Due aziende su tre nel campo dell’industria, per la precisione il 67% del totale, non informa gli enti di controllo se subisce violazioni della sicurezza informatica. E’ quanto emerge dal report “State of Industrial Cybersecurity 2019” pubblicato da Kaspersky, che tenta di fare luce sui fattori che influenzano le aziende nel rispettare – o come in questo caso non rispettare – le norme che regolano il settore, con in prima linea il Gdpr.
Si tratta di una tendenza che desta preoccupazione, sottolinea la società specializzata in cybersecurity, soprattutto dal momento che un sistema di solide politiche di sicurezza informatica insieme al rispetto delle normative rappresenta una delle ricette per difendersi da attacchi che sono sempre più sofisticati ed estesi, soprattutto ai danni delle realtà industriali.
Tra i requisiti principali a cui le aziende del settore devono adeguarsi ci sono il Regolamento generale sulla protezione dei dati (Gdpr) e gli standard stabiliti dalla Commissione Elettrotecnica Internazionale (Iec). Dalla ricerca di Kaspersky emerge però che molte aziende stanno le linee guida che riguardano la segnalazione degli incidenti informatici, “forse per evitare sanzioni normative o la divulgazione pubblica dell’accaduto, un fatto che potrebbe anche danneggiare la loro reputazione”, spiega Kaspersky. Nello specifico, il campione coinvolto dal sondaggio ha dichiarato che più della metà (52%) degli incidenti informatici li avrebbe portati ad una violazione dei requisiti normativi, mentre il 63% ritiene che una delle principali preoccupazioni aziendali riguardi la perdita di fiducia dei clienti in caso di violazioni.
Notizie migliori vengono dal campo dei requisiti di conformità, solo un quinto (21%) delle realtà industriali coinvolte dal sondaggio ha infatti ammesso di non rispettare la normativa obbligatoria. Le organizzazioni comprendono quindi la necessità di soddisfare le norme, nonostante scelgano di non segnalare eventuali casi di incidenti informatici.Così per il 55% degli intervistati, la conformità è il principale motore nelle strategie di investimento nella sicurezza informatica. L’attenzione alle procedure, però, può portare le aziende a diventare meno esigenti sulla qualità delle soluzioni di cybersecurity e a non considerare abbastanza attentamente le minacce reali: solo il 28%, infatti, considera l’analisi del panorama delle cyberminacce un elemento chiave per la definizione del budget da investire.
“La conformità e il rispetto delle normative in ambito industriale non dovrebbero essere prese alla leggera – commenta Georgy Shebuldaev, Head of Kaspersky Industrial Cybersecurity Business Development – È molto importante anche considerare il panorama delle minacce reali, in costante evoluzione. Un’efficiente soluzione di sicurezza informatica e una policy chiara dovrebbero aiutare le aziende nel raggiungimento del livello di protezione richiesto, in conformità con i requisiti da punto di vista delle normative. Queste soluzioni dovrebbero contenere funzionalità “technology-oriented”, valutazione delle vulnerabilità e misure di Incident Response, senza dimenticare la necessità di iniziative di sensibilizzazione ed educazione sulla sicurezza informatica per tutti i dipendenti che lavorano con i sistemi di automazione industriali”.
