Una ricerca realizzata da Ponemon e finanziata da HP ha fatto luce, o meglio, l'ha aggiornata, sullo stato del crimine cibernetico. Il rapporto, denominato "2014 Global Report on the Cost of Cyber Crime" ha preso in considerazione 257 aziende con più di 1000 dipendenti distribuite su scala mondiale e sette nazioni. Tra queste gli USA, la Germania, la Francia, la Germania e il Regno Unito. Manca l'Italia, che quanto a crimini cibernetici c'è da attendersi che non sia seconda o quasi a nessuno, ma i dati evidenziati nel report relativi alle aziende della Germania e della Francia possono essere di certo presi a riferimento come valore ragionevole.
Il riferimento è nello specifico ad attacchi condotti via Internet che includono il furto di proprietà intellettuali, l'intromissione e il relativo furto in conti bancari, la distribuzione di virus su computer aziendali, la distribuzione di informazioni confidenziali tramite Internet e il danneggiamento del funzionamento corretto di infrastrutture critiche per una nazione. Insomma, verrebbe da dire, ce n'è per tutti.
Tipologia di attacco subito e percentuale di aziende interessate sul totale
Naturalmente viene da considerare che certe valutazioni vadano prese con le dovute cautele, soprattutto nell'impatto sulle infrastrutture o per quanto concerne la valorizzazione delle proprietà intellettuali e dei frutti della ricerca, non sempre facili da valutare e che per motivi assicurativi potrebbe in alcuni casi portare i soggetti al furto a sopravvalutare la stima economica corrispondente.
Proprio per questo e per motivi di consistenza, più che le perdite lo studio ha preso in esame e valutato assieme agli intervistati i costi in cui una organizzazione è incorsa quando ha dovuto fronteggiare e rispondere ad un attacco cibernetico.
Inclusi in questi costi sono quelli per la loro individuazione, il recupero per quanto possibile della situazione quo ante, l'investigazione e la gestione dell'incidente in cui si è incorsi. Incluso nel calcolo economico è stato anche quanto si è dovuto spendere a seguito dell'incidente per l'effetto negativo che il medesimo ha avuto sul business, ad esempio la perdita di clienti e/o il ripianamento di danni da essi subiti.
Facile comprendere che nel caso di conti correnti o similari le cifre potrebbero essere consistenti, anche se in questo caso raramente la cosa viene resa pubblica o un CIO autorizzato a parlarne. Esclusi dal calcolo economico (negativo) sono stati invece le spese dell'organizzazione di tipo generale o quanto speso per essere compliant con standard , politiche aziendali o regolamenti di categoria.
Oltre a quanto speso mediamente dalle aziende considerate, che vedremo più avanti, un altro elemento critico è il tipo di attacco realizzato. La parte del leone la fanno virus, worm, trojian e malware, che hanno interessato la quasi totalità delle aziende. Al 60% si posizionano invece Botnets e attacchi basati su web. Tutti gli altri tipi a seguire.
Tutto ciò doverosamente premesso e considerato vediamo i dati medi sui costi degli attacchi subiti. La media annuale su tutte le aziende è risultata pari a 7,6 milioni di dollari, con un range però abbastanza ampio che va da 0,5 ai 61 milioni. Nel 2013 il costo medio era risultato pari a 7,2 milioni su 235 aziende.
Obiettivamente il range appare molto ampio e se si toglie anche solo quella azienda che ha totalizzato da sola ben 61 milioni la media di colpo si abbassa di circa 0,25 milioni, che non è poco. Se poi le aziende sbilanciate verso il valore massimo sono più di una il costo per le altre si abbassa ulteriormente.
In ogni casi si tratta di costi da affrontare che danno obiettivamente da pensare. Non sorprendentemente poi per ragioni di scala, minore è la dimensione dell'organizzazione in termini di postazioni da proteggere, evidenzia Ponemon, maggiore è il costo per postazione che si è dovuto sostenere per rimediare agli attacchi subiti.
Come viene sovente ripetuto, il report evidenzia come sia sempre meglio prevenire che reprimere, e soprattutto meno costoso.