La privacy per tutti. Consapevole, facile, sicura.
computer alert attacchi informatici

Attacchi informatici alle PMI: conseguenze e costi

Le PMI sono le aziende più vulnerabili agli attacchi informatici

Dal punto di vista della sicurezza informatica il data breach è uno degli attacchi più gravi.

Nel GDPR per data breach si intende qualsiasi violazione di sicurezza che comporti – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

GLI ATTACCHI INFORMATICI PIU' COMUNI

Gli attacchi informatici diretti alle aziende possono mirare alle infrastrutture o alle persone.
I primi tentano di violare l’integrità degli apparti con il fine di rubare o rendere inutilizzabili i dati contenuti.
I secondi tentano di ingannare l’essere umano per estorcere informazioni o favorire l’introduzione, nello spazio aziendale, di software malevole che verrà in seguito utilizzato per commettere il crimine.

Alcuni degli attacchi più frequenti:

  • phishing: invio di mail fraudolente che assomigliano molto a quelle inviate da fonti attendibili con lo scopo di invogliare l’utente a rilasciare dati quali credenziali di accesso o numeri di carte di credito;
  • ransomware: tentativo di introdurre in azienda un software che renda inaccessibile tutto il contenuto di pc e server col fine di richiedere un riscatto;
  • malaware: tentativo di introdurre  in azienda un software che consenta di sottrarre dati o danneggiare i sistemi.

I SOGGETTI PIU' COLPITI DAI DATA BREACH

Molti imprenditori sono convinti che le vittime preferite dagli hackers siano le grandi organizzazioni come le multinazionali, le banche o gli enti pubblici. Per questo motivo, ancora oggi, molte piccole e medie imprese non si preoccupano di proteggere adeguatamente i propri sistemi informativi e tantomeno di introdurre in azienda una “cultura della sicurezza”.

Recenti studi hanno però evidenziato che a essere sempre più nel mirino degli hacker sono proprio le PMI.

A renderle appetibili sono la loro scarsa consapevolezza in materia di rischi informatici e l’insufficiente preparazione a prevenirli e affrontarli.

LE CONSEGUENZE DI UN DATA BREACH

Molte PMI ritengono che il tempo e il denaro speso per adottare comportamenti e strumenti atti a proteggere i sistemi informarvi siano uno spreco di risorse. Non tengono però in considerazione il fatto che i costi derivanti da un data breach non sono solamente le sanzioni.

Indipendentemente dalle dimensioni di una azienda, l’improvvisa perdita o indisponibilità di dati può portare a conseguenze piuttosto pesanti. Alcune, come ad esempio la perdita d’immagine o di vantaggio competitivo, potrebbero essere difficilmente quantificabili perché gli effetti si possono manifestare dopo diverso tempo.
Altre, molto più immediate e tangibili, sono: 

  • il rallentamento/fermo dell’operatività;
  • il calo del fatturato;
  • il sostenimento di costi per recuperare e reinserire i dati persi;
  • il sostenimento di costi per individuare la falla e rispristinare i servizi IT;
  • le eventuali richieste di risarcimento.

QUANTO POSSONO COSTARE GLI ATTACCHI INFORMATICI

Per entrare nel concreto, facciamo l’esempio di una PMI che non si è minimamente adeguata al GDPR e che non ha adottato alcun sistema di salvataggio e recupero dei dati. Ipotizziamo che fatturi 2 milioni di euro l’anno e che abbia subito un attacco hacker che ha causato la perdita di tutti i dati dei computer aziendali. Proviamo a fare un calcolo dei possibili costi derivanti da questo tipo di “incidente”.

Sanzione GDPR

  • 4% del fatturato: totale €80.000
 

Perdita di produttività/fatturato

  • 1% del fatturato: totale €20.000
 

Costi da sostenere per il recupero e il reinserimento dei dati persi

  • ipotizzando che siano andati persi gli ultimi 4 anni di dati gestionali e che serva il lavoro di 1 impiegato per 6 mesi, con un costo medio mensile circa 2.500 euro: totale €15.000
 

Costi per la consulenza sulla sicurezza informatica

  • ipotesi: totale €2.000
 
La simulazione appena descritta riporta ovviamente cifre indicative ma il totale risultante, di quasi 120.000 euro, è assolutamente verosimile.
 
Non dimentichiamo inoltre che potremmo dover includere anche eventuali richieste di risarcimento da parte degli interessati per i danni morali e materiali causati. Ci sono infine le possibili implicazioni penali (condanne che arrivano fino a 6 anni di reclusione).

LA CERTIFICAZIONE ISO 27001 É SUFFICIENTE CONTRO GLI ATTACCHI INFORMATICI?

I sistemi di certificazione, come la ISO 27001, sono un ottimo punto di partenza per ridurre il rischio di essere vittime di attacchi informatici.

E’ doveroso ricordare però che per arrivare alla piena conformità al GDPR servono accorgimenti aggiuntivi, che mirino a rendere sicuri i trattamenti dei dati e non solo le infrastrutture aziendali. Questo perché il regolamento privacy vuole proteggere i diritti e le libertà degli interessati al trattamento e non i sistemi informativi delle organizzazioni.

Per questo motivo, ai fini della tutela dei dati personali, la certificazione ISDP 10003 costituisce lo strumento più idoneo a prevenire le conseguenze del furto di dati personali. In caso di data breach, il Garante per la privacy dovrà tenerne conto nella definizione dell’eventuale sanzione come indicato nell’art. 83, par. 2 lett. j del GDPR.

CONCLUSIONI

La piccola e media impresa è spesso oggetto di attacchi informatici e per questo è importante che si attrezzi quanto prima per proteggersi da questi eventi. Dato che, con ogni probabilità, tratta anche dati personali di clienti, fornitori, dipendenti o collaboratori, è tenuta ad adeguarsi al GDPR introducendo strumenti e procedure che mirino a ridurre gli effetti di un possibile data breach.

Certamente la sicurezza digitale in azienda costa, ma non farsene carico può cosare molto di più. Il Garante per la privacy non ammette negligenza né trascuratezza ma tiene conto dell’impegno speso per tutelare i soggetti interessati al trattamento.

PersonalDOX è la piattaforma software che abbiamo progettato per aiutare le aziende a ridurre i rischi legati alla gestione dei dati personali. E’ stata studiata seguendo i principi della privacy by design per mirare alla piena conformità al GDPR.

👉 Per saperne di più visita la pagina di PersonalDOX

Approfondimenti

Condividi:

Facebook
LinkedIn

Articoli collegati

Taggato