5 conseguenze costose del crimine informatico delle PMI
I criminali che cercano di rubare dati o interrompere il commercio non si limitano ad affinare le grandi aziende. Le piccole e medie imprese (PMI), infatti, sono un obiettivo altrettanto attraente.
Nel 2013, c’erano circa
PMI negli Stati Uniti, due terzi dei quali hanno contribuito circa $7.5 trilioni all’economia statunitense. Questo li rende una vittima redditizio e vulnerabile per i criminali informatici semplicemente perché molti di loro non stanno prestando attenzione.
Il crimine commesso attraverso Internet rientra in due grandi categorie: furto di informazioni e vandalismo digitale. Il furto include informazioni finanziarie, informazioni proprietarie di prodotti o strategiche, record dei clienti e cronologia delle transazioni. Una volta rubate, queste informazioni vengono utilizzate per rubare direttamente fondi dalla PMI o dai suoi clienti o vengono vendute ad altri criminali.
Il phishing è una forma di furto di informazioni che induce un utente a rivelare informazioni sensibili come password o numeri di carte di credito mascherandosi da entità attendibile. Il vandalismo digitale include attacchi denial of Service (DoS), virus o altri tipi di malware, spesso destinati semplicemente a interrompere un’azienda. Tutte le forme di criminalità informatica esatti costi dannosi.
Valutazione dei costi per le piccole imprese
Per una piccola impresa, il furto di informazioni sui clienti può paralizzare le operazioni o mettere un’azienda fuori dal mercato. Un singolo incidente che danneggia la reputazione di un’azienda o compromette l’integrità del suo negozio elettronico potrebbe causare perdite irrecuperabili.
Il costo medio diretto per una piccola impresa per un attacco singolo
, ma ciò esclude danni al marchio e altri costi soft. Le PMI subiscono quasi quattro volte i costi pro capite della criminalità informatica delle aziende più grandi,
.
Per molte PMI, questi costi possono rivelarsi fatali. Un
ha mostrato che il 36 per cento degli attacchi informatici sono condotti contro le PMI. Di questi, fino al 60 per cento andare fuori mercato entro sei mesi da un attacco. Eppure il 77 per cento dei proprietari di PMI ritiene che le loro aziende sono al sicuro da violazioni della sicurezza informatica.
La criminalità informatica è uno sfortunato effetto collaterale dell’era dell’informazione. Dove beni fisici o contanti una volta contenevano tutto il valore preso di mira dai ladri, oggi l’informazione ha un valore ancora maggiore. Le aziende devono essere diligenti per la protezione contro il furto elettronico. Le PMI devono valutare la loro potenziale esposizione alla criminalità informatica e intraprendere azioni per prevenire e smussare gli attacchi.
Sebbene i costi precisi di un attacco differiscano in base alle dimensioni e alle circostanze di un SMB, le sezioni seguenti descrivono i tipi di costi che potrebbero essere sostenuti da una SMB in seguito a un evento così infelice.
Business perso durante l’attacco
Una violazione della sicurezza spesso significa interrompere le operazioni elettroniche delle PMI per un certo periodo di tempo. Un rivenditore online sottoposto a un attacco DoS potrebbe essere chiuso per diversi giorni o settimane mentre determina l’origine dell’attacco e intraprende azioni correttive.
Una violazione dei dati dei clienti in cui sono stati rubati i dati della carta di credito causerebbe probabilmente un blocco simile. L’azione correttiva spesso dipende dalla reattività di un fornitore di servizi; un affare frustrante, dispendioso in termini di tempo e costoso. È probabile che i costi comportino perdite totali di entrate per almeno diversi giorni.
Perdita di beni aziendali
I numeri di conto bancario e le password rubate durante una violazione possono causare il furto dei fondi del conto. I proprietari di PMI possono
, così come le società di carte di credito al consumo. Infatti, una PMI perderà tutti i fondi rubati, che potrebbe causare un business a perdere il suo capitale circolante.
Le informazioni proprietarie, come progetti di prodotti, registri dei clienti, strategie aziendali o informazioni sui dipendenti, sono spesso compromesse o rubate a titolo definitivo. Tutte queste attività hanno un valore incalcolabile per un’azienda e quindi possono infliggere perdite paralizzanti.
Danni alla reputazione
Un altro costo difficile da quantificare è il danno alla reputazione dopo un attacco. Il tanto pubblicizzato
che ha compromesso 100 milioni di record dei clienti costa all’azienda circa million 148 milioni in costi di cassa diretti, dopo i pagamenti assicurativi. Tuttavia, il danno alla reputazione di Target si protrarrà a lungo, rendendo le persone riluttanti a condividere informazioni personali, utilizzare le loro carte di credito o fare acquisti presso il negozio. Forrester Research ha stimato che i costi totali di Target supererebbero 1 1 miliardo.
Questo scenario potrebbe essere peggiore per una PMI. Ad esempio, si consideri un operatore di resort che fa molto affidamento sul proprio sito Web per attirare nuovi clienti, prenotare prenotazioni e mantenere il proprio marchio. Se quel sito viene violato e infettato da link dannosi, verrà messo in quarantena—posto in un “sin bin”—per un periodo abbastanza lungo dai motori di ricerca, rendendo più difficile per i clienti trovare il sito web.
Anche dopo che l’operatore risolve l’hack, potrebbero essere necessari mesi per ripristinare la reputazione virtuale del resort. E questo è in cima a perdite di entrate e buona volontà da parte dei clienti colpiti durante l’attacco.
Contenzioso
Le PMI non sono suscettibili di essere citate in giudizio se le informazioni dei loro clienti vengono rubate a meno che non abbiano implementato misure di protezione ragionevoli. Nel caso di destinazione, ad esempio, i consumatori e le banche che detenevano le loro carte di credito, hanno presentato azioni legali collettive.
In quest’ultimo caso, un
nel consentire agli hacker di accedere al proprio data center, che ha permesso alle banche di continuare le loro cause legali. Certamente, Target non è una PMI, ma una piccola impresa deve riconoscere la necessità di proteggere le informazioni dei propri clienti. L’adozione di misure ragionevoli (“esercitare la dovuta diligenza” in termini legali) dovrebbe offrire protezione contro future controversie in caso di violazione dei dati.
Costi di protezione: personale, firewall, crittografia e software
Il costo più importante della criminalità informatica dovrebbe essere anche il primo esborso: prevenzione. Le aziende di qualsiasi dimensione devono implementare una strategia per proteggersi dalla realtà della criminalità informatica. Per la più piccola delle PMI-una proprietà di una sola persona—che potrebbe essere semplice come utilizzare una robusta protezione con password su tutti i sistemi e utilizzando software di protezione a basso costo, forse fino a $50 / anno.
Per le aziende più grandi, i costi si ridimensionano in base alle dimensioni. L’utilizzo di soluzioni di gestione delle informazioni di sicurezza e degli eventi (SIEMS), sistemi di prevenzione delle intrusioni (IPSs), sistemi di intelligence di rete e analisi dei dati può ridurre notevolmente i costi degli attacchi informatici,
.
Expert advice: Do something
Il più grande rischio di fronte a un manager SMB è inazione. Ignorare la criminalità informatica non lo fa andare via e mette il business in pericolo. Le azioni di protezione contro la criminalità informatica sono ora più importanti delle serrature della porta d’ingresso di un negozio.
Non mettere in atto un piano di protezione elettronico adeguato alle dimensioni e al modello aziendale della PMI equivale a lasciare la porta d’ingresso spalancata con un mucchio di denaro in bella vista. Non lasciate che il denaro scappare: metterlo sotto chiave.
Chris Janson è un tecnologo con oltre 25 anni di esperienza nel settore che lavora in ruoli di ingegneria, marketing e gestione per aziende grandi e piccole. Ha pubblicato molti articoli sulle reti di comunicazione e sul loro uso nel governo, nella finanza, nell’istruzione e in altri settori. Parla a conferenze di settore, fa parte dei consigli di amministrazione di OpenCape Corporation e Rural Telecom Congress e ha insegnato corsi alla Northeastern University di Boston.
Ed Tittel vi lavora da oltre 30 anni. È autore di oltre 100 libri di informatica, tra cui la serie Exam Cram di titoli di preparazione alla certificazione. Ha anche blog regolarmente per lo scambio di conoscenze IT(“
Leave a Reply