Ogni volta che esce un nuovo rapporto sulla cybersicurezza delle imprese italiane, si dice sempre la stessa cosa. Ma alla fine, l’avete capita davvero qual è la situazione? Perché ogni volta che lo leggiamo, quello che significa è solo una cosa: le imprese sono poco difese. Punto.
E le difese sono di due tipi.
Una è tecnica. Serve, ovviamente: firewall, backup, sistemi aggiornati, un buon IT manager, magari un CISO.
Ma l’altra, quella veramente decisiva, è culturale. Perché non c’è firewall che tenga se poi qualcuno lascia la porta aperta. E nel mondo digitale, la porta è una password debole, è un click su un link sbagliato, è una mail con l’allegato truccato.
Sapete da chi riceviamo telefonate e richieste io e il mio team? Solo dai big. Solo dalle grandi aziende strutturate. Le PMI? Rarissime. Dite che è solo che le PMI hanno un problema con me oppure è che statisticamente sono quelle che se ne fregano della cultura cyber dei dipendenti?
Eppure sono proprio loro le più esposte. Il nuovo Cyber Index PMI, pubblicato da ACN – lo trovate qui: Rapporto Cyber Index PMI – dice chiaramente che molte PMI italiane non hanno nemmeno l’abc della sicurezza. Il 45% non ha un piano per gestire incidenti digitali. Il 60% non ha mai fatto formazione ai dipendenti su come riconoscere una truffa o un tentativo di phishing.
E queste sono aziende che stanno nel cloud, vendono online, gestiscono dati sensibili, si interfacciano con fornitori e clienti su piattaforme digitali. Ma nessuno lì dentro ha mai sentito parlare di ingegneria sociale, di attacchi mirati, di ransomware. O peggio: ne hanno sentito parlare, ma pensano che non li riguardi.
Nel frattempo però i criminali lo sanno. E attaccano dove è più facile entrare. Non nei castelli con le mura alte. Ma nelle casette con la porta aperta e nessuno che guarda. Le PMI italiane sono quel bersaglio. Facili da colpire, lente a reagire, spesso inconsapevoli del danno che può arrivare.
Poi quando le bucano sono disposte a vendere un rene pur di tornare operative… o pur di risolvere il danno di immagine…
Capisco che gli esseri umani abbiano dei bias, dei bug, tra cui quello che la prevenzione è inutile e noiosa “tanto non capiterà proprio a me”, ma le aziende non dovrebbero farsi influenzare dai bias banali. Dovrebbero ragionare per rischi e opportunità, in modo tecnico e razionale.
Che vi devo dire… Ogni tanto perdo la pazienza e scrivo questi post. Magari servono?
