La cybersecurity nelle PMI europee

Le piccole e medie imprese sono la spina dorsale dell'economia dell'Unione Europea. Rappresentano il 99% del totale, sono circa 25 milioni e danno lavoro a oltre 100 milioni di persone. Da loro deriva più della metà del PIL europeo. Con queste premesse, è facile comprendere quanto sia centrale il ruolo che giocano sulla strada della trasformazione digitale. 

L'ENISA (European Union Agency for Cybersecurity) ha condotto recentemente un’analisi su come le PMI europee affrontano e gestiscono il tema della cybersecurity, soprattutto alla luce dell’estensione dell’esposizione digitale degli ultimi 18 mesi. Per continuare a operare durante la pandemia, il 45% delle piccole e medie imprese ha infatti dovuto introdurre nuove tecnologie, principalmente servizi cloud e accessi da remoto per facilitare il lavoro a distanza. Tuttavia, nonostante otto aziende su dieci dichiarino di gestire informazioni critiche e di considerare la sicurezza informatica una preoccupazione fondamentale, la quasi totalità (90%) non ha implementato le misure necessarie a garantire la sicurezza delle nuove tecnologie adottate. 

Le soluzioni più standard – antivirus, sistemi di backup, firewall, aggiornamenti sistemici dei software – hanno raggiunto un buon tasso di diffusione e sono utilizzate dal 70% delle PMI europee. Solo il 30% però svolge corsi di formazione sulla sicurezza informatica, utilizza sistemi di registrazione e di allerta, ha un piano di business continuity e disaster recovery e/o propone attività di sensibilizzazione sulla gestione dei dispositivi rimovibili. 

In sintesi, molte PMI sembrano aver implementato le misure di sicurezza di base incorporate nell’infrastruttura IT complessiva, ma non si spingono oltre. Questo anche nonostante il deciso aumento nel numero di attacchi cyber registrato nell’ultimo anno e mezzo (l’ENISA ha censito nel 2020 304 episodi, a fronte dei 146 del 2019). 

Gli ostacoli principali all’adozione di soluzioni più efficaci, secondo la ricerca, sono una scarsa consapevolezza dei rischi, i costi di attuazione delle misure di sicurezza – spesso in combinazione con la mancanza di budget dedicati, il non avere a disposizione specialisti ICT, la mancanza di linee guida adeguate al settore delle PMI e una scarsa sensibilità dei vertici direzionali. Problematiche che accomunano le aziende più piccole indipendentemente dal paese in cui operano, e che andranno risolte con un approccio sistemico di collaborazione tra imprese e istituzioni. 

In Italia, la recente creazione del Perimetro di Sicurezza Nazionale Cibernetica e dell’Agenzia per la Cyber Security ha segnato una via decisiva che costituisce un obbligo non solo per le 223 organizzazioni cosiddette “critiche” contenute nell’area di intervento, ma anche per tutte le altre imprese lungo la supply chain. Analisi dei rischi, definizione delle misure di mitigazione, gestione dei rischi legati a fornitori e terze parti, monitoraggio e gestione tempestiva degli incidenti: una metodologia che dovrà essere adottata da tutte le aziende coinvolte, indipendentemente dalle loro dimensioni. 

Maturare un miglior livello di cybersecurity sarà ancor più fondamentale dal momento che la trasformazione digitale è uno degli obiettivi cardine del PNRR. Come riportato da Deloitte nel report “Connect for Future – Next Generation EU”, il tessuto produttivo italiano, rappresentato prevalentemente da PMI, attribuisce un ruolo primario alla digitalizzazione (68%) nel rilancio dell’economia, ed entro i prossimi 12 mesi più di 8 aziende su 10 investiranno in digitalizzazione e innovazione al fine di migliorare la propria redditività.

Parallelamente alle azioni sistemiche, le PMI possono (e devono) lavorare per modificare il proprio approccio al tema della cybersecurity, promuovendo una cultura della sicurezza informatica tramite una formazione adeguata, sviluppando un piano di risposta agli incidenti, garantendo un accesso sicuro ai sistemi e ai dispositivi, migliorando la protezione delle reti, proteggendo i backup.