Proofpoint: quadruplicato il costo del phishing dal 2015



da Hardware Upgrade :

Quanto costa il phishing alle aziende? Una domanda di non facile risposta, dato che dipende dalle dimensioni dell’impresa e dalla vastità dell’attacco, ma Proofpoint, insieme a Ponemon Institute, ha provato a dare una risposta con una ricerca condotta intervistando 600 professionisti dell’IT e della sicurezza informatica operanti in realtà con più di 100 dipendenti

Il risultato è che l’impatto economico del phishing è decisamente elevato e, soprattutto, è quadruplicato negli ultimi sei anni. Se nel 2025 infatti la spesa media era di 3,8 milioni di dollari, nel 2021 la cifra è cresciuta sino a 14,8 milioni di dollari, qualcosa come 1.500 euro a dipendente. La maggior parte di questi costi non sono dovuti al pagamento di riscatti per eventiali ransomware installati tramite phishing: l’impatto della compromissione delle email aziendali è ben superiore, in termini economici. 

Quando le persone leggono che un’azienda ha pagato milioni a causa del ransomware, presumono che questo sia il costo del riscatto. In realtà, abbiamo scoperto che i riscatti da soli rappresentano meno del 20% del costo di un attacco ransomware” – spiega Larry Ponemon, Chairman e Founder di Ponemon Institute – “Poiché gli attacchi di phishing aumentano la probabilità di violazione dei dati e di interruzione del business, la maggior parte dei costi sostenuti dalle aziende derivano dalla perdita di produttività e dal risanamento del problema, e non dal pagamento effettivo del riscatto“.

I costi del phishing: il riscatto per l’eventuale ransomware pesa solo il 7%

Quando si parla di attacchi di tipo phishing, che spesso si concludono con l’installazione di un ransoware sui sistemi violato, il riscatto rappresenta solo una piccola parte. A pesare maggiormente, secondo la ricerca di Ponemon e Proofpoint, è il costo relativo al BEC, il Business Email Compromise, cioè la violazione delle caselle postali: questa voce rappresenta circa il 40% dell’intera spesa, seguita dal costo della perdita di produttività (22%) e da quello relativo alle altre credenziali violate. La cifra per gli eventuali riscatti (non è detto che il phishing porti necessariamente a un ransomware: a volte l’attacco è mirato solo alla sottrazione di informazioni riservate) spesso rappresenta solo il 7%

costofbec

Poiché i cybercriminali ora prendono di mira i dipendenti invece delle reti, la compromissione delle credenziali è letteralmente esplosa negli ultimi anni, aprendo così la porta ad attacchi molto più devastanti come BEC e ransomware” – spiega Ryan Kalember, executive vice president of cybersecurity strategy di Proofpoint – “Fino a quando le organizzazioni non implementeranno un approccio alla cybersecurity incentrato sulle persone, che includa formazione sulla consapevolezza della sicurezza e protezione integrata dai rischi per fermare con successo le minacce, gli attacchi di phishing continueranno“.

La perdita di produttività è insomma una delle voci che incidono di più, e anche questa è in aumento: se nel 2015 mediamente un attacco informatico faceva perdere 4,16 ore per ogni singolo dipendente, nel 2021 si è arrivati a 6,83 ore, quasi un’intera giornata lavorativa. 

Secondo il report, gli attacchi di tipo phishing oggi rappresentano circa il 15% delle infezioni di malware aziendali, contro l’11% del 2015. Rispetto a sei anni fa, sono anche raddoppiati i costi per rimediare all’infezione, passati da 338.098 dollari di media a 807.506. 

Source link