​Hotel e PMI sottovalutano troppo la sicurezza IT?

È un paradosso: un po’ più della metà delle PMI dichiara di essere ben preparata a un eventuale attacco informatico. Eppure, il Cyber Study 2024 evidenzia carenze di misure organizzative fondamentali, come piani d’emergenza, strategie di sicurezza e formazione del personale sulla Security Awareness. Nel 44% delle PMI intervistate non vi sono responsabili di sicurezza IT, sebbene i rischi aziendali siano, per legge, di competenza della dirigenza.

Al contempo, gli attacchi informatici sono in costante aumento. Secondo l’Ufficio federale della cibersicurezza (UFCS), il numero di siti di phishing è raddoppiato nel 2024 arrivando a circa 20’000. Nel Cyber Study, il 4% delle PMI intervistate, ossia circa 24’000 aziende in Svizzera, è stato vittima di un grave attacco informatico, senza contare i casi non segnalati. Tre quarti delle aziende colpite hanno subito danni finanziari ingenti.

Le PMI non sono un bersaglio? Sbagliato!

Spesso, le PMI presumono, erroneamente, di non essere bersagli interessanti per i cybercriminali. Molti cyber attacchi hanno come target falle di sicurezza: i sistemi in internet vengono scandagliati per individuare lacune e vengono inviate e-mail di phishing a tutti gli indirizzi disponibili. I cybercriminali attaccano dove se ne presenta l’opportunità. I loro obiettivi possono essere anche siti web scarsamente protetti, utilizzati per il phishing. L’UFCS riporta l’uso fraudolento di siti web aziendali per ottenere dati d’accesso al webhosting, a prescindere dalle dimensioni dell’azienda.

Gli attacchi a molte PMI, spesso meno protette, sono proficui per i cybercriminali tanto quanto quelli a grandi aziende. I dati di carte di credito o di clienti possono infatti essere facilmente monetizzati sul dark web.

I cybercriminali crittografano i dati tramite ransomware per chiedere poi un riscatto. Spesso le PMI pagano, poiché i dati sono per loro essenziali. Gli hacker utilizzano le PMI anche come porta d’ingresso per bottini più ricchi.

Punti deboli e falle nella sicurezza

Gli hotel e le PMI sono facili prede, poiché non proteggono adeguatamente i dati o non testano il funzionamento dei backup. Sebbene il 90% disponga di protezioni di base come backup e aggiornamenti, solo due terzi testano i sistemi di ripristino, un passaggio invece fondamentale.

Molte aziende scoprono lacune nel backup solo in situazioni di crisi. Raramente è implementato un piano di prevenzione degli cyber attacchi: solo un terzo dispone di un piano d’emergenza e un quarto di un piano di sicurezza con misure di cybersicurezza.

Le misure organizzative sono il punto debole

Poche PMI conoscono le proprie lacune di sicurezza. Solo un quinto ha svolto audit di sicurezza informatica per verificare la propria infrastruttura. Sono necessari audit regolari per identificare nuovi rischi, in particolare in caso di cambiamenti, come il passaggio ad ambienti cloud o l’aumento dell’home office.

Un esempio tipico è l’uso del notebook aziendale per e-mail private, che celano rischi di phishing. La formazione sulla Security Awareness è quindi importante, ma solo un terzo delle PMI organizza regolarmente formazioni e utilizza password manager.

Swisscom: Protezione di base a 360° dai rischi informatici

Swisscom la assiste con un know-how completo di sicurezza informatica per individuare falle nella sicurezza, con raccomandazioni per misure protettive e soluzioni tecniche idonee.

 Scoprite l’offerta o contattateci