Da Thales arrivano buone notizie per i criminali informatici. Con una certa sorpresa anche da parte degli analisti il 2022 Thales Data Threat Report condotto su 2.700 decisori It di 17 Paesi (non c’è l’Italia) dice che il 22% pagherebbe o ha già pagato per avere indietro i suoi dati dopo un attacco ransomware.

Non è l’indicatore positivo che ci saremmo aspettati – commenta Luca Calindri, Country Sales Manager Italy & Malta in Thales –. Tanto è vero che la maggior attenzione che cerchiamo di portare avanti riguarda invece il fatto di predisporre una capacità di gestire un eventuale attacco per esempio predisponendo i piani per gestire queste situazioni”. Anche perché in qualche caso le aziende hanno pagato non hanno poi ripreso possesso dei dati.

I piani contro i ransomware

Solo il 48% dichiara di avere allestito un piano contro gli attacchi ransowmware, un dato che sale al 56% nella Sanità ma scende al 44% nell’Energy & Utilities, un altro settore critico. Questo nonostante il 21% dichiari di essere stato sottoposto a un attacco ransomware, il 43% ha avuto un significativo impatto sulle operazioni e il 3% ci ha aggiunto anche una copertura negativa da parte dei media.

Ransomware a parte è il quadro generale a non indurre all’ottimismo, accentuato dagli eventi internazionali che sempre di più hanno un riscontro online. Mentre sempre più aziende adottano strategie multicloud e il lavoro ibrido rimane la norma, i Leader It in molti casi non sanno bene dove sono localizzati i loro dati. Poco più della metà (56%) si sono descritti come molto fiduciosi o con una conoscenza completa del luogo dove sono archiviati e solo un quarto (25%) ha dichiarato di essere in grado di classificare tutti i loro dati.

A fronte dell’aumento degli attacchi anche il cloud non risolve tutti i problemi. Il ricorso alla nuvola cresce: più di un terzo (34%) usa più di 50 applicazioni Software as a Service (SaaS) e il 16% ne ha usate oltre cento. Però a fronte di questo il 51% afferma e forse rimpiange l’on premises visto che è convinto che con il cloud sia più complesso gestire la privacy e le norme di protezione dei dati. Infatti il 44% ha riferito di aver subito una violazione o di aver fallito un audit nella nuvola.

Il fatto di andare verso il cloud – osserva Calindri – dà tranquillità perché si innalzano i livelli di sicurezza”. Questo è vero in molti casi ma a volte “è un falso senso di tranquillità perché un’organizzazione non può delegare la sicurezza al provider. La gestione deve sempre rimanere nelle mani del titolare dei dati”.

Incubo quantum computing

Se il quadro attuale presenta qualche motivo di preoccupazione non mancano le sfide per il futuro. Non tanto sullo sfondo s’avanza la minaccia della potenza del quantum computing. Uno studio di CapGemini condotto su 857 aziende di differenti settori dice infatti che il 23% delle organizzazioni sta lavorando o progettando di lavorare con questo tipo di tecnologie.

Molte devono ancora raggiungere la fase di test, ma il 43% si aspetta di avere un’importante applicazione commerciale entro i prossimi 3-5 anni. Il lavoro procede però anche sul fronte hacker e, spiega il manager di Thales anche sul mercato italiano sono state avviate sperimentazioni per innalzare il livello di sicurezza per esempio della crittografia applicata con tecniche che permettono di resistere ad attacchi tramite quantum computing.

È necessario introdurre nuove forme di entropia crittografica per fare in modo che gli algoritmi in uso possano riappropriarsi un ruolo di protezione efficace anche contro la potenza elaborativa del quantum computing”.

Ma la minaccia non è imminente. Intanto l’utilizzo della crittografia per proteggere i dati sensibili rimane basso: solo la metà degli intervistati (50%) rivela che più del 40% dei loro dati sensibili è stato crittografato, mentre un quinto (22%) ne ha crittografato più del 60%.