Attacchi informatici: i consigli di amministrazione vedono i rischi, ma manca la preparazione alle crisi

La minaccia di attacchi informatici è in aumento. Le grandi aziende sono particolarmente colpite: il 45% delle aziende con oltre 250 dipendenti è già stato attaccato almeno una volta.ebbene una volta sia stata vittima di un cyber-attacco. Lo dimostra l'ultimo Monitoraggio swissVR.

A differenza delle grandi aziende, le PMI sembrano essere molto meno colpite: Secondo il comunicato stampa, solo il 18% delle aziende con meno di 50 dipendenti ha riportato un attacco grave. Il collegamento tra le dimensioni dell'azienda e la frequenza degli attacchi è ovvio: le grandi aziende sono più esposte a livello globale e offrono ai criminali informatici superfici di attacco più ampie. Un'altra spiegazione del presunto minor livello di preoccupazione tra le aziende più piccole è la parziale mancanza di segnalazione di tali incidenti al consiglio di amministrazione.

L'interruzione dell'attività è la conseguenza più frequente

Gli attacchi informatici hanno spesso gravi conseguenze per l'attività operativa. La conseguenza di gran lunga più frequente, secondo i dati del Società di revisione e consulenza Deloitte Svizzera un'interruzione dell'attività. Questo è il caso del 42% delle aziende colpite da un attacco informatico. (vedi grafico 1). I processi operativi delle aziende del settore delle tecnologie dell'informazione e della comunicazione sono particolarmente a rischio. In questo settore, il 69% delle aziende colpite subirebbe un'interruzione dell'attività.

Anche le fughe di dati e i malfunzionamenti di prodotti o servizi sono conseguenze frequenti. In alcuni casi, gli attacchi informatici hanno conseguenze anche al di fuori dell'azienda stessa: Ad esempio, l'11% degli intervistati si è lamentato di attacchi successivi ai clienti. Sebbene la perdita di beni sia rara, le conseguenze finanziarie non devono essere sottovalutate. Oltre alla perdita di fatturato dovuta all'interruzione dell'attività, vi è la minaccia di elevati costi di follow-up, ad esempio per il recupero dei dati.

La resilienza sta assumendo un'importanza sempre maggiore

Le conseguenze di vasta portata lo renderebbero evidente: Ogni PMI deve affrontare i rischi informatici. "Il tema è ormai parte integrante di una buona governance aziendale. Fortunatamente, molte aziende lo hanno già riconosciuto. Ma c'è sicuramente ancora del potenziale. La nostra indagine mostra che la resilienza informatica sta assumendo un'importanza crescente in tutti i settori. Questo deve riflettersi anche nel processo di gestione del rischio e della strategia di ogni azienda", afferma Mirjam Durrer, docente dell'Università di Scienze Applicate di Lucerna e dell'Istituto di Servizi Finanziari di Zug IFZ. Il 95% dei membri dei consigli di amministrazione intervistati ritiene che l'importanza della resilienza informatica per la propria azienda sia aumentata negli ultimi tre anni. La maggioranza ha persino osservato un forte aumento, in cui la valutazione dipendeva in modo significativo dalle dimensioni dell'azienda. Ciò riflette anche la correlazione tra le dimensioni e la situazione delle minacce.

Non è ancora una questione che riguarda il capo ovunque

Secondo la società di revisione e consulenza, un aspetto positivo è che i membri del consiglio di amministrazione affermano di adempiere ampiamente ai loro doveri in materia di resilienza informatica. L'85% degli intervistati afferma che il proprio consiglio di amministrazione segue le tendenze e gli sviluppi attuali nell'area della resilienza informatica. (vedi grafico 2). Otto consigli di amministrazione su dieci hanno anche una politica di rischio che affronta i rischi informatici. Ciononostante, è necessario agire, sottolinea Klaus Julisch, Head of Risk Advisory di Deloitte Svizzera: "La consapevolezza dei rischi sta aumentando, il che è positivo. A parte questo, l'argomento non ha ancora raggiunto i consigli di amministrazione di tutto il mondo. Quasi la metà delle aziende non ha una chiara strategia informatica. Le aziende svizzere e i loro consigli di amministrazione devono quindi assumersi una responsabilità ancora maggiore per quanto riguarda la resilienza informatica".

Solo un terzo prova l'emergenza

Secondo Deloitte Svizzera, anche la preparazione alle emergenze può essere migliorata. Solo un membro del consiglio di amministrazione su tre conferma che il consiglio fa almeno in parte delle prove di gestione delle crisi. Il quadro è leggermente migliore nell'industria finanziaria: circa un'azienda su due in questo settore effettua regolarmente corsi di formazione sulle crisi. Inoltre, il settore finanziario ha la percentuale più alta di polizze assicurative contro le minacce informatiche, pari al 58%.

C'è spazio per migliorare anche il reporting al consiglio di amministrazione: solo circa un terzo degli intervistati viene regolarmente informato dalla direzione sui principali rischi informatici o sulla propria strategia informatica. Una buona metà dei consigli di amministrazione riceve almeno rapporti sulla situazione generale delle minacce, sugli attacchi informatici in corso nell'azienda o sulla necessità di azioni e investimenti per rafforzare la resilienza informatica.

Monitor swissVR

Lo swissVR Monitor è un'indagine condotta dall'Associazione del Consiglio di Amministrazione di swissVR in collaborazione con la società di revisione e consulenza Deloitte Svizzera e l'Università di Scienze Applicate e Arti di Lucerna.

Il sondaggio semestrale di swissVR Monitor ha l'obiettivo di raccogliere le valutazioni dei membri del consiglio di amministrazione su prospettive aziendali, strategie e temi strutturali, oltre che, in questa edizione, sul tema centrale della "resilienza informatica". Il 14° sondaggio è stato condotto da swissVR in collaborazione con Deloitte e l'Università di Scienze Applicate e Arti di Lucerna tra il 22 maggio e l'8 luglio 2023. I 400 partecipanti rappresentano i consigli di amministrazione di società quotate in borsa e di PMI e provengono da tutti i settori industriali interessati.