Una ricerca di Security Scorecard è giunta alla conclusione che il 78% degli istituti finanziari europei ha subito una violazione dei dati da parte di terzi nell’ultimo anno
La necessità di agilità operativa porterà a ecosistemi di sicurezza più rigorosi e integrati. Con lo spostamento dell’attenzione verso l’agilità e l’accelerazione delle operation, le aziende cercheranno di semplificare i propri ecosistemi di sicurezza, restringendo ad esempio i fornitori a un numero limitato di vendor, con preferenza verso quelli più affidabili ed efficienti. La complessità dell’integrazione multisistema darà spazio ai fornitori capaci di integrarsi in modo efficiente e fornire tecnologia efficace. In pari tempo è prevedibile che l’Intelligenza Artificiale sarà chiamata a giocare un ruolo chiave e sempre più importante nel modo in cui le organizzazioni analizzano i dati sulla sicurezza e agiscono di conseguenza. In particolare nel corso del 2024 cominceremo a vedere dei benefici quantificabili dell’utilizzo dell’intelligenza artificiale in relazione alle analitiche e agli schemi operativi.
In un contesto in cosi rapida trasformazione ed evoluzione è altresì prevedibile che matureranno i tempi per la definizione di uno standard globale di misurazione del rischio di sicurezza informatica, per costruire una resilienza informatica sicura e in questo modo affrontare il deficit di fiducia, soprattutto sul versante nelle infrastrutture critiche. “I rating di sicurezza sono un barometro affidabile della resilienza informatica ed è giunto il momento che si renda obbligatoria la misurazione del rischio informatico”, sostiene Aleksandr Yampolskiy, cofondatore e CEO di SecurityScorecard.
Piu di 25mila organizzazioni la usano
La tecnologia di rating brevettata di SecurityScorecard è già utilizzata da oltre 25.000 organizzazioni per la gestione del rischio aziendale, la gestione del rischio di terze parti, il reporting del consiglio di amministrazione, la due diligence, la sottoscrizione di assicurazioni informatiche e la supervisione normativa. Tra i suoi clienti figura la metà delle aziende Fortune 100 e nove delle dieci principali banche statunitensi. Con oltre 600 dipendenti sta creando da zero un nuovo settore di attività a cui ricorre anche un numero crescente di compagnie di assicurazione per migliorare la propria dotazione di sicurezza informatica.
Ci sono due motivi precisi e immediati che spingono alla adozione delle metriche in ambito sicurezza: la necessità di avere difese valide, cosa che oggi difetta, e il prossimo appuntamento con il Digital Operational Resilience Act (Dora).
Si tratta, come dovrebbe essere ormai noto, di un regolamento che si applica ai Paesi membri dell’Unione Europea. È un nuovo regolamento pensato per aumentare la cybersicurezza degli istituti finanziari e dei loro partner o fornitori di terze parti e anche quarte parti. Dora è incentrato sull’individuazione e sulla gestione ex ante dei rischi informatici e di cybersicurezza al fine di raggiungere un “elevato livello di resilienza operativa digitale”, nonché sulla definizione dei presidi di gestione del rischio cyber con un approccio end-to-end.
Per avere una idea di quanto sia necessario investire nei tool per la cyber sicurezza basta prendere atto dei dati di una ricerca della stessa SecurityScorecard su 240 tra i più grandi istituti finanziari dell’Unione Europea, in predicato di conformarsi al Dora entro gennaio 2025. Di questi ha valutato il rischio informatico.
Ecco alcuni dei risultati rilevati:
- Il 78% degli istituti finanziari ha subito una violazione dei dati da parte di terzi nell’ultimo anno. Sulla scia di attacchi come MOVEit e SolarWinds, le normative sulla sicurezza informatica stanno aumentando la necessità di approcci completi per gestire il rischio dei fornitori e garantire la conformità.
- L’84% degli istituti finanziari è stato esposto a una violazione da parte di una quarta parte, il che dimostra che esiste una vasta rete di rischi invisibili. La visibilità sull’intero ecosistema di terze e quarte parti è pertanto fondamentale, ma le organizzazioni non hanno una visione su come misurare e monitorare il rischio di quarte parti.
- Solo il 3% dei fornitori di terze parti analizzati è stato violato, il che sottolinea l’enorme effetto farfalla di cui gli hacker possono trarre vantaggio. Mette in luce il drammatico impatto di un singolo attacco alla supply chain sul panorama delle minacce. Gli attacchi alla catena di fornitura attirano i criminali informatici perché quando un software ampiamente utilizzato viene compromesso, gli aggressori ottengono l’accesso potenzialmente a tutte le organizzazioni che utilizzano quel software.
- Il 18% aveva una valutazione della sicurezza informatica pari a “C” o inferiore, il che significa che hanno da quattro a sette volte più probabilità di subire una violazione rispetto a quelli con una valutazione “A”.
Sono sette i fattori che determinano il rischio informatico e possono essere predittivi di una violazione: la sicurezza degli endpoint; la cadenza delle patching; il punteggio del ransomware; la integrità del Domain Name System; la reputazione della proprietà intellettuale; il punteggio in termini di “cubiti” e la sicurezza della rete. Le classificazioni SecurityScorecard offrono punteggi tipo A-F di facile lettura su questi dieci fattori di rischio. Ciascun fattore ha un peso numerico, che riflette la gravità o il rischio con cui il fattore contribuisce all’atteggiamento generale di sicurezza informatica di un’organizzazione. Le organizzazioni con una valutazione “A” hanno, come detto, 7×7 volte meno probabilità di subire una violazione della sicurezza informatica.
“Se quasi il 20% delle entità finanziarie più dotate di risorse nell’UE ha un grado C o peggiore, allora è probabile che la resilienza informatica complessiva per altre entità finanziarie sia in realtà molto inferiore”, ha commentato Matthew McKenna, Chief Sales Officer, SecurityScorecard. “Le entità finanziarie hanno bisogno di una visione attendibile del rischio per la sicurezza. SecurityScorecard rileva dinamicamente i rischi lungo la superficie di attacco di un cliente, compreso l’ecosistema di terze e quarte parti, per ridurre drasticamente il rischio di compromissione”.
Leader nel cyberrating
Finanziata da investitori di livello mondiale, tra cui Evolution Equity Partners, Silver Lake Partners, Sequoia Capital, GV, Riverwood Capital e altri, SecurityScorecard è il leader globale nei rating, nella risposta e nella resilienza della sicurezza informatica, con oltre 12 milioni di aziende valutate continuamente.
La sua tecnologia di rating, come si diceva, è già utilizzata da oltre 25.000 organizzazioni per la gestione del rischio aziendale, la gestione del rischio di terze parti, il reporting del consiglio di amministrazione, la due diligence, la sottoscrizione di assicurazioni informatiche e la supervisione normativa.
In definitiva SecurityScorecard fornisce con i suoi programmi un modo in cui le aziende comprendono, migliorano e comunicano i rischi legati alla sicurezza informatica ai loro consigli di amministrazione, dipendenti e fornitori. Anche per questo l’azienda è elencata come strumento e servizio informatico gratuito dalla Cybersecurity & Infrastructure Security Agency degli Stati Uniti.
Italia: Dora, NIS 2 e TPRM suggeriscono soluzioni di rating
La società è presente in Italia dal 2022. “In questo periodo, precisa Stefano Volpi, Field, Sales Director Italy and Balkans, l’attività è stata focalizzata sulla evangelizzazione del mercato relativamente alla importanza delle metriche di computo delle misure di sicurezza poste in essere dalle organizzazioni, private e pubbliche e della loro intera supply chain. Ritengo ormai quasi mandatorio il ricorso a software come il nostro anche per ragioni di buon senso dato che il perimetro della supply chain si è allargato e con esso il perimetro di dove gli attacchi possono provenire e per i dettami imposti da Dora che obbliga ad utilizzare soluzioni di TPRM (Third-party risk management). Ci siamo resi conto di una crescita di sensibilità verso la tematica del rating, sempre più attenzionata in tutti i settori di attività, tra cui in primis quello finanziario-assicurativo, e sempre più a budget di un numero crescente di organizzazioni. Vedere che il nostro contributo da advisor viene ascoltato e condiviso ci fa molto piacere, anche perché ci è possibile raccogliere feedback e suggerimenti preziosi e utili a migliorare costantemente le nostre soluzioni”.
Le norme dell’UE in materia di cybersicurezza introdotte nel 2016 sono state aggiornate dalla direttiva NIS2, entrata in vigore nel 2023. Ha modernizzato il quadro giuridico esistente per tenere il passo con una maggiore digitalizzazione e un panorama in evoluzione delle minacce alla cybersicurezza. Estendendo l’ambito di applicazione delle norme in materia di cybersicurezza a nuovi settori e entità, migliora ulteriormente la resilienza e le capacità di risposta agli incidenti degli enti pubblici e privati, delle autorità competenti e dell’UE nel suo complesso.
