Negli ultimi anni la trasformazione digitale ha portato con sé innumerevoli vantaggi in tutti i campi e settori, incluse le reti di supply chain che si sono evolute di conseguenza. Tuttavia, le stesse tecnologie che rendono le supply chain più veloci ed efficaci minacciano anche la loro sicurezza informatica, presentando vulnerabilità nei punti di contatto con produttori, fornitori e altri fornitori di servizi: una rete allargata che si trasforma facilmente in un’amplificazione del rischio, semplicemente perché si moltiplicano, per gli hacker, le possibilità di accesso e quindi i punti di debolezza.
In questa tipologia di attacchi, l’avversario, anziché attaccare direttamente la vittima, prende di mira un fornitore, che viene sfruttato per distribuire malware o comunque per accedere all’infrastruttura della vittima al fine, ad esempio, di ottenere l’accesso a informazioni sensibili. In altri termini, anziché colpire direttamente la vittima finale si attacca l’anello debole della catena di fornitura informatica su cui la vittima fa affidamento. Sfruttando la catena di fiducia che lega il cliente al fornitore, l’attore malevolo può così massimizzare il profitto con interventi mirati verso tutte le aziende che utilizzano il medesimo fornitore.
Gli attacchi perpetrati attraverso la supply chain sono in continuo aumento. Secondo quanto emerso dall’indagine dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano infatti, quasi un’azienda su quattro (24%) ha dichiarato di aver subito negli ultimi 12 mesi un incidente di sicurezza attraverso la violazione di terze parti.
A puntare i riflettori su security e supply chain è anche l’Enisa, l’Agenzia europea per la Cybersecurity. Il suo rapporto “Threat Landscape For supply chain Attacks” del 2021, rivela che un’organizzazione potrebbe essere vulnerabile a un attacco alla catena di approvvigionamento persino quando ha predisposto misure di security supply chain di alto livello. Gli aggressori, infatti, esplorano nuove potenziali vie d’accesso per infiltrarsi nelle reti aziendali prendendo di mira i fornitori. Per compromettere le aziende target, gli aggressori si focalizzano sul codice dei fornitori in circa il 66% degli incidenti segnalati. Ciò dimostra che le organizzazioni dovrebbero concentrare i propri sforzi sulla convalida di codice dei software di terze parti prima di utilizzarli, per garantire che non siano stati manomessi o manipolati.
Non solo: rispetto al 66% degli attacchi alla catena di approvvigionamento analizzati, i fornitori che avevano subito una violazione non sapevano o non avevano riferito in che modo erano stati compromessi. Tuttavia, all’atto pratico, meno del 9% degli utenti coinvolti in attacchi alla catena di approvvigionamento ignorava come si fossero verificati gli incidenti. Questo evidenzia un gap non trascurabile nell’abilità di comunicare gli eventi di sicurezza informatica tra fornitori e utenti finali.
Supply chain: quali sono i rischi più comuni
La Supply Chain è la rete che comprende tutti gli individui, organizzazioni, risorse, attività e tecnologie coinvolte nella creazione e vendita di un prodotto: dalla consegna dei materiali dal fornitore al produttore fino al momento in cui i beni o servizi vengono messi a disposizione del consumatore.
Oggi la relazione tra imprese e fornitori è sempre più digitale e i cyber criminali, allo scopo di sottrarre dati o informazioni sensibili, possono compromettere qualsiasi anello della supply chain aziendale in diversi modi.
Solitamente abbiamo due macro tipologie di attacchi:
- quelli mirati, dove ad esempio per attaccare un’infrastruttura critica si sfrutta un suo fornitore con policy e meccanismi di cybersecurity meno stringenti;
- quelli diffusi, dove, ad esempio, si compromette un fornitore di servizi con migliaia di clienti, in modo da compromettere molte aziende con un singolo attacco.
Molto spesso questi attacchi nascono dalla compromissione di un software, solitamente diffuso all’interno delle realtà aziendali, utilizzato come vettore del payload malevolo dell’attaccante. In questo caso il trust è implicito nella presenza del software stesso e non sono rare le situazioni in cui tali software siano esclusi dai controlli di sicurezza attivi, al fine di consentirne il corretto funzionamento.
Ma vediamo in dettaglio quali sono gli attacchi più comuni.
#1 DATA BREACHES
Quando un’organizzazione è vittima di una fuga o violazione di dati, di solito ne derivano significative perdite finanziarie e danni reputazionali, oltre a qualsiasi conseguenza normativa e legale. Anche con i giusti standard normativi e di conformità in atto, spesso le aziende impiegano molto tempo per identificare una violazione dei dati una volta verificatasi. Ancora peggio, quando le organizzazioni subiscono una violazione dei dati a seguito di un incidente di sicurezza della catena di approvvigionamento.
Più dati sensibili vengono condivisi con terze parti nella tua catena di approvigionamento, più è probabile che i dati vengano violati e divulgati. I dati sensibili sono informazioni che devono essere protette da accessi non autorizzati per salvaguardare la privacy o la sicurezza di un individuo o di un’organizzazione. Alcune delle più comuni violazioni di dati causate da fornitori di terze parti derivano da accessi non autorizzati tramite account di posta elettronica aziendale, hacking di un provider di posta elettronica, mancanza di crittografia e siti web non sicuri, così come informazioni di accesso memorizzate in modo improprio.
#2 ATTACCHI MALWARE E RANSOMWARE
Gli attacchi malware e ransomware stanno diventando sempre più comuni. Questi attacchi sono progettati per rubare informazioni, modificare dati interni o distruggere informazioni sensibili.
Il malware è qualsiasi software intrusivo che può infiltrarsi nei sistemi informatici per danneggiarli, distruggerli o rubare dati. I tipi più comuni di attacchi malware includono virus, worm, trojan e ransomware.
Il ransomware è una forma di malware che crittografa i file delle vittime, consentendo all’attaccante di richiedere un pagamento monetario in cambio di una chiave di decrittazione.
Come prevenire gli attacchi alla supplly chain
Per proteggere la tua organizzazione e i tuoi clienti dai rischi informatici sopra descritti, la tua azienda può adottare una serie di best practice per la gestione, come:
- stabilire standard di conformità per tutti i fornitori di terze parti, inclusi produttori, fornitori e distributori;
- definire chiaramente i ruoli degli utenti e implementare controlli di sicurezza per limitare chi ha accesso ai tuoi sistemi, nonché quale livello di autorizzazione o privilegio devono avere;
- determinare e documentare gli standard di gestione dei dati e definire chi dovrà possedere determinati dati, nonché cosa è autorizzato a farne;
- fornire una formazione completa sulla consapevolezza della sicurezza per tutti i dipendenti;
- collaborare con i fornitori nella rete della supply chain per sviluppare un piano di ripristino di emergenza unificato per garantire la continuità aziendale;
- stabilire i controlli di backup per salvaguardare i backup dei dati;
- aggiornare regolarmente le tue soluzioni software, inclusi antivirus, anti-spyware e firewall. Dovresti anche considerare di esaminare misure di sicurezza informatica più avanzate come il filtro DNS e il controllo dell’accesso alla rete.
Le 5 fasi della gestione del rischio della supply chain
La strategia vincente per potersi difendere da un attacco alla catena di approvvigionamento è senza dubbio la conoscenza dei rischi e la capacità di sapersi difendere adeguatamente.
Per quanto riguarda la conoscenza dei rischi, la prima cosa da capire è che il perimetro IT di qualsiasi membro di una rete di fornitura ora si estende ben oltre la tua sede centrale, tramite piattaforme cloud, servizi condivisi, mobilità, lavoro a distanza e altro ancora. Questo processo è accelerato durante la pandemia e ha reso essenziali i sistemi di rilevamento degli endpoint e di difesa, ovvero ha reso essenziale la capacità di sapersi difendere attraverso soluzioni appropriate.
Vediamo in dettaglio le fasi principali della gestione del rischio informatico nella supply chain.
#1 Inizia con piano
Come con qualsiasi programma di gestione del rischio, il primo passo è assicurarsi di disporre delle persone giuste per essere efficaci. Sarà essenziale riunire un team di persone in grado di identificare, analizzare, stabilire le priorità e mitigare i rischi della catena di approvvigionamento.
Riunita la tua squadra di professionisti, il passo successivo è la pianificazione. Delinea ruoli e responsabilità specifici per i membri del tuo team, crea o includi una politica di gestione del rischio del fornitore e decidi come redigere una descrizione dettagliata delle procedure e dei processi che utilizzerai per ciascuna delle fasi della strategia di gestione del rischio.
Un piano di gestione del rischio dettagliato è il modo più sicuro per preparare il tuo team e l’intera azienda agli inevitabili rischi che dovrai affrontare lungo la catena di approvvigionamento. Per la gestione del rischio informatico, dovrai prestare particolare attenzione ai rischi che influiscono sulla tua sicurezza informatica e a dove tali rischi potrebbero causare danni alla tua organizzazione lungo la catena di approvvigionamento.
È necessario anche stabilire alcune metriche per misurare il rischio; puoi decidere di utilizzare misurazioni qualitative come una scala alta/media/bassa o metriche quantitative come l’analisi statistica dipende da te. In definitiva, dovresti scegliere una metodologia che soddisfi al meglio le tue esigenze aziendali.
#2 Identifica, valuta e dai priorità ai vari rischi
Prima di poter mitigare un rischio, devi prima identificare la sua esistenza e pensare anche a eventuali rischi potenziali che non sono stati ancora identificati. Ciò include la creazione di un elenco dei rischi della catena di approvvigionamento in modo da poter iniziare ad analizzarli.
Dovresti anche cogliere questa opportunità per rivedere i tuoi accordi sul livello di servizio per ogni rapporto che hai con le terze parti, per assicurarti che i tuoi fornitori funzionino come previsto e per determinare i requisiti di conformità per la tua organizzazione. È fondamentale sapere quali regolamenti e standard devono essere rispettati sia da te che dai tuoi terzi in ogni momento.
Successivamente, inizia il processo di analisi dei rischi. Puoi condurre un’analisi del rischio con il tuo team interno o farti supportare da un’azienda o professionista indipendente. Una valutazione del rischio ti aiuterà a determinare la natura e l’entità dei rischi identificati lungo la catena di fornitura in modo da poter classificare i tuoi fornitori in base al rischio e al livello di accesso.
Assegna a ciascun rischio un livello di rischio e classifica i rischi della catena di fornitura per tipologia. Quindi assegna la priorità a tali rischi in base ai rispettivi livelli di rischio. Generalmente dovresti prima occuparti dei rischi di livello più alto, quindi procedere verso il basso nell’elenco in base alla priorità del rischio.
#3 Mitiga i rischi
Una volta consapevole di quali sono i rischi che richiedono la tua attenzione, decidi come gestirli. Per ogni rischio, dovrai decidere se accettarlo, rifiutarlo, trasferirlo o mitigarlo. Per il rischio della catena di approvvigionamento, a volte il piano migliore potrebbe essere semplicemente quello di trovare un altro fornitore meno rischioso.
È anche importante interrogare regolarmente le terze parti con questionari sulla gestione del rischio al fine di esaminare i controlli di sicurezza che le terze parti stanno applicando ai loro flussi di lavoro e determinare se i rischi esistenti sono stati mitigati correttamente, così come vedere se sono comparsi nuovi rischi.
Eventuali terze parti con livelli di rischio particolarmente elevati potrebbero persino richiedere un audit, a seconda delle risposte fornite ai questionari. In alcuni casi, potrebbe essere necessario condurre visite in loco ogni volta che è necessario.
#4 Ripeti
Dopo aver completato i passaggi precedenti, dovrai ricominciare da capo il processo. La gestione del rischio della supply chain è un processo continuo per ogni terza parte lungo la catena di fornitura; è un processo che dovrebbe essere ripetuto spesso e per tutto il ciclo di vita della relazione con le terze parti.
#5 Esegui un continuo monitoraggio
Il monitoraggio continuo è una pratica necessaria perché i tuoi partner commerciali possono – e lo fanno – cambiare i loro processi in continuazione. Il monitoraggio continuo dei cambiamenti nella tua attività, nella rete della tua catena di fornitura e nei cambiamenti delle normative e degli standard di settore non è un compito facile, ma è necessario.
In molti casi, la due diligence da sola non è sufficiente ai fini della sicurezza informatica: il monitoraggio continuo può limitare i potenziali attacchi informatici e le violazioni dei dati sia per la tua organizzazione che per le terze parti lungo la catena di approvvigionamento.
Conclusione
Ovviamente, gestire i rischi alla sicurezza informatica della supply chain è un processo molto più complesso e con diverse sfaccettature. Un team IT che ha un’adeguata formazione e conoscenza delle opzioni da scegliere, di solito implementerà un piano con più approcci.
Quello che possiamo suggerire è di imparare dagli errori e non lesinare sui costi relativi alla sicurezza. Continua a informarti sulle minacce informatiche più nuove e recenti e istruisci il management su quali possono essere quelle pericolose per la tua azienda: proprio come si evolvono le misure di sicurezza così fanno le minacce informatiche.
La sicurezza informatica e il reparto IT sono la linfa vitale di qualsiasi azienda che voglia prevenire, controllare e mitigare gli attacchi di malware, violazioni, perdite e infezioni. Per questo è fondamentale investire in una solida strategia di sicurezza informatica.