L’indagine promossa da Kaspersky testimonia che due terzi delle aziende non segnala gli incidenti di sicurezza agli enti di controllo per timore di sanzioni. Infatti secondo il sondaggio sono il 67% e organizzazioni industriali che non avvisano gli enti di controllo in caso di incidenti di sicurezza informatica. Anche se la garanzia della conformità nelle moderne attività industriali oggi è una necessità e un motore per gli investimenti, esistono molti fattori in grado di influenzare il modo in cui le aziende seguono le regole di compliance.
Georgy Shebuldaev, Head of Kaspersky Industrial Cybersecurity Business Development, Kaspersky.
La conformità e il rispetto delle normative in ambito industriale non dovrebbero essere prese alla leggera. È molto importante anche considerare il panorama delle minacce reali, in costante evoluzione. Un’efficiente soluzione di sicurezza informatica e una policy chiara dovrebbero aiutare le aziende nel raggiungimento del livello di protezione richiesto, in conformità con i requisiti da punto di vista delle normative. Queste soluzioni dovrebbero contenere funzionalità “technology-oriented”, valutazione delle vulnerabilità e misure di Incident Response, senza dimenticare la necessità di iniziative di sensibilizzazione ed educazione sulla sicurezza informatica per tutti i dipendenti che lavorano con i sistemi di automazione industriali.
I criminali informatici sfruttano sempre più frequentemente attacchi di tipo sofisticato per violare le realtà industriali; in un contesto di questo tipo, delle solide politiche di sicurezza informatica e il rispetto delle normative non sono mai state così importanti. Le aziende industriali oggi devono rispettare molti requisiti, dal Regolamento generale sulla protezione dei dati (GDPR) fino agli standard stabiliti dalla Commissione Elettrotecnica Internazionale (IEC).
Il report di Kaspersky, “Kaspersky’s State of Industrial Cybersecurity 2019”, però, rivela che molte aziende stanno ignorando le linee guida relative alla segnalazione degli incidenti, forse per evitare sanzioni normative o la divulgazione pubblica dell’accaduto, un fatto che potrebbe anche danneggiare la loro reputazione. Il campione coinvolto dal sondaggio ha dichiarato che più della metà (52%) degli incidenti informatici li avrebbe portati ad una violazione dei requisiti normativi, mentre il 63% ritiene che una delle principali preoccupazioni aziendali riguardi la perdita di fiducia dei clienti in caso di violazioni.
Oltre alla mancata segnalazione di incidenti, l’indagine di Kaspersky ha messo in luce anche altri risultati. Sembra che le aziende stiano prendendo molto sul serio il problema della conformità: solo un quinto (21%) delle realtà industriali coinvolte dal sondaggio ha ammesso di non rispettare la normativa obbligatoria. In sostanza, le organizzazioni comprendono la necessità di soddisfare le norme, nonostante scelgano di non segnalare eventuali casi di incidenti informatici.
Per il 55% degli intervistati, la conformità è il principale motore nelle strategie di investimento nella sicurezza informatica. L’attenzione alle procedure, però, può portare le aziende a diventare meno esigenti sulla qualità delle soluzioni di cybersecurity e a non considerare abbastanza attentamente le minacce reali: solo il 28%, infatti, considera l’analisi del panorama delle cyberminacce un elemento chiave per la definizione del budget da investire.