In un mondo sempre più connesso, proteggere la supply chain diventa fondamentale
Quante volte, guardando un film d’azione, abbiamo osservato buoni e cattivi infiltrarsi in qualche base sostituendosi a fornitori di ogni genere, dagli addetti del catering agli idraulici?
Sicuramente più di quante ne possiamo ricordare, ma se lo abbiamo visto così tante volte è per un motivo molto semplice: partner e fornitori tendono ad essere l’anello più debole della catena di un sistema di sicurezza; e la stessa cosa vale anche nell’ambito della cybersecurity.
Iperconnessione e digitalizzazione: potenziali debolezze intrinseche
Tutte le aziende oggi sono connesse, anzi iperconnesse. Dati critici vengono condivisi ogni giorno in supply chain globali di vasta portata, dove nessuna impresa risulta mai davvero distaccata e autonoma dal sistema di produzione economica complessivo. In parallelo, l’inarrestabile digitalizzazione dei processi, con la relativa estensione della superficie di contatto, ha prodotto fattori di rischio intrinseci per cui le fughe di dati possono essere causate da aggressori esterni e interni con un travolgente effetto domino.
Eppure, nonostante ciò, le aziende continuano spesso a percepire (e quindi poi a pianificare ed eseguire le azioni di prevenzione e di protezione) la sicurezza informatica allo stesso modo: qualcosa che accade all’interno dei confini delle loro quattro mura o meglio del loro sistema informativo. Il problema è che, per quanto un’azienda possieda un’eccellente organizzazione in termini di cybersecurity, non ha alcuna garanzia sugli standard di sicurezza presenti nelle terze parti.
I fornitori: l’anello più debole della catena?
Colonial Pipeline, SolarWinds e Microsoft Exchange; e altri casi ugualmente noti come Home Depot, Target, Equifax e Panama Papers: i segnali che evidenziano come la sicurezza informatica sia un problema fondamentale della supply chain non mancano. Anche i dati ci ricordano che oggi oltre il 60% dei problemi di sicurezza informatica si verificano presso domini di terze parti che lavorano nelle catene di approvvigionamento e, secondo un sondaggio condotto da Deloitte, l’85% delle stesse ha subito almeno un’interruzione delle forniture nel corso del 2020.
In altri termini, le minacce informatiche per una realtà aziendale non derivano più solamente da un attacco informatico diretto, anzi. Spesso i gateway dei fornitori sono scarsamente presidiati, vuoi per un livello inferiore di difese informatiche adottate (carenza di budget, visione limitata, bassa consapevolezza, risorse non specializzate) o per la debolezza dei comportamenti (da punto di vista del risk management), e rappresentano per gli hacker un ottimo veicolo per accedere ad asset di elevato valore attraverso ransomware mirati e strategie di phishing.
La supply chain, dunque, rappresenta un fattore di rischio che sta crescendo in frequenza, volume e dannosità coinvolgendo non solo le grandi aziende, ma anche le piccole e medie imprese, parte integrante del processo produttivo e dello sviluppo economico complessivo; e soprattutto, la difficoltà di gestione di questi pericoli è ancora più complessa, perché l’esposizione ai rischi non termina con la fine del rapporto con il fornitore il cui sistema informativo è stato compromesso.
Ma, per quanto la situazione sia complicata, una strategia di supply chain risk mitigation è possibile: adottare una “sicurezza circolare”, un approccio metodologico e funzionale al rafforzamento e alla gestione continuativa dei requisiti della sicurezza integrata che si contraddistingua per un’inclusione attiva del processo di approvvigionamento e della catena di fornitori.
Come mitigare il rischio reale della supply chain?
Come abbiamo visto, un approccio alla sicurezza informatica incentrato solo sull’azienda, che non tenga conto delle terze parti coinvolte, espone sistematicamente operazioni critiche e dati preziosi agli attacchi, aumentando effettivamente la vulnerabilità di un’organizzazione.
Garantire la continuità operativa delle filiere significa pertanto avere una visione strategica di tutto quello che può impattare sulle catene di fornitura e proprio per questo le imprese odierne non possono evitare di pensare in una logica allargata “chain to chain”.
Le stesse forniture di sicurezza (tecnologie e servizi professionali correlati) erogate dai fornitori, vanno ricomprese in un’analisi articolata e profonda da parte dell’azienda per evitare o limitare il rischio che singole componenti (ad esempio software o il firmware di device IoT) possano minare le fondamenta del sistema di sicurezza aziendale, con impatti rilevanti nella perdita di dati sensibili e/o nella reputazione, e questo aspetto si integra a due processi fondamentali che devono essere sempre realizzati: il controllo delle terze parti (Supply Chain Management) e quello di gestione degli incidenti (Incident Handling).
Vale a dire che un servizio di Supply Chain Risk Mitigation deve partire mettendo sotto monitoraggio le ragioni sociali che il cliente chiede di controllare attraverso tecniche specifiche, ma al contempo che la sola tecnologia non basta, dovendosi necessariamente affiancare ad esperti che siano in grado di interpretare le informazioni recuperate e di trasformarle in indicazioni utili e organizzate per criticità.
Cyber Intelligence e misurazione del livello di sicurezza delle proprie terze parti, partendo da analisi pubbliche (OSINT) e private (Deep & Dark Web), devono potersi connettere a un’infrastruttura che consenta di avere visibilità e capacità di intervento sugli eventi costante, 24/7, come nel caso di un SOC – Security Operation Center.
I cybercriminali sono attivi 365 giorni l’anno, senza pause; tale dev’essere anche la sicurezza.
Head of Management Consulting di Axitea