Proofpoint: quadruplicato il costo del phishing dal 2015
di Alberto Falchi pubblicata il 30 Agosto 2021, alle 14:21 nel canale SecuritySei anni fa un attacco di phishing costava mediamente 3,8 milioni di dollari mentre oggi la cifra sfiora i 15 milioni, circa 1.500 dollari a dipendente. Tutti i dettagli della ricerca di Proofpoint e Ponemon Institute
Quanto costa il phishing alle aziende? Una domanda di non facile risposta, dato che dipende dalle dimensioni dell'impresa e dalla vastità dell'attacco, ma Proofpoint, insieme a Ponemon Institute, ha provato a dare una risposta con una ricerca condotta intervistando 600 professionisti dell'IT e della sicurezza informatica operanti in realtà con più di 100 dipendenti
Il risultato è che l'impatto economico del phishing è decisamente elevato e, soprattutto, è quadruplicato negli ultimi sei anni. Se nel 2025 infatti la spesa media era di 3,8 milioni di dollari, nel 2021 la cifra è cresciuta sino a 14,8 milioni di dollari, qualcosa come 1.500 euro a dipendente. La maggior parte di questi costi non sono dovuti al pagamento di riscatti per eventiali ransomware installati tramite phishing: l'impatto della compromissione delle email aziendali è ben superiore, in termini economici.
"Quando le persone leggono che un'azienda ha pagato milioni a causa del ransomware, presumono che questo sia il costo del riscatto. In realtà, abbiamo scoperto che i riscatti da soli rappresentano meno del 20% del costo di un attacco ransomware" - spiega Larry Ponemon, Chairman e Founder di Ponemon Institute - "Poiché gli attacchi di phishing aumentano la probabilità di violazione dei dati e di interruzione del business, la maggior parte dei costi sostenuti dalle aziende derivano dalla perdita di produttività e dal risanamento del problema, e non dal pagamento effettivo del riscatto".
I costi del phishing: il riscatto per l'eventuale ransomware pesa solo il 7%
Quando si parla di attacchi di tipo phishing, che spesso si concludono con l'installazione di un ransoware sui sistemi violato, il riscatto rappresenta solo una piccola parte. A pesare maggiormente, secondo la ricerca di Ponemon e Proofpoint, è il costo relativo al BEC, il Business Email Compromise, cioè la violazione delle caselle postali: questa voce rappresenta circa il 40% dell'intera spesa, seguita dal costo della perdita di produttività (22%) e da quello relativo alle altre credenziali violate. La cifra per gli eventuali riscatti (non è detto che il phishing porti necessariamente a un ransomware: a volte l'attacco è mirato solo alla sottrazione di informazioni riservate) spesso rappresenta solo il 7%.
"Poiché i cybercriminali ora prendono di mira i dipendenti invece delle reti, la compromissione delle credenziali è letteralmente esplosa negli ultimi anni, aprendo così la porta ad attacchi molto più devastanti come BEC e ransomware" - spiega Ryan Kalember, executive vice president of cybersecurity strategy di Proofpoint - "Fino a quando le organizzazioni non implementeranno un approccio alla cybersecurity incentrato sulle persone, che includa formazione sulla consapevolezza della sicurezza e protezione integrata dai rischi per fermare con successo le minacce, gli attacchi di phishing continueranno".
La perdita di produttività è insomma una delle voci che incidono di più, e anche questa è in aumento: se nel 2015 mediamente un attacco informatico faceva perdere 4,16 ore per ogni singolo dipendente, nel 2021 si è arrivati a 6,83 ore, quasi un'intera giornata lavorativa.
Secondo il report, gli attacchi di tipo phishing oggi rappresentano circa il 15% delle infezioni di malware aziendali, contro l'11% del 2015. Rispetto a sei anni fa, sono anche raddoppiati i costi per rimediare all'infezione, passati da 338.098 dollari di media a 807.506.
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".