Il mercato italiano delle soluzioni di Cybersecurity-Information security & privacy - nel 2018 supera il miliardo di euro, 1,19 per l’esattezza, in crescita del 9%. Una risposta necessaria per contrastare i cyberattacchi che crescono esponenzialmente con minacce sempre nuove. Così le imprese italiane aumentano gli investimenti sulla prevenzione dei rischi, ma faticano ad adattarsi alla rapida evoluzione delle modalità di aggressione.
“Il meccanismo di creare barriere più alte non è la risposta esatta, poiché logiche e strumenti tradizionalmente usati risultano obsoleti perché stanno cambiando le finalità, i target degli attacchi e il contesto”, esordisce Alessandro Piva, Direttore dell’Osservatorio Information Security & Privacy, in occasione del convegno “Winter is coming: adapt to react”, durante il quale sono stati comunicati i risultati della ricerca dell'Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano.
La ricerca del 2018 ha previsto una survey di rilevazione che ha coinvolto 166 grandi aziende e 501 Pmi; è stata realizzata con il supporto di Assolombarda, Cast, Enel, Fastweb, Leonardo, Lutech, Marsh, Poste Italiane, Spike Reply, Tesisquare; Abb, Informatica, Microsoft, Nodes; Aizoon, Axa XL, Generali, Nido Group, Rsm; con il supporto di Cefriel e Deib; e con il patrocinio di Clusit e Anra.
Dall’Osservatorio…
A trainare il mercato sono soprattutto le grandi imprese, con il 75% della spesa complessiva, concentrata su adeguamento al Gdpr e componenti di sicurezza più tradizionali (come Network Security, Business Continuity & Disaster Recovery, Endpoint Security). Il 63% delle grandi imprese ha aumentato il budget per la cyber sicurezza e nel 52% è presente un piano di investimenti pluriennale, anche se ancora quasi una su cinque non prevede ancora investimenti dedicati o stanzia risorse solo in caso di necessità.
Per l’adeguamento alla normativa europea sulla protezione dei dati l’88% delle imprese ha dedicato uno specifico budget nel 2018 (era il 58% un anno fa). Quasi un’impresa su quattro ha già completato il processo di adeguamento al Gdpr, mentre il 59% ha progetti strutturati ancora in corso.
Con gli investimenti aumentano le figure professionali dedicate: il Data Protection Officer oggi è presente nel 71% delle imprese (+46%), il Chief Information Security Officer nel 59%, mentre sono sempre di più i profili emergenti come il Cyber Risk Manager, l’Ethical Hacker e il Machine Learning Specialist.
Cresce l’attenzione per nuove tecnologie come l’Artificial Intelligence, considerata una minaccia da appena il 14% delle imprese, mentre il 40% già la impiega per prevenire potenziali minacce e frodi e gestire la risposta a incidenti di sicurezza.
E nascono attori innovativi che propongono soluzioni di information security & privacy: sono 417 le startup a livello internazionale, per un totale di 4,75 miliardi di dollari di investimenti raccolti.
“Il mercato delle soluzioni per la sicurezza informatica e la privacy è dinamico, con consapevolezza e budget in crescita, anche se non con lo stesso ritmo del 2017", afferma Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio Information Security & Privacy. "Ma allo stesso tempo si registra un’accelerazione senza precedenti del numero e della varietà degli attacchi e le imprese non sembrano preparate. Gli investimenti effettuati negli ultimi anni sono una buona base di partenza, che ha permesso di mettere in campo strutture organizzative, procedure e competenze, ma è necessaria una maggiore pervasività delle iniziative di sicurezza a tutti i livelli manageriali e organizzativi delle imprese e un maggiore coinvolgimento dei profili dedicati alla security nelle strategie di business”.
Cyberattacchi: nuovi target e nuove finalità
Le principali finalità dei cyberattacchi subiti dalle imprese nello scenario attuale sono truffe, come phishing e business email compromise (83%), ed estorsioni (78%), poi intrusione a scopo di spionaggio (46%) e interruzione di servizio (36%).
Ma nei prossimi tre anni le aziende temono soprattutto spionaggio (55%), truffe (51%), influenza e manipolazione dell’opinione pubblica (49%), acquisizione del controllo di sistemi come impianti di produzione (40%). I principali obiettivi degli attacchi sono oggi account email (91%) e social (68%), seguiti dai portali eCommerce (57%) e dai siti web (52%).
Nel prossimo triennio, le imprese prevedono che gli hacker si concentreranno su device mobili (57%), infrastrutture critiche come reti elettriche, idriche e di telecomunicazioni (49%), smart home & building (49%) e veicoli connessi (48%).
La principale vulnerabilità è costituita dal comportamento umano: per l’82% delle imprese la prima criticità è la distrazione e scarsa consapevolezza dei dipendenti, seguita da sistemi IT obsoleti o eterogenei (41%) e da aggiornamenti e patch non effettuati regolarmente (39%). Per minimizzare il rischio, l’80% delle imprese ha avviato piani di formazione del personale.
L’impatto di AI e IoT sulla sicurezza
L’Osservatorio ha approfondito le sfide di sicurezza poste dall’Internet of Things e dall’Artificial Intelligence. Le principali criticità legate all’IoT sono la mancanza di una logica di security by design (indicata dal 73% delle imprese), la scarsa consapevolezza da parte degli utenti sulle possibili problematiche legate a questi dispositivi (58%) e l’assenza di standard tecnologici e di sicurezza (53%).
Se si restringe il campo all’ambito dell’Industrial Security, le principali sfide da superare sono la mancanza di consapevolezza delle problematiche di sicurezza da parte delle funzioni Operations (56%), l’interconnessione sempre maggiore tra gli impianti industriali e l’infrastruttura IT (55%), l’obsolescenza degli impianti industriali (40%) e la mancanza di figure con adeguate competenze (37%).
L’Artificial Intelligence è vista invece più come un’opportunità che una sfida. Soltanto il 14% del campione ritiene possa costituire una minaccia, soprattutto a causa dell’inaffidabilità delle macchine nel lungo periodo e della possibilità di utilizzarla per condurre attacchi mirati, mentre il 64% crede che sia utile per automatizzare il processo di raccolta e analisi dei dati per identificare in ottica preventiva eventuali minacce e vulnerabilità e il 17% per prendere decisioni in supporto o al posto dell’uomo.
Un interesse che si traduce in progetti concreti, con il 40% delle imprese che già oggi sta utilizzando tecniche di AI o Machine Learning per prevenire potenziali minacce e identificare gli attacchi ancora prima che si verifichino (17%), per ottimizzare la gestione di eventuali incidenti di sicurezza automatizzando il processo decisionale e il tempo di risposta (15%) e per intercettare possibili frodi (8%). Il 36% del campione sta pianificando di adottare soluzioni di intelligenza artificiale nel prossimo futuro.
Le pmi faticano
Le piccole e medie imprese coprono soltanto il 25% della spesa in soluzioni di information security. Il 43% investe in sistemi di information security & privacy, con i progetti di adeguamento al Gdpr come principale motivazione di spesa (70%).
Circa nove su dieci hanno adottato soluzioni di sicurezza informatica di base, mentre le tecnologie più sofisticate (quali ad esempio Intrusion Detection e Identity & Access Management) sono adottate dal 64% delle medie imprese (+20%) e dal 39% delle piccole. Il Ciso è una figura ancora scarsamente diffusa nelle Pmi, presente solo nel 15% del campione (nel 25% se ci si focalizza sulle medie imprese, +15%).
Oltre la metà del campione (il 52%) non si sta ancora muovendo sul fronte della cybersicurezza, adotta al massimo soluzioni di base e non ha inserito profili specializzati su questi temi.
