Il numero dei cyber attacchi cresce esponenzialmente con minacce sempre nuove e le imprese italiane aumentano gli investimenti sulla prevenzione dei rischi, ma faticano ad adattarsi alla rapida evoluzione delle modalità di aggressione. Secondo i risultati della ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano il mercato italiano delle soluzioni di information security & privacy nel 2018 continua a crescere, raggiungendo il valore di 1,19 miliardi di euro, in crescita del 9% (dopo il +12% fatto registrare nel 2017).
A trainare il mercato sono soprattutto le grandi imprese, con il 75% della spesa complessiva, concentrata su adeguamento al GDPR e componenti di sicurezza più tradizionali (come Network Security, Business Continuity & Disaster Recovery, Endpoint Security). Il 63% delle grandi imprese ha aumentato il budget per la cyber sicurezza e nel 52% è presente un piano di investimenti pluriennale, anche se ancora quasi una su cinque non prevede ancora investimenti dedicati o stanzia risorse solo in caso di necessità .
Per l’adeguamento alla normativa europea sulla protezione dei dati l’88% delle imprese ha dedicato uno specifico budget nel 2018 (era il 58% un anno fa). Quasi un’impresa su quattro ha già completato il processo di adeguamento al GDPR, mentre il 59% ha progetti strutturati ancora in corso. Con gli investimenti aumentano le figure professionali dedicate: il Data Protection Officer oggi è presente nel 71% delle imprese (+46%), il Chief Information Security Officer nel 59%, mentre sono sempre di più i profili emergenti come il Cyber Risk Manager, l’Ethical Hacker e il Machine Learning Specialist. Cresce l’attenzione per nuove tecnologie come l’Artificial Intelligence, considerata una minaccia da appena il 14% delle imprese, mentre il 40% già la impiega per prevenire potenziali minacce e frodi e gestire la risposta a incidenti di sicurezza. E nascono attori innovativi che propongono soluzioni di information security & privacy: sono 417 le startup a livello internazionale, per un totale di 4,75 miliardi di dollari di investimenti raccolti.
Le principali finalità dei cyber attacchi subiti dalle imprese nello scenario attuale sono truffe, come phishing e business email compromise (83%), e estorsioni (78%), poi intrusione a scopo di spionaggio (46%) e interruzione di servizio (36%). Ma nei prossimi tre anni le aziende temono soprattutto spionaggio (55%), truffe (51%), influenza e manipolazione dell’opinione pubblica (49%), acquisizione del controllo di sistemi come impianti di produzione (40%). I principali obiettivi degli attacchi sono oggi account email (91%) e social (68%), seguiti dai portali eCommerce (57%) e dai siti web (52%).
Nel prossimo triennio, le imprese prevedono che gli hacker si concentreranno su device mobili (57%), infrastrutture critiche come reti elettriche, idriche e di telecomunicazioni (49%), smart home & building (49%) e veicoli connessi (48%). La principale vulnerabilità è costituita dal comportamento umano: per l’82% delle imprese la prima criticità è la distrazione e scarsa consapevolezza dei dipendenti, seguita da sistemi IT obsoleti o eterogenei (41%) e da aggiornamenti e patch non effettuati regolarmente (39%). Per minimizzare il rischio, l’80% delle imprese ha avviato piani di formazione del personale.
