Oggi viviamo in un’economia fortemente interconnessa ed ogni organizzazione è ormai parte di una Supply Chain.
È evidente agli occhi delle cronache come attacchi informativi sempre più frequenti paralizzano piccole, medie e grandi imprese, provocando danni ingenti a tutti gli anelli della catena di cui le stesse fanno parte.
Citiamo solo un paio di esempi abbastanza recenti: SolarWinds o Kaseya.
Ogni azienda ha la necessità di condividere dati critici nella propria Supply Chain e di conseguenza non dovrebbe mai pensare a sé stessa come una realtà indipendente o autonoma rispetto al sistema di produzione economico complessivo.
Tale compartecipazione al sistema espone ogni membro della Supply Chain a fattori di rischio informativi che sono intrinseci nel concetto di network e di collaboration; la compromissione di un anello della catena può innescare un effetto domino che coinvolge tutti gli attori.
Per questo motivo è possibile affermare che la sicurezza reale di una azienda è pari alla sicurezza dell’anello più debole della propria supply chain. Un attaccante potrebbe infatti sfruttare la relazione di fiducia che si instaura tra gli attori economici che collaborano, ad esempio tra un cliente e il proprio fornitore, e trarne vantaggio da entrambe le direzioni.
Nel 2021 il 60% dei problemi di sicurezza informatica si è verificato presso domini di terze parti delle aziende che lavorano nelle Supply Chain e nell’85% di questi casi è stata subita, come conseguenza, un’interruzione delle forniture dei servizi o dei prodotti richiesti.
Pensare e pianificare le azioni di sicurezza considerando solo ciò che avviene all’interno della propria realtà è un modus operandi che deve essere superato. Oggi è necessario avere garanzie anche sugli standard presenti nelle terze parti.
Le violazioni di dati o gli attacchi che si verificano a qualsiasi livello della catena hanno conseguenze devastanti ed anche un incidente di sicurezza localizzato presso un singolo fornitore può impattare su tutti i membri della Supply Chain di cui egli fa parte.
Gli attaccanti sfruttano con successo le falle nella Supply Chain in quanto molto spesso è più facile attaccare un target connesso all’obiettivo finale che l’obiettivo stesso.
Infatti, estremamente comune è lo scenario in cui un target enterprise interessante per i cyber criminali si avvalga di fornitori di eccellenza nell’ambito del business in cui, tuttavia, non sono presenti programmi di cybersecurity maturi.
Perché le aziende terze parti sono più vulnerabili agli attacchi informatici?
Sono principalmente 3 i motivi per cui le terze parti delle Supply Chain spesso non sono protette da soluzioni di cybersecurity sufficientemente solide e mature:
- mancanza di budget: le piccole realtà di eccellenza italiane spesso non hanno fondi per gestire la propria infrastruttura informatica, ma forniscono realtà enterprise con componenti fondamentali per il processo di business di queste ultime;
- mancanza di consapevolezza;
- risorse interne non specializzate nei temi legati alla cybersecurity.
Queste realtà terze parti possono essere quindi un target ottimo da sfruttare da parte degli attaccanti, come fossero cavalli di Troia per bypassare le difese messe in atto dall’obiettivo finale.
Come mitigare i rischi cyber per le Supply Chain?
Il World Economic Forum propone tre principi fondamentali che possono contribuire alla mitigazione della sfida della sicurezza della Supply Chain:
- Integrare sicurezza e privacy nel processo di approvvigionamento e nel ciclo di vita.
- Avere una politica di gestione dei rischi delle terze parti garantirà che sicurezza e privacy siano sempre prese in considerazione con misure mature, coerenti ed efficaci.
- Adottare un approccio basato sul rischio nelle valutazioni di terze parti.
- Tale approccio sarà in grado di aiutare il processo decisionale di accettazione o rifiuto delle terze parti e mitigare di conseguenza le minacce che le terze parti potrebbero porre a tutto l’ecosistema della Supply Chain.
- Implementare policy sul codice sorgente e policy sullo sviluppo, che deve essere sicuro by design.
- Questa policy mira a ridurre al massimo i rischi relativi al ciclo di vita del software che deve prendere in considerazione anche l’impatto sui clienti in caso di possibile incidente. L’approccio aiuterà a proteggere tutto l’ecosistema digitale della Supply Chain, contribuendo al tempo stesso a rafforzare la fiducia.
ENISA, l’Agenzia Europa per la Cyber security, dettaglia più nello specifico quali siano le azioni che è possibile intraprendere sia nella posizione di cliente che di fornitore all’interno di una Supply Chain.
Le raccomandazioni per il cliente includono:
- identificare e mantenere una documentazione aggiornata di fornitori e di provider di servizi;
- definire criteri di rischio per i differenti fornitori e servizi, identificando le criticità e i possibili “point of failure”;
- avere un piano di monitoraggio dei rischi a cui si è esposti per essere parte di una Supply Chain;
- gestire i fornitori durante tutto il ciclo di vita di prodotti e servizi, pianificando le procedure per i periodi di “end of life”;
- classificare gli asset e le informazioni che vengono condivise con i fornitori, identificando delle procedure di accesso alle stesse e di gestione del modo in cui vengono trattati.
Le raccomandazioni per il fornitore includono:
- assicurarsi che l’infrastruttura utilizzata per tutte le fasi di sviluppo, creazione, gestione e consegna del prodotto segua le best practices per la cyber security;
- implementare un processo di sviluppo, manutenzione e supporto del prodotto coerenti con i processi di sviluppo del prodotto comunemente accettati;
- monitorare le vulnerabilità di sicurezza segnalate da fonti interne ed esterne, che includano i componenti di terze parti utilizzati;
- mantenere un inventario delle risorse che includa informazioni rilevanti per le patch.
Aditinet Consulting, come azienda esperta nei temi legati alla Supply Chain Security, mette a disposizione dei propri partner e dei propri clienti una soluzione in grado di quantificare in real time la probabilità di breach per ogni elemento costituente la Supply Chain, dalle applicazioni in cloud ai device fisici, dai collaboratori alle terze parti.
L’unico modo per avere successo e vincere le sfide che ci vengono poste quotidianamente dalla Supply Chain è quello di effettuare uno switch culturale, passando dal breach detection al breach prediction.
Per maggiori informazioni sui servizi di Supply Chain Security adatti alla tua azienda, invia una richiesta a sales@aditinet.it.