Violazioni di terze parti aumentate del 98% in un anno

La scadenza per la conformità al Digital Operational Resilience Act (DORA) dell’UE, fissata per il 17 gennaio 2025 si avvicina, e il numero di violazioni alla sicurezza informatica delle aziende europee è sempre troppo alto.

Un nuovo rapporto di SecurityScorecard rivela vulnerabilità critiche tra le 100 principali aziende europee e sottolinea l’urgente necessità di migliorare la gestione del rischio informatico, specialmente di fronte all’aumento delle minacce alle catene di fornitura e agli ecosistemi di terze parti.

Il rapporto evidenzia l’importanza del sistema di valutazione da A a F di SecurityScorecard, che offre approfondimenti utili sulla resilienza informatica. Le aziende con una valutazione di livello A hanno dimostrato di essere 13,8 volte meno soggette a violazioni rispetto a quelle con una valutazione F.

Violazioni in continuo aumento e resilienza informatica sotto pressione

Il rapporto mostra che le più grandi organizzazioni europee stanno affrontando crescenti sfide informatiche, con gli ecosistemi di terze e quarte parti che si confermano come principali punti di vulnerabilità. Preoccupante il fatto che il 98% delle aziende europee abbia subito violazioni di terze parti nell’ultimo anno, esponendo le aziende a interruzioni operative e rischi reputazionali.

Risultati principali:

• Violazioni di terze parti: Il 98% delle aziende ha subito violazioni negli ecosistemi di terze parti, evidenziando la vulnerabilità della catena di fornitura.
• Violazioni dirette: Il 18% delle aziende ha segnalato violazioni dirette nell’ultimo anno, evidenziando significative lacune interne.
• Performance dei settori:
  • Trasporti: Il settore più sicuro, con nessuna azienda valutata C o inferiore.
  • Energia: In difficoltà, con il 75% delle aziende valutate C o inferiore e il 25% che ha segnalato violazioni dirette.
• Analisi regionali:
  • Le aziende scandinave guidano per la sicurezza informatica, con solo il 20% valutato C o inferiore, rispetto a Regno Unito (24%), Germania (34%), Francia (40%) e Italia (41%).
  • La Francia registra il tasso più alto di violazioni tra i fornitori di terze e quarte parti, rispettivamente al 98% e 100%. Questi tassi superano quelli di Regno Unito, Germania, Italia e Scandinavia, evidenziando una vulnerabilità significativa nella gestione della sicurezza della catena di fornitura.

Raccomandazioni

Migliorare l’igiene informatica è una priorità per molte aziende europee, poiché quasi tutte hanno affrontato violazioni di terze e quarte parti, esponendosi a rischi significativi. Per ridurre tali rischi e rafforzare la loro posizione in termini di sicurezza informatica, SecurityScorecard raccomanda le seguenti azioni:

• Concentrarsi sulla sicurezza delle applicazioni e delle reti: Le aziende devono rafforzare la sicurezza di applicazioni e reti per difendersi dall’espansione delle minacce informatiche e violazioni.
• Aziende ad alto rischio: Il 41% delle aziende con valutazioni di sicurezza informatica pari a C o inferiori richiede attenzione urgente. Oltre a migliorare la sicurezza delle applicazioni e delle reti, queste aziende dovrebbero focalizzarsi su:
  • DNS Health: Garantire la salute e l’integrità delle configurazioni DNS. Le configurazioni errate di questo componente critico possono creare vulnerabilità.
  • Sicurezza degli endpoint: Rafforzare la sicurezza di tutti gli endpoint, inclusi laptop, desktop, dispositivi mobili e dispositivi BYOD. Identificare e risolvere le vulnerabilità negli endpoint è cruciale.
  • Frequenza delle patch: Stabilire una frequenza costante e tempestiva per l’applicazione delle patch ai sistemi, software e hardware. Gli aggiornamenti frequenti aiutano a mitigare le vulnerabilità note.

Dichiarazioni

Ryan Sherstobitoff, SVP di Threat Research and Intelligence presso SecurityScorecard, ha dichiarato: “Le vulnerabilità della catena di fornitura rimangono una minaccia critica, poiché gli avversari sfruttano questi punti deboli per infiltrarsi nelle reti globali. Con regolamenti come il DORA destinati a ridefinire gli standard di sicurezza informatica, le aziende europee devono dare priorità alla gestione del rischio di terze parti e sfruttare i sistemi di valutazione per proteggere i propri ecosistemi”.

Jeff Le, VP, Global Government Affairs & Public Policy presso SecurityScorecard, ha aggiunto: “I nostri dati mostrano chiaramente che le organizzazioni con valutazioni di sicurezza informatica di alto livello sono molto meno soggette a violazioni. Sfruttando queste valutazioni, le aziende possono non solo proteggersi, ma anche responsabilizzare i fornitori, creando catene di fornitura più solide e resilienti”.