Utilizzando il più grande dataset proprietario di rischi e minacce del mondo, SecurityScorecard ha analizzato le violazioni della sicurezza informatica delle 100 maggiori aziende italiane, concludendo con la pubblicazione di un’analisi approfondita del panorama della cybersecurity delle 100 più grandi aziende italiane.
Sfruttamento dei sistemi dei fornitori nelle aziende
Molte aziende hanno aumentato la protezione informatica delle loro “porte d’ingresso” attraverso misure come firewall, password più forti e identificazione multi-fattore. Di conseguenza, gli avversari cercano altri modi per entrare. Spesso, ciò significa passare attraverso i sistemi dei fornitori terzi.
La nuova ricerca mette in evidenza perché la forza della sicurezza informatica di un’azienda è direttamente legata alle misure di sicurezza anche del suo più piccolo fornitore. A livello globale, le aziende stanno aumentando la supervisione dei fornitori dopo che attacchi informatici alla catena di approvvigionamento hanno colpito migliaia di imprese e violato i dati di milioni di clienti.
Risultati principali:
- 95% ha subito una violazione nel loro ecosistema di terze parti
Gli avversari sono sempre più incentivati a prendere di mira fornitori più piccoli per aggirare programmi di sicurezza informatica robusti e ben finanziati. Compromettere un piccolo appaltatore e utilizzare quell’organizzazione come un inconsapevole Cavallo di Troia è molto più facile che compromettere direttamente una grande azienda con un Centro Operativo di Sicurezza completamente staffato e diversi livelli di controlli di sicurezza.
- Il 100% delle aziende con un grado A non è stato violato nell’ultimo anno
Questo dimostra l’importanza di avere un grado A. Anche se questa analisi è focalizzata principalmente sulle organizzazioni in Italia, ha esaminato anche dati comparabili delle principali aziende in Germania, Francia e Regno Unito. I dati mostrano che le aziende nel Regno Unito hanno la sicurezza informatica complessiva più forte (24% con un grado C o inferiore) rispetto ai loro omologhi francesi, italiani e tedeschi, con rispettivamente il 40%, 41% e 34% con un grado C o inferiore.
- Più grande non significa necessariamente migliore sicurezza informatica
Contro intuitivamente, il rapporto ha rilevato che le prime 50 aziende per capitalizzazione di mercato (2 miliardi — 6 miliardi USD) hanno in realtà valutazioni di sicurezza inferiori rispetto alle 50 aziende con capitalizzazione di mercato inferiore (500 milioni — 2 miliardi USD). Questo dimostra che qualsiasi azienda, indipendentemente da dimensioni, settore, valore o fatturato, può essere un bersaglio per i criminali informatici se non ha difese cibernetiche forti.
- Il 41% delle aziende ha un grado C o inferiore
Un’organizzazione con un grado C ha una probabilità di violazione di 5,4 volte rispetto a quelle con un grado A. Le aziende considerate ad alto rischio dovrebbero concentrarsi sul miglioramento della sicurezza delle applicazioni e della rete, con particolare attenzione alla salute del DNS, alla sicurezza degli endpoint e alla cadenza delle patch.
- L’80% delle aziende di telecomunicazioni e IT ha un grado C o inferiore
Le aziende italiane nei settori IT e delle telecomunicazioni avevano le valutazioni di sicurezza complessive più basse, con l’80% che riceveva un grado C o inferiore. Questo non è sorprendente, considerando che entrambi questi settori hanno superfici di attacco eccezionalmente complesse, con vaste reti di fornitori terzi, partner e fornitori di servizi. In parole povere: hanno più rischio di terze parti perché hanno più terze parti.
Una nuova era di gestione del rischio informatico
Proprio come i rating di credito forniscono una misura chiara e standardizzata della credibilità finanziaria, i rating del rischio informatico possono offrire un benchmark simile per la resilienza della sicurezza informatica. La disponibilità di dati oggettivi sulla resilienza della sicurezza informatica offre ai leader aziendali e governativi un nuovo linguaggio per la gestione del rischio informatico che consente loro di essere implacabilmente guidati dai dati.
Dichiarazione di Stefano Volpi, Director Italy di SecurityScorecard
“La gestione del rischio di terze parti è un componente chiave di qualsiasi programma di cybersecurity robusto, e le aziende rappresentate in questo rapporto trarrebbero beneficio dal renderlo una priorità. I settori e le organizzazioni in Italia (e in Europa nel suo complesso) devono fare di più ora se vogliono essere pronti per l’attuazione del DORA [Digital Operational Resilience Act] entro gennaio 2025, così come la direttiva NIS2. L’aumento delle violazioni dei dati in tutta Europa dimostra che le aziende italiane devono rendere la gestione del rischio di terze parti (TPRM) una componente integrale non solo del loro programma di sicurezza, ma anche del loro processo di selezione dei fornitori.”