Table of Contents Table of Contents
Previous Page  65 / 84 Next Page
Information
Show Menu
Previous Page 65 / 84 Next Page
Page Background

priorità, così da poter preparare una serie di

progetti a più fasi, dove, per esempio, il pro-

getto iniziale serva a introdurre correttivi per

risolvere vulnerabilità ad alto rischio e pro-

getti successivi possano affrontare i rischi

moderati o di basso livello. Questo rende

più facile fare accettare al management il

tutto, perché il costo totale si distribuisce

nel tempo.

La stima dei ricavi

Infine, un altro step necessario per creare

un business plan per la sicurezza infor-

matica è fare una stima dei ricavi che il

progetto potrà produrre. Per i progetti di

cybersecurity, migliorare la sicurezza porta

a risparmi di costi grazie alla prevenzione

delle perdite che possono essere causate

da un attacco. Calcolarle è particolarmente

complesso per una serie di ragioni. Innan-

zitutto, è molto difficile stimare quante

volte i sistemi di controllo siano attaccati.

Vi sono statistiche che tracciano il numero

di cyber-attacchi su tutti i tipi di applicazioni

(IT, controllo, applicazioni residenziali ecc.),

ma quelle che riguardano nello specifico i

sistemi di controllo sono poche e nonmolto

dettagliate. Sappiamo per esempio che

nel 2015 vi sono stati 297 attacchi cyber

su infrastrutture critiche negli USA (

Fonte

ICS-Cert

). Questo però non dice quanti

sono stati gli attacchi su infrastrutture non

critiche, o quanti ce ne sono stati fuori dagli

USA. Non vi sono dati che ci guidano dan-

doci un tasso di crescita anno su anno. Dati

su segmenti di mercato specifici, per esem-

pio sul settore minerario, idrico ecc., sono

a loro volta di difficile acquisizione. In più,

molti clienti scelgono ancora di non rendere

pubblici i dati sui cyber-attacchi per timore

dell’impatto sulla reputazione aziendale.

Inoltre, in alcuni casi il rischio di attacco si

basa sulla situazione attuale della security

in un’azienda. Se non vi sono contromisure,

il rischio è più alto rispetto a quello corso da

un’azienda che ha già messo in atto alcune

contromisure. Questo è un altro fattore da

prendere in considerazione quando si vuole

caratterizzare il proprio rischio potenziale.

Infine, è difficile stabilire il costo potenziale

di un problema di sicurezza. Alcune com-

promissioni potrebbero portare a perdita

di dati critici, e magari cruciali come l’in-

grediente ‘segreto’ di un prodotto; oppure

modificare i comportamenti di un sistema, i

cui danni sono difficili da prevedere; avere

impatto sulla disponibilità del sistema,

danneggiare l’immagine aziendale o anche,

purtroppo, causare perdite di vite umane,

se il problema impatta un processo di sicu-

rezza…È facile definire il costo di un’inter-

ruzione di produzione, ma è difficile stimare

quanto lunga o pesante sarà l’interruzione

causata da un evento di sicurezza. Vi sono

poi alcuni tipi di attacchi che hanno costi

specificamente associati: i ransomware,

per esempio, criptano i dati presenti su un

elemento della rete e chiedono di pagare

un riscatto per riaverli decrittati. In media

viene chiesto un riscatto di 697 dollari, ma

questa media è composta sia da quanto è

richiesto in caso di attacchi a utenti privati,

sia da quanto è richiesto in attacchi portati

verso aziende. Insomma, non vi sono grandi

statistiche utili disponibili. In compenso vi

sono numeri che danno idea della portata

del problema, riassunti in una nota pro-

dotta da CyberArk

( www.cyberark.com/

blog/noteworthy-cyber-security-statistics

)

a gennaio 2017. Nel 2016, in media, le

aziende in tutto il mondo hanno perso 9,5

milioni di dollari per attacchi informatici

(

Fonte HPE -

www.hpe.com/h20195/V2/

getpdf.aspx/4AA6-7930ENW.pdf

); negli

USA questa media è stata pari a 17 mi-

lioni (

Fonte HPE

); il cyber-crime costerà alle

aziende oltre 2.000 miliardi di dollari entro

il 2019 (

Fonte Juniper Research -

www.ju- niperresearch.com/press/press-releases/

cybercrime-cost-businesses-over-2trillion

).

Il costo medio di un data breach supererà

i 150 milioni di dollari entro il 2020 (

Fonte

Juniper Research

); 1 miliardo di dollari

(Fonte

www.zdnet.com/article/the-cost-

of-ransomware-attacks-1-billion-this-year

)

è il costo totale stimato dei danni legati ad

attacchi ransomware, che nel solo 2016

hanno usato la tecnica di criptare i file per

renderli irraggiungibili. Come usare queste

statistiche per caratterizzare le perdite pre-

sentando un business case non è facile,

perché non necessariamente si adattano

alle specificità di un’azienda.

Alcune raccomandazioni

Nonostante tutte le difficoltà sopra ripor-

tate, vi sono alcune raccomandazioni utili

per giustificare correttamente la richiesta di

spendere in cybersecurity. Prima di tutto, si

può iniziare avviando un progetto per cre-

are un piano di security. Il piano si può far

preparare dallo staff interno o, se mancano

le competenze specifiche, da un’organizza-

zione esterna che ne dispone. Schneider

Electric, per esempio, ha una sua struttura,

dedicata ai servizi di cybersecurity, in grado

di aiutare i clienti a preparare il piano per

la sicurezza delle loro installazioni. Si può

quindi chiedere una quotazione per ricavare

il possibile costo legato alla realizzazione di

un piano di security. Una volta completato il

piano, bisogna proporre una serie di progetti

di sicurezza in più fasi. Le vulnerabilità ad

alto rischio devono essere affrontate nelle

fasi iniziali: i dettagli dei costi relativi ver-

ranno dal security plan. Infine, è doveroso

chiarire che i miglioramenti in cybersecurity

non generano ricavi, bensì mitigano poten-

ziali perdite. Individualmente si può cercare

di specificare le perdite potenziali, stimando

le probabilità di attacco e associando i

danni potenziali che possono causare, come

interruzione di servizio, danni all’immagine

aziendale, perdita di vite umane, perdita

di dati ecc. Un modo molto utile per capire

quali danni potenziali si possono avere a

causa di un attacco, è confrontarsi con i pro-

pri pari negli eventi di settore, oppure anche

consultare i principali vendor di sistemi, per

capire se hanno dati che si possano usare

per preparare il business case. Inmolti casi,

eventi e fiere dedicati all’industrial cyberse-

curity sono ottime fonti di dati.

Schneider Electric

www.schneider-electric.it

Con un piano di sicurezza completo un’azienda può capire meglio le attività

necessarie per rendere sicuri i sistemi e i costi di implementazione stimati

SETTEMBRE 2017

FIELDBUS & NETWORKS

65

1 60 61 62 63 64 65 66 67 68 69 70 71 84  FlippingBook