E' stata rilasciata di recente la rinomata analisi statistica sugli incidenti di sicurezza condotta dal Computer Security Institute: la potete scaricare gratuitamente a questo link previa registrazione. Il fatto che l'analisi sia condotta su un campione esclusivamente statunitense potrebbe far pensare che sia poco rilevante per la nostra realtà europea e italiana. Personalmente credo che, al contrario, essa rappresenti un importante strumento di previsione dei trend che potranno interessare nel medio/breve termine il nostro scenario nazionale in virtù del comprovato "ritardo" tecnologico che abbiamo rispetto alla realtà statunitense: quello che a loro succede oggi (nel bene e nel male), a noi arriva tra almeno 2-3 anni (se va bene). Queste le principali osservazioni conclusive:

  • le perdite economiche legate agli incidenti di sicurezza segnalati nell'analisi sono raddoppiate rispetto all'anno scorso
  • quasi un quinto di coloro che hanno subito un incidente di sicurezza dichiarano di essere stati vittima di un attacco mirato alla propria organizzazione
  • la frode a scopo di lucro è balzata al comando della classifica delle cause che hanno prodotto la maggiore perdita economica, spodestando gli attacchi virus che hanno dominato la classifica negli ultimi 7 anni.

Sono indicazioni che fanno sicuramente riflettere e confermano le previsioni sull'evoluzione dello scenario di rischio: non più attacchi di massa, globali, di effetto mediatico, ma sempre più attacchi silenti, mirati, con l'esplicito scopo di lucro. Questa situazione rende sicuramente più difficile il contrasto delle azioni cybercriminali e dovrebbe indurre le aziende ad adottare in modo ancor più rigoroso i principi di Risk Management: se chi ci attacca cerca il lucro, andrà adeguatamente individuato e protetto l'asset più sensibile e più di valore, con un approccio di protezione multi-livello (Defense In-Depth).

Piccola curiosità: fino allo scorso anno questa analisi era chiamata CSI/FBI Survey: a detta dell'editore l'elisione della sigla FBI non vuole tanto segnalare una interruzione nella collaborazione con l'FBI, quanto l'intenzione di rappresentare uno studio autonomo del settore privato e non una ricerca governativa. Buona lettura!