La protezione dell’infrastruttura digitale è fondamentale per le operazioni aziendali quotidiane, ma il nuovo report di Kaspersky mette in dubbio la comprensione da parte dei vertici aziendali della legislazione in materia di cybersecurity, come WP.29, NIS2 e l’imminente direttiva UE sulla supply chain.
A partire dal 2024, nell’Unione Europea (UE) entreranno in vigore una serie di normative in materia di cybersecurity, che garantiranno la sicurezza digitale, la protezione e l’integrità di tutto, dalle automobili alle reti infrastrutturali fino alle supply chain. Tuttavia, un nuovo report di Kaspersky rivela che i leader aziendali potrebbero non essere preparati alle nuove regolamentazioni digitali, come il WP.29, la NIS2, l’EU Resilience Act e la prossima EU Supply Chain Directive. Secondo il report, poche aziende hanno implementato misure di protezione digitale per l’uso dell’IA. Inoltre, è preoccupante il fatto che solo il 22% abbia preso in considerazione la possibilità di regolamentarne l’uso. Una situazione simile esiste per il WP.29: anche se il 23% ha già sviluppato dei piani, non ha iniziato ad attuarli né li ha ancora realizzati.
L'UE e i suoi Stati membri stanno lavorando duramente per aumentare la sicurezza informatica. Il WP.29 regolamenta una serie di standard informatici comuni per l’iperconnettività automobilistica, con l’obiettivo di ottimizzare i sistemi di cybersecurity che gestiscono tutti i rischi legati all’IT per i nuovi veicoli. Inoltre, le nuove norme di cybersecurity NIS2, che saranno probabilmente applicate a partire da ottobre di quest’anno, modernizzano il quadro giuridico esistente per i settori delle infrastrutture critiche dell’UE come l’energia, l’acqua, le telecomunicazioni, i trasporti, i servizi finanziari, la sanità e i servizi digitali, tenendo il passo con l’aumento della digitalizzazione e con l’evoluzione del panorama delle minacce alla cybersecurity. Con l’obiettivo di rafforzare la sicurezza informatica e digitale di banche, compagnie di assicurazione e società di investimento nell’UE, l’UE Resilience Act garantisce la loro capacità di recupero in caso di gravi interruzioni operative. L’EU Supply Chain Directive garantisce la due diligence ambientale e dei diritti umani di tutte le grandi imprese che operano nell’UE e nelle loro catene di valore globali.
Anche se buona parte della legislazione è già in vigore, o lo sarà presto, la ricerca di Kaspersky ha rivelato che nonostante i leader aziendali siano consapevoli dei pericoli, la maggior parte ignora la complessità delle minacce informatiche, sottovalutandone la capacità di raggiungere i loro obiettivi. Questo, unito a uno stanziamento poco chiaro delle risorse, costringe molti dirigenti aziendali a confrontarsi con le complessità della difesa digitale.
Lo studio di Kaspersky dimostra che, nonostante la Gen AI sia sempre più presente nel mondo del lavoro, i leader aziendali devono ancora essere informati sui rischi informatici legati all’implementazione di questa nuova tecnologia. Il 95% dei dirigenti riconosce la presenza di questa tecnologia nelle loro aziende e più della metà (53%) afferma che consente di semplificare le operazioni in mondo continuo. Lo studio ha anche rivelato che il 91% dei dirigenti aziendali desidera saperne di più sul funzionamento della Gen AI e sui processi di gestione dei dati, il che riflette un approccio proattivo allo sfruttamento del suo potenziale. Tuttavia, è allarmante che pochi abbiano implementato misure di salvaguardia, dato che solo il 59% si preoccupa delle fughe di dati legate all’IA. Inoltre, meno di un quarto (22%) ha dichiarato di aver discusso le normative sull’IA in consiglio di amministrazione o con i senior executive.
Tuttavia, l’IA non è l’unico problema: la mancanza di preparazione sembra essere una sfida diffusa in vari settori, Pesi o industrie. Nel settore automobilistico, un recente sondaggio di Kaspersky mostra che gran parte dell’industria potrebbe non essere ancora pronta per la nuova normativa WP.29. Ad esempio, sebbene il 23% degli intervistati in Germania abbia sviluppato dei piani, non ha iniziato ad implementarli né li ha ancora realizzati e al momento solo il 37% è in fase di implementazione. Di questi, solo il 9% è riuscito a garantire la piena attuazione dei requisiti di entrambe le direttive. L’industria automobilistica e i suoi fornitori sono quindi ancora molto indietro nell’attuazione delle regolamentazioni.
“La cybersecurity aiuta a guidare tutto, dai nostri viaggi in auto alle funzioni aziendali critiche, eppure ci sono carenze preoccupanti nell’implementazione delle misure di salvaguardia digitale dell’UE, con il rischio di una crisi della cybersecurity. Con così poche aziende che regolano l’uso dell’automazione digitale e dell’IA nella loro organizzazione, e che non dispongono di misure di cybersecurity, stanno correndo il rischio di fughe di dati. Le aziende devono stanziare urgentemente le risorse e prepararsi alla legislazione in arrivo, altrimenti rischiano di subire gravi conseguenze”, ha dichiarato Cesare D’Angelo, General Manager Italy & Mediterranean di Kaspersky.
Strategie per la cybersicurezza e le minacce nelle normative
Kaspersky offre soluzioni all’avanguardia nel campo della cybersecurity completa, sviluppando soluzioni per affrontare l’evoluzione del panorama delle minacce e superare i limiti degli strumenti di sicurezza tradizionali e della formazione. Le aziende hanno bisogno di soluzioni di protezione informatica automatizzate, flessibili e senza soluzione di continuità come Kaspersky Next, con funzionalità avanzate che consentano alle aziende di rilevare, analizzare e rispondere efficacemente alle minacce avanzate in tempo reale. Le persistenti lacune nella conoscenza e nella preparazione in materia di cybersecurity da parte dei responsabili decisionali, insieme alla carenza di competenze, evidenziano la necessità di prodotti EDR e XDR graduali che soddisfino le diverse esigenze aziendali, fornendo al contempo un approccio proattivo e comprensibile alla cybersecurity. Queste soluzioni offrono spunti di riflessione e raccomandazioni concrete, guidando le organizzazioni verso un futuro più sicuro e resiliente in un panorama digitale in continua evoluzione.
Per affrontare questo problema sia ora che in futuro, Kaspersky consiglia di:
· Investire in corsi di formazione e iniziative di cybersecurity e di sensibilizzazione a tutti i livelli di impiego. Implementare la formazione di sensibilizzazione alla sicurezza per rispondere a esigenze specifiche e ridurre al minimo il rischio di incidenti interni di cybersecurity.
· Considerare l’utilizzo di servizi di Threat Intelligence come la formazione di Kaspersky Expert per migliorare le competenze dei professionisti InfoSec, il supporto di terze parti e i servizi di Threat Intelligence con soluzioni EDR, MDR e XDR all’avanguardia come Kaspersky Next.
· Utilizzare simulatori interattivi per valutare le competenze e le capacità decisionali dei singoli in scenari critici. Esplorare opzioni di giochi didattici interattivi per osservare e rispondere ad attacchi simulati.
· Integrare e promuovere una cultura della resilienza della cybersecurity e responsabilizzare la forza lavoro per mitigare efficacemente le minacce emergenti.
· Le aziende dovrebbero condurre un inventario completo (valutazione del rischio della supply chain) dei prodotti e dei servizi che acquistano e dei processi associati. Questa valutazione del rischio comprende anche un’attenta verifica dei registri di cybersecurity e dei piani di gestione del rischio dei singoli fornitori.
· I processi che sono soggetti a una rigorosa conformità devono essere completamente tracciabili. Questo include tutte le strategie per affrontare i rischi informatici e l’intero ciclo di vita del veicolo e dei servizi ad esso associati. Ogni cambiamento nel processo di sviluppo e costruzione della supply chain deve quindi essere costantemente monitorato, utilizzando un processo strutturato e definito.
· Iniziate a prepararsi per tempo alle normative, ad esempio Kaspersky fornisce indicazioni per la direttiva NIS2 sulla sua pagina web dedicata al seguente link.
È possibile consultare il report completo di Kaspersky al seguente link.