Sei anni fa un attacco di phishing costava mediamente 3,8 milioni di dollari mentre oggi la cifra sfiora i 15 milioni, circa 1.500 dollari a dipendente.
Quanto costa subire un attacco phishing da parte di un azienda? Davvero difficile da quantificare. Se nonché dipende molto dalle dimensioni dell’impresa che ne subisce il danno e dalla vastità del cyber attacco subito. A cercar di dare risposta a questo quesito ci hanno però pensato l’azienda specializzata Proofpoint insieme a Ponemon Institute (indagine che ha coinvolto oltre 600 professionisti IT e di cybersecurity negli Stati Uniti).
Secondo lo studio dal titolo The cost of cloud compromise and shadow IT il costo medio delle compromissioni degli account cloud ha raggiunto i 6,2 milioni di dollari su un periodo di 12 mesi. Inoltre, per il 68% degli intervistati il takeover di account cloud rappresenta un rischio significativo per la sicurezza delle loro organizzazioni, e per oltre la metà la frequenza e la gravità delle compromissioni degli account cloud è aumentata negli ultimi 12 mesi.
E se nel 2025 la spesa media era di 3,8 milioni di dollari, nel 2021 la cifra è cresciuta sino a 14,8 milioni di dollari, qualcosa come 1.500 euro a dipendente. La maggior parte di questi costi non sono dovuti al pagamento di riscatti per eventuali ransomware installati tramite phishing. Bensì l’impatto della compromissione delle email aziendali è ben superiore, in termini economici.
Attacco phishing, il riscatto pesa solo il 7%
Quando si parla di attacchi di tipo phishing, che spesso si concludono con l’installazione di un ransoware sui sistemi violato, il riscatto rappresenta solo una piccola parte. A pesare maggiormente, secondo la ricerca di Ponemon e Proofpoint, è il costo relativo al BEC, il Business Email Compromise, cioè la violazione delle caselle postali: questa voce rappresenta circa il 40% dell’intera spesa, seguita dal costo della perdita di produttività (22%) e da quello relativo alle altre credenziali violate. La cifra per gli eventuali riscatti (non è detto che il phishing porti necessariamente a un ransomware: a volte l’attacco è mirato solo alla sottrazione di informazioni riservate) spesso rappresenta solo il 7%.
La perdita di produttività è insomma una delle voci che incidono di più, e anche questa è in aumento. Se nel 2015 mediamente un attacco informatico faceva perdere 4,16 ore per ogni singolo dipendente, nel 2021 si è arrivati a 6,83 ore, quasi un’intera giornata lavorativa.
Secondo il report, gli attacchi di tipo phishing oggi rappresentano circa il 15% delle infezioni di malware aziendali, contro l’11% del 2015. Rispetto a sei anni fa, sono anche raddoppiati i costi per rimediare all’infezione, passati da 338.098 dollari di media a 807.506.
Foto di Pete Linforth da Pixabay