Ebbene sì, ma in peggio.

Le nostre PMI sono passate direttamente alla fase in cui sono convinte di essere adeguatamente protette. Questa certezza deriva da uno strano ragionamento che hanno fatto secondo cui, avendo speso una certa quantità di denaro per essere conformi ai requisiti del Regolamento Europeo per la Protezione dei Dati Personali, il famigerato GDPR, automaticamente abbiano risolto i loro problemi di cyber security e lo dimostra quel 75 per cento di rispondenti che ritiene adeguate le misure adottate dalla sua azienda per la protezione dei dati personali.

Come chiunque del settore sa questa idea è pericolosamente sbagliata perché si rischia di confondere l’avere messo nero su banco certe regole con il “fare sicurezza”. Lo dimostrano altri due dati. Se il 49 per cento mette a disposizione dei propri dipendenti un regolamento che disciplina l’utilizzo delle dotazioni aziendali, il 72 per cento non ha mai fatto corsi sul tema della cyber security. Le dolenti note proseguono con quel 79 per cento di aziende che non ha adottato l’autenticazione a due fattori per tutti i propri utenti e un altro misero 30 per cento che ha svolto delle verifiche di sicurezza sui propri sistemi, per esempio attraverso un penetration test. Dulcis in fundo il tema della conoscenza delle tecnologie di sicurezza e delle forme di attacco. L’intervistato è la persona responsabile delle scelte in materia di cybersecurity e si scopre che ancora il 52 per cento dei rispondenti ammette candidamente di non sapere cosa sia il phishing (non parliamo delle forme più complesse che sono oscure ad almeno l’80 per cento delle aziende), mentre riguardo alle tecnologie di sicurezza il 90 per cento non sa cosa sia il SIEM (Security Information and Event Management) essenzialmente un sistema di monitoraggio per rilevare le minacce ai sistemi che, anche se non utilizzato, dovrebbe essere ben noto a chiunque si occupi di cyber security. In ogni caso la parte veramente grave è l’idea di avere risolto il propri problemi di cyber security con gli adempimenti in materia di protezione dei dati perché adesso sarà difficile convincere le PMI che quello era soltanto l’inizio.