Il costo dei data breach ha raggiunto i livelli più alti degli ultimi 5 anni, con una media globale di 4,35 milioni di dollari – 3,40 milioni euro per l’Italia – e una crescita del 13% rispetto al 2020.
IBM ha rilasciato oggi il suo report annuale Cost of a Data Breach, che rivela come nell’ultimo anno il costo dei dati compromessi abbia raggiunto i livelli più alti degli ultimi 5 anni, con una media globale di 4,35 milioni di dollari – 3,40 milioni euro per l’Italia – e una crescita del 13% rispetto al 2020.
A differenza degli altri anni, però, a pagare le conseguenze delle violazioni alla security non sono più solo le aziende vittima di attacchi, ma sempre più i consumatori: gli esperti di IBM security hanno infatti rilevato che, per far fronte a questi costi, il 60% delle organizzazioni analizzate ha aumentato i prezzi dei propri prodotti e servizi. I cybercriminali, quindi, stanno acquisendo un peso sempre maggiore nel definire le sorti dell’economia globale, contribuendo con la loro attività all’incremento dell’inflazione e alle interruzioni nelle catene di approvvigionamento.
Data breach: in Italia il singolo dato rubato vale 143 euro
Per quanto riguarda il nostro Paese la situazione non è delle migliori. Secondo il report il costo di ogni singolo dato rubato è di 164 dollari in media a livello globale, mentre in Italia è di 143 euro.
Tra le 17 aree geografiche analizzate, gli Stati Uniti sono il Paese che ha pagato di più. L’Italia si colloca all’ottavo posto. A livello globale, il settore sanitario è stato il più attaccato, con una media di $9,23 milioni per data breach. In Italia, è l’industria farmaceutica ad aver pagato di più: ogni dato rubato è costato €182. Seguono il settore tecnologico (€174) e quello dei servizi finanziari (€173).
Per quanto riguarda i vettori iniziali di attacco, se a livello globale quasi il 20% è costituito da credenziali rubate o compromesse, in Italia il primo vettore è il phishing. In netto contrasto con la media globale, il vettore di attacco che comporta i costi maggiori in Italia è la perdita accidentale di dati o device, che è costata €4,92 milioni (contro $3,94 milioni globali).
I ransomware rimangono tra i metodi di attacco principali (11%). A tal proposito, lo studio ha evidenziato che il pagamento del riscatto per i ransomware non solo non contribuisce ad arginare i costi delle violazioni, ma va a finanziare un’industrializzazione del cybercrime: negli ultimi tre anni, la durata dei ransomware è calata del 94%, da oltre tre mesi a 4 giorni, lasciando alle organizzazioni una finestra temporale sempre più ristretta per reagire.
In Italia solo il 40% delle imprese nazionali è in possesso di un livello sufficientemente maturo di sistemi “Zero Trust”
I giorni per identificare e contenere i data breach sono 250 in Italia, contro i 284 di media globale. Il lavoro da remoto, se adottato per oltre il 50% della popolazione aziendale, è considerato un fattore di rischio, in quanto aumenta i giorni necessari all’identificazione e contenimento dei data breach di oltre il 22%.
Le aziende italiane che hanno sistemi di security maturi sono riuscite a dimezzare i costi dei data breach (€2,16 milioni di euro contro €4,86 per le imprese che non hanno ancora adottato sistemi di security). Il 43% delle aziende prese in esame nel mondo non hanno adottato o sono ancora nelle fasi in iniziali di adozione della security nel cloud.
Solo il 40% delle imprese nazionali è in possesso di un livello sufficientemente maturo di sistemi “Zero Trust”, mentre per le altre il report evidenzia delle importanti mancanze nelle infrastrutture critiche.
Data breach: le aziende che pagano il riscatto non fanno un “affare”
Secondo il report, a livello globale le aziende che hanno pagato le richieste di riscatto hanno speso circa 610mila dollari in meno come costo medio di una violazione rispetto a quelle che hanno scelto di non pagare, senza considerare l’importo del riscatto pagato. Tuttavia, considerando il costo medio del riscatto, che secondo Sophos ha raggiunto 812mila dollari nel 2021, le imprese che decidono di pagare il riscatto potrebbero sostenere costi totali più elevati. Inoltre, questi capitali vanno a finanziare inconsapevolmente futuri attacchi di ransomware, mentre potrebbero essere destinati a interventi di remediation e recovery e alla ricerca di potenziali reati federali.
La persistenza del ransomware, nonostante il significativo impegno globale per bloccarlo, è alimentata dall’industrializzazione dei crimini informatici. IBM Security X-Force ha scoperto che la durata degli attacchi di ransomware diretti alle aziende è diminuita del 94% negli ultimi tre anni – passando da oltre due mesi a poco meno di quattro giorni. Un ciclo di vita dell’attacco così esponenzialmente breve può condurre ad attacchi di impatto maggiore, poiché lascia agli addetti alla security una finestra di tempo molto piccola per rilevarli e contenerli.
Con un “tempo di riscatto” che scende a poche ore, è fondamentale che le aziende diano priorità ad una verifica rigorosa dei manuali di incident response. Tuttavia, il report indica che il 37% delle organizzazioni prese in esame che hanno piani di incident response non li controlla regolarmente.