Con l’avvicinarsi della scadenza del 17 gennaio 2025 per la conformità al Digital Operational Resilience Act (DORA) dell’UE, un nuovo rapporto di SecurityScorecard rivela vulnerabilità critiche tra le 100 principali aziende europee. I risultati sottolineano l’urgente necessità di migliorare la gestione del rischio informatico, specialmente di fronte all’aumento delle minacce alle catene di fornitura e agli ecosistemi nelle violazioni di terze parti.
Il rapporto evidenzia l’importanza del sistema di valutazione da A a F di SecurityScorecard, che offre approfondimenti utili sulla resilienza informatica. Le aziende con una valutazione di livello A hanno dimostrato di essere 13,8 volte meno soggette a violazioni rispetto a quelle con una valutazione F.
Resilienza informatica sotto pressione
Il rapporto mostra che le più grandi organizzazioni europee stanno affrontando crescenti sfide informatiche, con gli ecosistemi di terze e quarte parti che si confermano come principali punti di vulnerabilità. Preoccupante il fatto che il 98% delle aziende europee abbia subito violazioni di terze parti nell’ultimo anno, esponendo le aziende a interruzioni operative e rischi reputazionali.
Risultati principali
- Violazioni di terze parti: Il 98% delle aziende ha subito violazioni negli ecosistemi di terze parti, evidenziando la vulnerabilità della catena di fornitura.
- Violazioni dirette: Il 18% delle aziende ha segnalato violazioni dirette nell’ultimo anno, evidenziando significative lacune interne.
- Performance dei settori:
- Trasporti: Il settore più sicuro, con nessuna azienda valutata C o inferiore.
- Energia: In difficoltà, con il 75% delle aziende valutate C o inferiore e il 25% che ha segnalato violazioni dirette.
- Analisi regionali:
- Le aziende scandinave guidano per la sicurezza informatica, con solo il 20% valutato C o inferiore, rispetto a Regno Unito (24%), Germania (34%), Francia (40%) e Italia (41%).
- La Francia registra il tasso più alto di violazioni tra i fornitori di terze e quarte parti, rispettivamente al 98% e 100%. Questi tassi superano quelli di Regno Unito, Germania, Italia e Scandinavia, evidenziando una vulnerabilità significativa nella gestione della sicurezza della catena di fornitura.
Ryan Sherstobitoff, SVP di Threat Research and Intelligence presso SecurityScorecard, ha dichiarato: “Le vulnerabilità della catena di fornitura rimangono una minaccia critica, poiché gli avversari sfruttano questi punti deboli per infiltrarsi nelle reti globali. Con regolamenti come il DORA destinati a ridefinire gli standard di sicurezza informatica, le aziende europee devono dare priorità alla gestione del rischio di terze parti e sfruttare i sistemi di valutazione per proteggere i propri ecosistemi.”
Jeff Le, VP, Global Government Affairs & Public Policy presso SecurityScorecard, ha aggiunto: “I nostri dati mostrano chiaramente che le organizzazioni con valutazioni di sicurezza informatica di alto livello sono molto meno soggette a violazioni. Sfruttando queste valutazioni, le aziende possono non solo proteggersi, ma anche responsabilizzare i fornitori, creando catene di fornitura più solide e resilienti.”
Raccomandazioni
Migliorare l’igiene informatica è una priorità per molte aziende europee, poiché quasi tutte hanno affrontato violazioni di terze e quarte parti, esponendosi a rischi significativi. Per ridurre tali rischi e rafforzare la loro posizione in termini di sicurezza informatica, SecurityScorecard raccomanda le seguenti azioni:
- Concentrarsi sulla sicurezza delle applicazioni e delle reti: Le aziende devono rafforzare la sicurezza di applicazioni e reti per difendersi dall’espansione delle minacce informatiche.
- Aziende ad alto rischio: Il 41% delle aziende con valutazioni di sicurezza informatica pari a C o inferiori richiede attenzione urgente. Oltre a migliorare la sicurezza delle applicazioni e delle reti, queste aziende dovrebbero focalizzarsi su:
- DNS Health: Garantire la salute e l’integrità delle configurazioni DNS. Le configurazioni errate di questo componente critico possono creare vulnerabilità.
- Sicurezza degli endpoint: Rafforzare la sicurezza di tutti gli endpoint, inclusi laptop, desktop, dispositivi mobili e dispositivi BYOD. Identificare e risolvere le vulnerabilità negli endpoint è cruciale.
- Frequenza delle patch: Stabilire una frequenza costante e tempestiva per l’applicazione delle patch ai sistemi, software e hardware. Gli aggiornamenti frequenti aiutano a mitigare le vulnerabilità note.
In sintesi
- Il 98% delle aziende europee ha subito violazioni di terze parti nell’ultimo anno, evidenziando vulnerabilità diffuse.
- Solo il 26% delle 100 principali aziende europee ha ottenuto una valutazione di livello A per la resilienza informatica.
- Il 18% delle aziende ha segnalato violazioni dirette nell’ultimo anno, evidenziando lacune significative nelle difese interne.
- Le aziende del Medio Oriente hanno subito meno violazioni: l’84% contro il 98% delle aziende europee.
- Il settore energetico è quello più in difficoltà, con il 75% delle aziende valutate C o inferiore, rispetto al settore dei trasporti, in cui tutte le aziende hanno ottenuto una valutazione B o superiore.
