L’aumento della digitalizzazione delle aziende ha portato anche a un aumento dei rischi informatici, spesso connessi alla gestione delle credenziali. Sul futuro dell’autenticazione, l’industria tech ha già deciso quale strada prendere. Ma saranno diversi i fattori che determineranno la velocità di questa rivoluzione. La versione completa di questo articolo, a firma di Alessandro Pulcini, è disponibile sul numero di Fortune Italia di giugno 2021.
“… Un mondo senza password. Non vedo l’ora”. La conferenza virtuale con cui, a fine aprile, Gianmatteo Manghi si è presentato alla stampa nel suo nuovo ruolo di Ad di Cisco Italia si sta per concludere. E tra gli ultimi argomenti affrontati ce ne è uno che ha tutte le potenzialità per rivelarsi rivoluzionario, e non solo per il gigante tecnologico americano: in un mondo informatico sempre più innamorato della biometria e sempre più spaventato dai danni devastanti degli attacchi hacker, cosa sarà delle password?
Come lascia presagire il commento dell’Ad che ha preso il posto di Agostino Santoni (ora vice presidente Cisco per il Sud Europa), l’industria tech ha già deciso quale strada prendere. Ma saranno anche gli utenti, cittadini e aziende grandi e piccole, a determinare la velocità di questa rivoluzione.
QUANTO COSTANO LE PASSWORD ALLE AZIENDE?
La più grande vulnerabilità di qualsiasi sistema informatico, per aziende grandi e piccole, sono le credenziali: mail, nomi utente, password. Perché per i malintenzionati possono rappresentare sia un punto di accesso da conquistare attraverso il phishing, sia un tesoro da rubare, per poi ricattare la vittima, come nel caso del ransomware, mettendone magari i dati in vendita su un marketplace del darkweb (costo medio, secondo la società di ricerca Comparitech: tra gli 8 e i 25 dollari).
Nell’anno della pandemia, che ha portato un numero senza precedenti di dipendenti a lavorare da casa, gli attacchi di phishing e ransomware sono aumentati rispettivamente dell’11% e del 6%, secondo i dati del ‘Data breach investigations report 2021’ di Verizon: delle 5.258 violazioni analizzate dall’azienda americana (segnalate dalle 83 aziende che hanno collaborato al report), l’85% è stato determinato da una componente umana. L’81% delle violazioni passa per il furto delle credenziali.
Secondo un’analisi Gartner di settembre 2020, la pandemia, accelerando l’adozione di nuove tecnologie da parte delle aziende, ha anche creato nuovi rischi per la sicurezza: nel lavoro da remoto dei dipendenti, nei rapidi adattamenti alle ordinanze dei governi per il contenimento della pandemia, addirittura incrementando il livello di stress dei lavoratori ed esponendoli maggiormente a errori sfruttabili dai criminali informatici.
Tra i dati che descrivono i trend dell’anno della pandemia ci sono anche quelli relativi agli obiettivi degli hacker: se lo scorso anno le violazioni a danno delle pmi erano meno della metà rispetto a quelle subite dalle grandi aziende, il report di Verizon “registra un rapporto di 100 a 87”, ha sottolineato all’Adnkronos Phillip Larbey, managing principal di Verizon Business. Anche le aziende più piccole quindi, stanno diventando appetibili per i criminali informatici.
Per le aziende più grandi, invece, si stima che quasi il 50% dei costi dell’help desk IT sia destinato alla reimpostazione delle password, con una spesa media annua per le aziende che supera 1 mln di dollari per il solo personale, secondo il report Passwordless authentication pubblicato a inizio 2020 dal World economic forum, che ha anche fornito una stima del costo medio delle data breach provocate dagli attacchi informatici: la media globale (aggiornata al 2019) è 3,92 mln di dollari. In Italia, la cifra scende leggermente a 3,52 mln di dollari.
Anche Salvatore Sammito, Principal GTM Practice intelligent cybersecurity di NTT Ltd. per l’Italia, conferma che “quasi il 50% dei ticket degli help desk IT delle aziende spesso sono legati al blocco delle utenze per l’inserimento di password sbagliate o alla necessità di resettarle, e in generale alla gestione delle password”. Secondo un sondaggio citato dal report del Wef, i dipendenti di tutto il mondo trascorrono in media 11 ore all’anno a inserire o reimpostare la propria password. Per un’azienda di 15.000 dipendenti, ciò rappresenta una perdita di produttività diretta di 5,2 mln di dollari. I reparti IT delle aziende passano in media 2 mesi e mezzo ogni anno a reimpostare le password interne.
Quando non ci sono password da rubare, i criminali informatici hanno seri problemi ad accedere e a prendersi i dati. Sotto il profilo della gestione del rischio, questo implica che il passaggio al ‘passwordless’ potrebbe permettere, misurando a spanne, alle aziende di tagliare l’80% dei budget relativi alla prevenzione dei rischi di infiltrazioni informatiche, e anche di risparmiare sui costi assicurativi legati ai rischi informatici, dice il report del Wef.
I motivi per cambiare, insomma, sono troppi per essere ignorati. Come conferma un “global system integrator” come NTT Ltd., dice Sammito, “quello che vediamo è una transizione delle aziende verso un’autenticazione che faccia a meno delle password”, con il mondo finanziario (tra l’altro particolarmente colpito dai problemi di sicurezza relativi alle credenziali) a guidare il trend.
La versione completa di questo articolo è disponibile sul numero di Fortune Italia di giugno 2021. Ci si può abbonare al magazine mensile di Fortune Italia a questo link: potrete scegliere tra la versione cartacea, quella digitale oppure entrambe. Qui invece si possono acquistare i singoli numeri della rivista in versione digitale.
