I rating di cybersecurity stanno diventando un barometro affidabile della resilienza informatica: è giunto il momento di renderli persino obbligatori per chi opera nell'ambito delle infrastrutture critiche?
Secondo uno studio di SecurityScorecard, che opera nel settore delle valutazioni della sicurezza informatica, il 48% delle organizzazioni produttive critiche si sono classificate "C", "D" " o "F" sulla piattaforma di classificazione della sicurezza sviluppata dalla società. Pubblicato durante il meeting annuale del World Economic Forum, il rapporto (Addressing the Trust Deficit In Critical Infrastructure) ha analizzato lo stato attuale della resilienza informatica nei settori delle infrastrutture critiche - energia, chimica, sanità e altri - come definito dalla Cybersecurity and Infrastructure Security Agency (CISA). Le organizzazioni con un rating di sicurezza “A” hanno 7,7 volte meno probabilità di subire una violazione rispetto a quelle con un rating “F”.
“I rating di sicurezza sono un barometro affidabile della resilienza informatica ed è giunto il momento che si renda obbligatoria la misurazione del rischio informatico”, ha affermato Aleksandr Yampolskiy, cofondatore e CEO di SecurityScorecard. “Gli attacchi informatici negli ultimi 10 anni sono diventati sempre più numerosi, più complessi e hanno sempre più preso di mira le infrastrutture critiche, minando così la fiducia del pubblico nella resilienza informatica della nostra economia globale”.
Secondo il WEF, solo il 19% delle società private e degli enti pubblici che hanno fatto grandi investimenti nella cybersicurezza si sente sicuro che la propria organizzazione sia cyber-resiliente. Gli incidenti informatici che colpiscono le infrastrutture critiche, un tempo relativamente rari, sono diventati molto più frequenti negli ultimi anni poiché gli Stati-nazione e i loro affiliati intensificano il perseguimento di obiettivi geopolitici. I dati del Federal Bureau of Investigation hanno mostrato che 14 dei 16 settori considerati infrastrutture critiche dal Governo degli Stati Uniti avevano subito almeno un attacco ransomware già nel 2021.
SecurityScorecard ha valutato questi settori per misurare il loro attuale stato di resilienza informatica. Dall’analisi di tutte le organizzazioni appartenenti a tale categoria nell’elenco Forbes Global 2000 è emerso che il settore manifatturiero è altamente vulnerabile. SecurityScorecard considera 10 fattori quando sviluppa la valutazione della sicurezza di un'organizzazione.
Le classificazioni SecurityScorecard offrono classificazioni A-F di facile comprensione su, come detto, dieci fattori di rischio: sicurezza della rete, integrità DNS, cadenza delle patch, Cubit Score, sicurezza degli endpoint, reputazione IP, sicurezza delle applicazioni web, chat degli hacker, credenziali trafugate e ingegneria sociale. Ciascun fattore ha un peso numerico, che riflette la gravità o il rischio con cui il fattore contribuisce alla condizione generale di sicurezza informatica di un’organizzazione.
“Sebbene investire in più tecnologie possa sembrare oneroso per gli operatori di infrastrutture critiche con risorse limitate - sostiene Yampolskiy - la realtà è che la tecnologia di valutazione della sicurezza informatica è estremamente conveniente, soprattutto se si considera che il costo catastrofico di una violazione è in media di 9,44 milioni di dollari, per le organizzazioni statunitensi”. Sfruttando le valutazioni di sicurezza, queste organizzazioni hanno un modo semplice per costruire resilienza e prendere decisioni più informate per rafforzare le loro difese informatiche misurando con sicurezza il rischio e quantificando l’affidabilità dei loro partner, appaltatori, fornitori di terze e quarte parti e catene di fornitura.
Sempre secondo una ricerca di SecurityScorecard, il 78% dei 240 maggiori istituti finanziari dell'Unione Europea ha subito una violazione dei dati da parte di terzi nell'ultimo anno. Sulla scia di attacchi di tipo supply chain, come quelli che hanno coinvolto SolarWinds, le normative sulla sicurezza informatica evidenziano la necessità di approcci completi per gestire il rischio dei fornitori e garantire la conformità. Gli attacchi alla catena di fornitura attirano i criminali informatici perché quando un software ampiamente utilizzato viene compromesso, gli aggressori ottengono l’accesso potenzialmente a tutte le organizzazioni che utilizzano quel software.
Fondata nel 2013 dagli esperti di sicurezza e rischio Aleksandr Yampolskiy e Sam Kassoumeh, SecurityScorecard ha sviluppato una tecnologia di rating brevettata che è già utilizzata da oltre 25.000 organizzazioni per la gestione del rischio aziendale, la gestione del rischio di terze parti, il reporting del consiglio di amministrazione, la due diligence, la sottoscrizione di assicurazioni informatiche e la supervisione normativa. Tra i suoi clienti figura la metà delle aziende Fortune 100 e nove delle dieci principali banche statunitensi.
La società è presente in Italia dal 2022. “In questo periodo - precisa Stefano Volpi, Field Sales Director Italy and Balkans - l’attività è stata focalizzata sulla evangelizzazione del mercato relativamente alla importanza delle metriche di computo delle misure di sicurezza poste in essere dalle organizzazioni, private e pubbliche e della loro intera supply chain. Per tale motivo, le soluzioni di cybersecurity rating proposte da aziende come SecurityScorecard sono al vaglio non solo degli specialisti ICT ma anche degli organi direttivi, per le implicazioni di natura gestionale che possono avere relativamente a molteplici casi d'uso, ormai obbligatori all'interno delle aziende”.