A cura Dave Russell, Vice President of Enterprise Strategy, Veeam e Rick Vanover, Senior Director Product Strategy, Veeam
In un mondo digital-first in cui tutti i nostri dati, sia personali che professionali, sono archiviati online, la protezione dei dati è un aspetto cruciale che non può essere trascurato. Nonostante gli sforzi per incoraggiare le aziende a dare priorità alla protezione dei dati attraverso la cyber insurance, molte piccole e medie imprese (PMI) rimangono non assicurate. Purtroppo, l’idea errata comune che le PMI non siano prese di mira e siano al sicuro dalle minacce è ben lontana dalla verità.
Secondo un’indagine di Markel, oltre la metà delle PMI intervistate è stata vittima di una violazione della sicurezza informatica alla fine del 2021. L’aumento del lavoro ibrido, unito alle limitate competenze interne, ha reso le PMI sempre più vulnerabili agli attacchi informatici. Nel luglio 2022, un nuovo tipo di attacco ransomware chiamato “BazarCall” ha preso di mira le PMI ed è stato segnalato dall’Agente generale delegato, CFC Underwriting. Questo tipo di attacchi ha rappresentato il 10% delle incidenze di malware nel suo portafoglio in un periodo di tre mesi.
Il Veeam Data Protection Report 2023 ha rivelato che i cyberattacchi hanno causato le interruzioni più impattanti per le organizzazioni nel 2020, 2021 e 2022 e che l’85% delle organizzazioni è stato attaccato almeno una volta negli ultimi 12 mesi. Ciò suggerisce che, nonostante la digitalizzazione avanzata, la maggiore consapevolezza e preparazione, il ransomware sta ancora vincendo.
Cosa rende le PMI vulnerabili ai cyberattacchi?
Le aziende di tutte le dimensioni sono vulnerabili agli attacchi informatici, ma le PMI lo sono particolarmente a causa di misure di sicurezza dei dati inadeguate. Il più delle volte, le PMI dispongono di budget limitati per la protezione informatica. Un rapporto della CyberPeace Foundation ha rilevato che l’assenza di sistemi di monitoraggio ad alta tecnologia nelle PMI attira essenzialmente i criminali informatici a forzare l’ingresso nei loro sistemi, poiché le loro azioni non possono essere rilevate. Il rapporto ha anche sottolineato come le lacune nella sicurezza, come il mancato backup dei dati importanti e l’inadeguatezza delle politiche di cybersecurity, possano portare ad attacchi informatici.
Date le dimensioni dell’azienda, le PMI sono spesso più concentrate sul rafforzamento delle loro strategie aziendali per competere con i giganti del settore. Le PMI possono scegliere di rinunciare a investire in soluzioni di cybersecurity adeguate, che possono includere il backup dei dati e l’assicurazione, perché ritengono che solo le organizzazioni di grandi dimensioni siano più a rischio di attacchi informatici. Di conseguenza, la pianificazione della cybersecurity passa spesso in secondo piano.
Un altro importante motivo per cui le PMI non investono nell’assicurazione informatica è la mancanza di esperti tecnici per integrare le misure di sicurezza essenziali e l’aumento dei costi di acquisto di una polizza. Un’indagine condotta da Global Data nel 2021 indica che circa il 29% delle PMI ha cancellato la propria cyber insurance per contenere i costi.
Le PMI sono incoraggiate a porre l’accento sui loro budget per la sicurezza informatica, perché più dipendono dalla tecnologia per il lavoro, più le loro aziende diventano vulnerabili alle minacce informatiche. Il Cyber Insurance Report di Deloitte ha rilevato che il 63% delle medie imprese ha riportato attacchi informatici nel 2019, rispetto al 36% del 2018. Se l’assicurazione è fuori questione a causa di un budget ridotto, è possibile adottare altre precauzioni, come l’acquisto di soluzioni di cybersecurity e il backup dei dati.
La via da seguire per le PMI
È fondamentale per le organizzazioni mantenere le pratiche di igiene digitale di base. Tutte le aziende hanno bisogno di un responsabile della sicurezza informatica con accesso ai leader aziendali e l’autorità per dirigere l’iniziativa di sicurezza. Anche le piccole imprese devono allocare risorse con responsabilità designate per la cybersecurity e specializzate nella protezione dei dati, siano esse interne o in outsourcing. Dovrebbero inoltre implementare altre importanti misure di cybersecurity, come un software antivirus, un firewall forte e assicurarsi che i dipendenti siano ben addestrati a identificare i link sospetti per evitare di cliccare sulle e-mail di ransomware.
Infine, c’è un componente fondamentale della sicurezza informatica che le PMI devono prendere in considerazione: il backup dei dati con protezione air-gapped. Le organizzazioni devono garantire la protezione completa dei loro sistemi di dati con il backup e il ripristino dei dati in tutte le forme di archiviazione. Veeam sostiene la regola del backup 3-2-1-1-0. Dovrebbero essere sempre presenti almeno tre copie di dati importanti, su almeno due tipi di supporti diversi, di cui almeno una off-site e una offline, con zero backup non verificati o con errori. Secondo il Veeam Data Protection Trends Report 2023, l’aspetto più importante che le organizzazioni cercano in una soluzione di protezione dei dati moderna è “l’integrazione della protezione dei dati in una strategia di preparazione informatica”.
Anche semplici esercizi come valutazioni regolari del rischio e test di penetrazione per valutare la sicurezza del sistema possono aiutare a prevenire i rischi informatici. Pertanto, le PMI che non possono permettersi una costosa cyber insurance possono comunque implementare queste pratiche economicamente vantaggiose per proteggere i dati della loro organizzazione. Più le PMI si rendono conto della necessità di una buona igiene digitale, più diventano attente. La protezione dei dati e la regolamentazione delle politiche informatiche dovrebbero essere rese obbligatorie. I cyberattacchi sono reali e le misure per prevenirli non devono essere trascurate, indipendentemente dalle dimensioni dell’azienda.