- Autore: Walter Della Mora
- Pubblicato il: 19 Gen 2022
- Aggiornato il: 21 Ago 2023
Attacchi informatici alle PMI: conseguenze e costi
Dal punto di vista della sicurezza informatica il data breach è uno degli attacchi più gravi.
Nel GDPR per data breach si intende qualsiasi violazione di sicurezza che comporti – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
GLI ATTACCHI INFORMATICI PIU' COMUNI
Gli attacchi informatici diretti alle aziende possono mirare alle infrastrutture o alle persone.
I primi tentano di violare l’integrità degli apparti con il fine di rubare o rendere inutilizzabili i dati contenuti.
I secondi tentano di ingannare l’essere umano per estorcere informazioni o favorire l’introduzione, nello spazio aziendale, di software malevole che verrà in seguito utilizzato per commettere il crimine.
Alcuni degli attacchi più frequenti:
- phishing: invio di mail fraudolente che assomigliano molto a quelle inviate da fonti attendibili con lo scopo di invogliare l’utente a rilasciare dati quali credenziali di accesso o numeri di carte di credito;
- ransomware: tentativo di introdurre in azienda un software che renda inaccessibile tutto il contenuto di pc e server col fine di richiedere un riscatto;
- malaware: tentativo di introdurre in azienda un software che consenta di sottrarre dati o danneggiare i sistemi.
I SOGGETTI PIU' COLPITI DAI DATA BREACH
Molti imprenditori sono convinti che le vittime preferite dagli hackers siano le grandi organizzazioni come le multinazionali, le banche o gli enti pubblici. Per questo motivo, ancora oggi, molte piccole e medie imprese non si preoccupano di proteggere adeguatamente i propri sistemi informativi e tantomeno di introdurre in azienda una “cultura della sicurezza”.
Recenti studi hanno però evidenziato che a essere sempre più nel mirino degli hacker sono proprio le PMI.
A renderle appetibili sono la loro scarsa consapevolezza in materia di rischi informatici e l’insufficiente preparazione a prevenirli e affrontarli.
LE CONSEGUENZE DI UN DATA BREACH
Molte PMI ritengono che il tempo e il denaro speso per adottare comportamenti e strumenti atti a proteggere i sistemi informarvi siano uno spreco di risorse. Non tengono però in considerazione il fatto che i costi derivanti da un data breach non sono solamente le sanzioni.
Indipendentemente dalle dimensioni di una azienda, l’improvvisa perdita o indisponibilità di dati può portare a conseguenze piuttosto pesanti. Alcune, come ad esempio la perdita d’immagine o di vantaggio competitivo, potrebbero essere difficilmente quantificabili perché gli effetti si possono manifestare dopo diverso tempo.
Altre, molto più immediate e tangibili, sono:
- il rallentamento/fermo dell’operatività;
- il calo del fatturato;
- il sostenimento di costi per recuperare e reinserire i dati persi;
- il sostenimento di costi per individuare la falla e rispristinare i servizi IT;
- le eventuali richieste di risarcimento.
QUANTO POSSONO COSTARE GLI ATTACCHI INFORMATICI
Per entrare nel concreto, facciamo l’esempio di una PMI che non si è minimamente adeguata al GDPR e che non ha adottato alcun sistema di salvataggio e recupero dei dati. Ipotizziamo che fatturi 2 milioni di euro l’anno e che abbia subito un attacco hacker che ha causato la perdita di tutti i dati dei computer aziendali. Proviamo a fare un calcolo dei possibili costi derivanti da questo tipo di “incidente”.
Sanzione GDPR
- 4% del fatturato: totale €80.000
Perdita di produttività/fatturato
- 1% del fatturato: totale €20.000
Costi da sostenere per il recupero e il reinserimento dei dati persi
- ipotizzando che siano andati persi gli ultimi 4 anni di dati gestionali e che serva il lavoro di 1 impiegato per 6 mesi, con un costo medio mensile circa 2.500 euro: totale €15.000
Costi per la consulenza sulla sicurezza informatica
- ipotesi: totale €2.000
LA CERTIFICAZIONE ISO 27001 É SUFFICIENTE CONTRO GLI ATTACCHI INFORMATICI?
I sistemi di certificazione, come la ISO 27001, sono un ottimo punto di partenza per ridurre il rischio di essere vittime di attacchi informatici.
E’ doveroso ricordare però che per arrivare alla piena conformità al GDPR servono accorgimenti aggiuntivi, che mirino a rendere sicuri i trattamenti dei dati e non solo le infrastrutture aziendali. Questo perché il regolamento privacy vuole proteggere i diritti e le libertà degli interessati al trattamento e non i sistemi informativi delle organizzazioni.
Per questo motivo, ai fini della tutela dei dati personali, la certificazione ISDP 10003 costituisce lo strumento più idoneo a prevenire le conseguenze del furto di dati personali. In caso di data breach, il Garante per la privacy dovrà tenerne conto nella definizione dell’eventuale sanzione come indicato nell’art. 83, par. 2 lett. j del GDPR.
CONCLUSIONI
La piccola e media impresa è spesso oggetto di attacchi informatici e per questo è importante che si attrezzi quanto prima per proteggersi da questi eventi. Dato che, con ogni probabilità, tratta anche dati personali di clienti, fornitori, dipendenti o collaboratori, è tenuta ad adeguarsi al GDPR introducendo strumenti e procedure che mirino a ridurre gli effetti di un possibile data breach.
Certamente la sicurezza digitale in azienda costa, ma non farsene carico può cosare molto di più. Il Garante per la privacy non ammette negligenza né trascuratezza ma tiene conto dell’impegno speso per tutelare i soggetti interessati al trattamento.
PersonalDOX è la piattaforma software che abbiamo progettato per aiutare le aziende a ridurre i rischi legati alla gestione dei dati personali. E’ stata studiata seguendo i principi della privacy by design per mirare alla piena conformità al GDPR.
Per saperne di più visita la pagina di PersonalDOX
Approfondimenti
- Cyber attacchi: le lacune delle Pmi e la missione delle assicurazioni
- Conviene adeguarsi al GDPR? Quanto può costare un Data Breach ad una PMI
- Quanto costa a una PMI italiana un data breach
- ISO 27001 e GDPR, linee guida per mettere al sicuro i dati aziendali
- Certificazioni privacy e certificazioni GDPR non sono equivalenti
Condividi:
Articoli collegati
L’informativa privacy
Il principale strumento per informare l’interessato al trattamento
La profilazione
Un puzzle fatto con i pezzi della nostra identità
Digitalizzazione e dematerializzazione degli archivi
La digitalizzazione dei documenti è un percorso che tutte le aziende dovranno intraprendere
Gamification e privacy
Il divertimento in azienda è positivo, attenzione però alla privacy
L’errore umano nella gestione della privacy
La causa principale delle violazioni dei dati è da imputare all’errore umano