Symantec
21/06/2013

I dati del 2012 dimostrano, senza ombra di dubbio, come l’area di maggiore espansione degli attacchi mirati verso siti Web e attività online è stata quella delle aziende con meno di 250 dipendenti, oggetto del 31% di tutti gli attacchi.

Attacchi per dimensione dell'organizzazione target (fonte Symantec)

Le organizzazioni con più di 2.500 dipendenti sono quelle maggiormente prese di mira, con il 50% degli attacchi, dato che ricalca quello del 2011. Anche se stabile, in percentuale, il volume degli attacchi mirati contro le organizzazioni con più di 2.500 dipendenti è nel complesso raddoppiato rispetto al 2011.
Gli attacchi mirati rivolti alle PMI (1-250 dipendenti) corrispondono invece al 31% del totale, con un aumento del 13% rispetto al 2011. Il volume degli attacchi rivolti alle PMI è triplicato, rispetto al 2011, il dato percentuale quasi raddoppiato.

La notizia non può che allarmare in quanto, stando ai sondaggi condotti da Symantec, è assai diffusa tra i manager delle piccole e delle medie imprese la convinzione di essere immuni agli attacchi.
Al contrario, il denaro sottratto a una piccola impresa ha, per i malfattori, lo stesso esatto valore di quello sottratto a una grande azienda.
Mentre suppongono di non possedere niente di appetibile per un hacker, le piccole imprese dimenticano spesso che, al loro interno, vengono conservate informazioni essenziali sui clienti, proprietà intellettuali e flussi di denaro per l’online banking.

A chi potrebbe obiettare che, per un hacker, la remuneratività di un attacco rivolto a una piccola o media impresa è inferiore a quello che otterrebbe attaccando una grande azienda, è bene ricordare che il supposto minor valore è ampiamente compensato dal minore sforzo richiesto per penetrare difese generalmente più blande.

L’attività criminale ha spesso origine da singoli atti favoriti dalle circostanze. Nel caso dei crimini informatici le circostanze favorevoli sono rappresentate dalle piccole e medie imprese.

Il problema è molto più serio di quel che si pensi, perché l’assenza di procedure di sicurezza adeguate tra le piccole e medie imprese è una minaccia per tutti. I criminali, dissuasi dalle difese messe in piedi da una grande azienda, spesso spostano le loro attenzioni su una piccola impresa in relazioni commerciali con il target primario, dotata in genere di difese più labili, sfruttandola come passaggio per arrivare a violare la prima.