I crimini informatici tesi a violare le realtà industriali sono sempre più frequenti e sofisticati; in un quadro di questo tipo, delle solide politiche di sicurezza informatica ed il rispetto delle normative non sono mai state così importanti.

Le aziende industriali oggi devono rispettare molti requisiti, dal Regolamento generale sulla protezione dei dati (GDPR), alle normative integrative nazionali (quali, in Italia, il Codice Privacy novellato dal Decreto Legislativo 101/2018) fino agli standard stabiliti dalla Commissione Elettrotecnica Internazionale (IEC).

Nella prima metà del 2019, ARC Advisory Group ha condotto un sondaggio sullo stato della sicurezza informatica dell’Industrial Control Systems (ICS). L’obiettivo della ricerca era comprendere le misure e i processi coinvolti nella prevenzione di incidenti informatici nell’industria.
Sono state intervistate oltre 300 realtà industriali, la maggior parte delle quali provenienti da Europa, America e Asia.

Da questa indagine è derivato il report di Kaspersky, dal titolo “The State of Industrial Cybersecurity 2019”.
Tale report mette in evidenza situazioni non molto incoraggianti, in quanto rivela che molte aziende stanno ignorando le linee guida relative alla segnalazione di incidenti e violazioni dei dati, forse per evitare sanzioni normative o temendo di subire una cattiva pubblicità, con conseguente danno reputazionale.
Solo il 31% delle aziende intervistate ha implementato un processo per la gestione dei data breach, mentre il 37% ha dichiarato che tale sistema sarà implementato nell’arco dei prossimi 12 mesi.
Il dato preoccupante è che, ad ora, il 69% dei soggetti coinvolti in questo studio si trova del tutto impreparato a gestire una tale emergenza.
Il campione interessato dal sondaggio ha dichiarato che più della metà (52%) degli incidenti informatici li avrebbe portati ad una violazione legislativa (anche se la violazione dovrebbe essere considerata la causa, non solo la conseguenza), mentre il 63% ritiene che una delle preoccupazioni maggiori riguardi la perdita di fiducia dei clienti in caso di violazioni.
In buona sostanza la maggioranza dei soggetti coinvolti è consapevole del fatto che una compliance adeguata avrebbe evitato problemi più seri, sia sostanziali che di immagine, ma ciononostante non ha raggiunto ancora un livello di adeguatezza adeguato.

Oltre alla mancata segnalazione di incidenti, l’indagine di Kaspersky ha messo in luce anche altri risultati. Sembra che le aziende stiano prendendo molto sul serio il problema della conformità: solamente il 21% delle realtà industriali coinvolte dal sondaggio ha riconosciuto di non rispettare la regolamentazione obbligatoria.
Questo contrasta con quanto detto prima, in quanto anche approntare misure di contrasto e gestione dei data breach rientra tra le disposizioni cogenti
In sostanza, le organizzazioni comprendono l’esigenza di soddisfare le disposizioni di legge, nonostante optino di non segnalare eventuali casi di incidenti informatici.

Per il 55% degli intervistati, la conformità è il principale propulsore nelle strategie di investimento nella sicurezza informatica ed il 48% sottolinea come stia pianificando di investire maggiormente nella formazione.

In conclusione, la necessità principale consiste nel considerare attentamente le minacce reali.
L’adempimento concreto delle disposizioni di legge, unito a costanti attività di aggiornamento e monitoraggio, sono provvedimenti imprescindibili per aumentare il livello di sicurezza aziendale, senza dimenticare la necessità di elevati standard qualitativi per le soluzioni di cybersecurity da porre in essere nel caso concreto.