Gli attacchi informatici di supply chain sono in continua crescita, poiché rappresentano un modo efficace per aggirare le barriere di difesa della vittima designata, colpendo invece un fornitore o appaltatore di tecnologia, software o servizi. Un nuovo report di SecurityScorecard svela che, sulle cento maggiori aziende italiane, pochissime non hanno subìto attacchi di supply chain: appena il 5%.
Il restante 95%, invece, è stato colpito indirettamente a causa di un falla software, di una vulnerabilità sfruttata, di un hackeraggio o di un furto di dati ai danni di un fornitore o appaltatore. L’analisi realizzata da SecurityScorecard, basata sui dati della propria rete di rilevamento, ha considerato la postura di sicurezza delle cento principali aziende italiane per capitalizzazione di mercato, nel periodo compreso tra il 13 marzo 2023 e il 13 marzo 2024.
Allargando lo sguardo anche alle grandi aziende straniere si nota che quelle britanniche hanno nel complesso una migliore postura di sicurezza (solo il 24% è valutata di grado “C” o inferiore) rispetto a quelle francesi (ben il 40% è valutata di grado “C” o inferiore) e tedesche (41%). Le italiane si collocano a metà strada: il 34% delle cento maggiori aziende ha una postura di sicurezza di un grado “C” o inferiore.
Si potrebbe pensare che il grado di sicurezza complessiva tenda a crescere insieme alla dimensione aziendale, perché una grande impresa ha maggiori budget da dedicare e maggiori competenze al proprio interno. E invece no: dall’analisi emerche che le prime 50 aziende per capitalizzazione di mercato (compresa tra 2 e 6 miliardi di dollari) hanno valutazioni di sicurezza inferiori rispetto alle 50 aziende con capitalizzazione compresa tra 500 milioni e 2 miliardi di dollari. Per quanto riguarda, invece, i settori di mercato, nelle aziende di telecomunicazione abbondano i casi di scarsa sicurezza complessiva: l’80% è di grado “C” o inferiore.
La valutazione della sicurezza complessiva non è solo un voto astratto. Le aziende che non hanno mai subito violazioni tramite attacchi di supply chain hanno tutte una valutazione “A”, mentre un’azienda con valutazione “C” ha una probabilità di violazione di 5,4 superiore a quella di chi ha ottenuto il punteggio massimo. SecurityScorecard consiglia a queste aziende di focalizzarsi sul miglioramento della sicurezza delle applicazioni e della rete, prestando particolare attenzione al Dns (Domain Name System ), alla protezione degli endpoint e alla cadenza delle patch.
“La gestione del rischio di terze parti è un componente chiave di qualsiasi programma di cybersecurity robusto, e le aziende rappresentate in questo rapporto trarrebbero beneficio dal renderlo una priorità”, ha commentato Stefano Volpi, field sales director Italy di SecurityScorecard. “I settori e le organizzazioni in Italia (e in Europa nel suo complesso) devono fare di più ora se vogliono essere pronti per l'attuazione del Digital Operational Resilience Act entro gennaio 2025, così come per la direttiva NIS2. L'aumento delle violazioni dei dati in tutta Europa dimostra che le aziende italiane devono rendere la gestione del rischio di terze parti una componente integrale non solo del loro programma di sicurezza, ma anche del loro processo di selezione dei fornitori”.