Uno studio Kaspersky rivela che carenza di personale e priorità frammentate frenano la difesa della supply chain nelle aziende globali.
Autore: Redazione SecurityOpenLab
La carenza di personale qualificato e la difficoltà di gestire più priorità di sicurezza in parallelo sono i due principali ostacoli alla protezione della supply chain: lo afferma lo studio globale di Kaspersky Supply chain reaction: securing the global digital ecosystem in an age of interdependence condotto su 1.714 esperti tecnici e dirigenti di aziende con oltre 500 dipendenti in 16 paesi, fra cui l’Italia. Entrambi i fattori sono stati segnalati dal 42% degli intervistati.
Un'azienda su tre ha subìto un attacco alla supply chain nell'ultimo anno, confermando il trend già documentato da Kaspersky in precedenti ricerche. Eppure, nonostante la consapevolezza del rischio sia diffusa, le misure di protezione restano insufficienti. Solo il 15% delle organizzazioni considera efficaci le proprie difese; in Italia la quota scende all'8%, in linea con altri mercati chiave come Germania (6%), Turchia (7%), Brasile (8%) e Russia (8%).
Le carenze operative sono evidenti. Nessuna misura di sicurezza verso terzi supera il 40% di adozione: anche l'autenticazione a due fattori, che è la più diffusa, viene utilizzata solo dal 38% degli intervistati. Solo il 35% delle aziende effettua verifiche periodiche sul livello di sicurezza dei propri fornitori, lasciando quasi due terzi delle organizzazioni prive di visibilità continuativa sull'ecosistema di partner e appaltatori.
Sul fronte contrattuale, il 39% degli intervistati segnala che gli accordi con i fornitori non includono obblighi espliciti in materia di cybersecurity. Il 32% rileva inoltre che i dipendenti non specializzati in sicurezza non comprendono adeguatamente i rischi connessi alla supply chain.
Un elemento che emerge con chiarezza è che le aziende che hanno già subìto un incidente tendono ad adottare misure più strutturate. Quelle colpite da attacchi alla supply chain sono più propense a richiedere i risultati dei penetration test ai fornitori (56%); le vittime di violazioni delle relazioni di fiducia privilegiano invece la verifica della conformità agli standard di settore (56%) e le policy della supply chain (53%). In estrema sintesi, il rischio vissuto in prima persona si traduce in comportamenti più proattivi.
Per uscire da questo circolo vizioso, Kaspersky raccomanda un approccio strutturato che comprende: valutazioni sistematiche dei fornitori prima della firma dei contratti (con verifica delle policy di sicurezza, degli incidenti passati e dei penetration test); inserimento di requisiti di cybersecurity negli accordi contrattuali, con audit periodici e protocolli chiari di notifica degli incidenti; adozione di servizi gestiti come MDR e Incident Response per le organizzazioni prive di risorse interne dedicate; programmi di formazione continua per rafforzare le competenze tecniche dei team.