Un’indagine condotta da Sirmi, per conto dell’associazione Clusit, ha confermato la scarsa propensione delle imprese italiane a investire in progetti per proteggere i Si. Sono presenti soluzioni vecchie di dieci anni. Auspicati interventi urgenti per ricerca, produzione e formazione
Se
si domanda ai responsabili dei sistemi informativi delle aziende italiane con
più di dieci dipendenti se hanno attivato all’interno della propria azienda una
politica per la sicurezza informatica, l’87% risponde di sì, ma se si chiede
agli stessi soggetti se è anche stato stanziato un budget annuale per questo
problema, il 71% risponde di no. Dietro questa incongruenza, chiaramente
evidenziata da una ricerca di Sirmi realizzata per conto dell’Associazione
Italiana per la Sicurezza Informatica (Clusit), si cela il reale
approccio adottato dalle imprese italiane nei confronti della sicurezza
Ict, che attualmente non prevede alcuna seria progettazione, ma solo
un’improvvisazione “day-by-day”: quando si presenta un problema si trova una
“pezza”, senza avere una strategia di riferimento e limitandosi a fare il minimo
indispensabile.
Un
approccio tutto italiano
Una situazione confermata da un ulteriore
dato: il 79,6% delle imprese intervistate da Sirmi (500 aziende appartenenti ai
settori della finanza, industria, commercio e Pubblica amministrazione) dichiara
di aver subìto nel 2001 almeno un attacco da virus, mentre solo l’11% afferma di
aver subìto altri tipi di attacco, quali accessi non autorizzati a dati e
sistemi, Denial of Service o intercettazioni. Né vi è alcuna preoccupazione di
poter restare vittime in futuro di attacchi di questo tipo. Abbiamo, dunque,
trovato una via tutta italiana alla soluzione dei problemi della sicurezza Ict?
Secondo i curatori della ricerca non è così. «Se da un lato – afferma Danilo Bruschi, presidente del Clusit – questa situazione è da
attribuirsi alla limitata esperienza delle imprese in fatto di attacchi e alla
non piena consapevolezza della loro pericolosità, dall’altro è da imputarsi al
basso livello d’uso delle tecnologie di rete e quindi alla riduzione,
consapevole o inconsapevole, dei rischi connessi».
L’indagine, infatti,
rivela che, anche se tecnologicamente ben attrezzate, le imprese italiane usano
nella stragrande maggioranza l’Ict per svolgere, anche se in modalità diversa,
le stesse funzionalità svolte precedentemente all’avvento di Internet. Fatta
eccezione per le applicazioni standard, quali e-mail e Web browsing, solo il
37,9% del campione usa Internet per scambiare dati con i propri partner, mentre
la percentuale scende al 2,4 % per chi utilizza Internet per l’acquisto di
prodotti e servizi. Le imprese realmente attrezzate per il B2C sono il 10%, con
una crescita prevista dell’8,7% alla fine dell’anno in corso; minore la
percentuale di quelle interessate al B2B. Una parte consistente delle
imprese, il 41%, percepisce poi gli attacchi informatici non come atti compiuti
da soggetti intenzionati a danneggiare l’impresa e il suo business con la frode,
lo spionaggio o altre azioni analoghe, ma semplicemente come comportamenti
vandalici fini a se stessi. Questo nonostante (e si tratta di un dato confortato
dalle statistiche del Cert-It) circa 6.000 imprese siano state vittime di
attacchi di tipo Denial of Service, un’intrusione che provoca gravi danni su
tutta la rete attaccata, e 1.400 abbiano denunciato di aver subìto la
modifica dei dati a loro insaputa. Cifre irrisorie se si confrontano a quelle
che provengono dagli Stati Uniti, ma che rivelano la presenza in Italia di una
criminalità informatica di dimensioni non trascurabili. I sistemi (si legge
nella ricerca) sono protetti ancora con gli stessi meccanismi di una decina
d’anni fa, principalmente quindi con prodotti antivirus (93,4%), password (87%)
e procedure di back-up (94%), mentre tecnologie di protezione più sofisticate
sono utilizzate in percentuali molto minori: firewall 54,6% ed e-mail
scanning 50,2%. Ancora più bassa la diffusione della firma digitale (9,4%),
dei sistemi per la sicurezza nei pagamenti (9,8%), della crittografia e della
certificazione (21,4%). L’ipotesi avanzata da Sirmi che esista una stretta
correlazione tra l’uso di applicazioni Ict avanzate e uno sviluppo “meditato”
della sicurezza aziendale, è confortata anche dal riscontro, nel 54,6% delle
aziende che offrono applicazioni avanzate (pagamenti online e applicazioni
B2B o B2C), di un approccio top down alla sicurezza. I certificati digitali
e i sistemi crittografici, ad esempio, sono utilizzati dal 40,7% di queste
aziende mentre, come abbiamo visto, la media di utilizzo di tutti gli
intervistati è del 21,4%. L’unico riscontro confortante è che il 54% delle
imprese che ha stanziato un budget per la sicurezza ha dichiarato anche che tale
spesa in futuro non si ridurrà; in particolare, tenderà a crescere nel 34% e a
rimanere stabile nel 22% dei casi.
Una
fonte di costi
«Il quadro complessivo che emerge
dall’indagine – aggiunge Bruschi – è particolarmente critico, poiché
gli utenti percepiscono la sicurezza Ict non come una risorsa per tutelare
l’azienda, ma come un puro costo; il settore è, quindi, considerato marginale e
gestito senza un’adeguata preparazione culturale e professionale. Pochi hanno
compreso, tra l’altro, che la sicurezza di un intero sistema informatico
è data dal livello di sicurezza dell’elemento meno protetto. La situazione
appare ancor più grave se si pensa che molte aziende sono inserite in un sistema
di comunicazione globale che consente loro di comunicare facilmente con terzi,
così come consente a terzi di entrare nei sistemi informativi aziendali,
accedendo anche a dati riservati. In ogni caso, diversi fattori hanno da
sempre caratterizzato negativamente quest’area strategica nel nostro Paese, tra
cui la mancanza di un’industria nazionale del settore, l’inadeguatezza delle
strutture di ricerca e la quasi totale assenza di collegamento tra queste
strutture e il mondo produttivo.
Riteniamo, quindi, che siano necessari
interventi urgenti sul piano della ricerca, della produzione e della
formazione».
