I disservizi o le interruzioni del business causate da alcuni recenti cyber-attacchi dimostrano che l’impatto finanziario del cyber-crime sta diventando sempre più significativo e può portare a una riduzione degli utili e delle valutazioni sul credito. Lo scrive Standar&Poors Global nel nuovo studio intitolato “Corporates up their cyber preparedness as cyber attacks become more widespread” (SCARICA QUI IL REPORT COMPLETO).
“Sebbene gli incidenti informatici non abbiano indebolito i profili di rischio aziendale o finanziario né abbiano portato direttamente ad abbassamenti del rating, hanno sempre più il potenziale di erodere la qualità del credito ed esercitare pressioni al ribasso sui giudizi di credito per un periodo di tempo”, si legge nel report.
S&P, l’impatto finanziario dei cyber-attacchi
Data la portata delle interruzioni aziendali derivanti da alcuni recenti eventi informatici, la visibilità e la portata dell’impatto finanziario degli eventi informatici sono in aumento. Pochissime aziende quantificano pienamente l’impatto degli eventi informatici in termini finanziari dettagliati. Le aziende manifatturiere potrebbero in genere recuperare le perdite di produzione o gli ordini persi nell’arco di pochi mesi o trimestri, ma il potenziale danno finanziario derivante dal deterioramento della reputazione del marchio, collegata alla percezione di livelli di servizio più bassi, è difficile da quantificare ed è probabile che diventi evidente solo nel lungo periodo.
I risarcimenti che si ottengono dalle cyber polizze, in genere, non sono sufficientemente estesi da compensare completamente l’impatto finanziario dell’interruzione dell’attività e le conseguenti spese di riparazione. Tempi di indagine prolungati, azioni correttive, sanzioni normative e potenziali azioni legali possono rendere la quantificazione finanziaria degli attacchi informatici ancora più complessa e dispendiosa in termini di tempo.
Lo studio di S&P si basa sull’analisi di alcuni attacchi informatici avvenuti da gennaio 2022 su 75 società non finanziarie in tutto il mondo.
Cinque casi reali
L’impatto economico dei cyber attacchi viene esemplificato nello studio riportando cinque casi reali.
L’interruzione delle attività di Mgm, azienda che gestisce resort e casinò a Las Vegas, dopo il cyber attacco di settembre, limiterà – secondo le stime dell’azienda stessa – l’Ebitdar del terzo trimestre 2023 di 100 milioni di dollari, prevalentemente nelle sue operazioni di Las Vegas. Ciò è pari a circa il 10% dell’Ebitdar della società nel terzo trimestre 2022.
Clorox (azienda Usa dei prodotti per la pulizia) prevede un impatto negativo sostanziale sugli utili e sul flusso di cassa almeno nel primo trimestre fiscale dopo il massiccio attacco subito ad agosto. L’evento non è del tutto risolto, anche se Clorox dovrebbe riuscire a riavviare con successo le operazioni senza un impatto negativo permanente sulla sua reputazione e capacità di generazione degli utili. Al tempo stesso, l’azienda non ha finito di valutare l’impatto economico e finanziario dell’attacco.
Per quel che riguarda il Aspen Dental, S&P prevede che l’incidente cyber dello scorso aprile ridurrà i ricavi e l’Ebitda della società rispettivamente di circa 120 milioni di dollari e 110 milioni di dollari, rispetto alle stime precedenti di circa 90 milioni di dollari e 60 milioni di dollari, rispettivamente.
Mks Instruments (attrezzature per l’industria dei semiconduttori): l’attacco ransomware nel febbraio 2023 ha avuto un impatto totale sulle entrate di 160 milioni di dollari, di cui 120 milioni di dollari sono stati recuperati, con l’importo rimanente che dovrebbe essere recuperato nel terzo trimestre.
Infine, c’è il caso di Metro, con sede in Germania, il più grande operatore europeo di vendita all’ingrosso e di consegna di prodotti alimentari. L’azienda ha subito un attacco informatico nell’ottobre 2022, prevede di sostenere fino a 50 milioni di euro aggiuntivi in costi di sicurezza informatica nell’anno fiscale 2024.
I costi degli attacchi e le cyber-polizze
Gli autori delle minacce prendono di mira prevalentemente settori le cui imprese gestiscono grandi quantità di dati sensibili dei clienti o settori che forniscono servizi critici: l’analisi dei 75 incidenti cyber ha rivelato che i settori dei servizi It e delle telecomunicazioni hanno rappresentato ciascuno il 12% degli attacchi informatici, seguiti da media e intrattenimento (11%), vendita al dettaglio (11%), prodotti di consumo (9%) e trasporti (9).
Le violazioni dei dati (data breach) e gli attacchi ransomware sono i tipi più comuni di incidenti.
Le perdite monetarie derivanti dalle violazioni dei dati sono aumentate negli ultimi anni. Secondo il Cost of a data breach report 2023 di Ibm Security, il costo medio globale di una violazione dei dati ha raggiunto i 4,45 milioni di dollari nel 2023: un massimo storico e un aumento del 15% rispetto al 2020. Il rapporto si basa sulle violazioni dei dati subite da 553 organizzazioni a livello globale tra marzo 2022 e marzo 2023.
Gli analisti hanno osservato anche una tendenza delle aziende ad assicurarsi contro i rischi informatici, anche per compensare i costi derivanti dagli incidenti. I premi globali delle cyber-polizze hanno raggiunto circa 12 miliardi di dollari nel 2022 e probabilmente aumenteranno in media del 25%-30% all’anno fino a circa 23 miliardi di dollari entro il 2025.
Sebbene gran parte degli attacchi informatici siano causati da phishing o da errori dei dipendenti, inoltre, molte violazioni informatiche sono derivate da attacchi o violazioni della sicurezza presso fornitori esterni. All’interno del campione di S&P, circa il 15% degli attacchi informatici è derivato da vulnerabilità di sicurezza presso terze parti, come fornitori di servizi di gestione paghe e reclutamento. Ciò evidenzia la necessità per le organizzazioni di prepararsi in modo più approfondito al rischio cyber controllando tutta la catena del valore.
