Articles

Sicurezza e fornitori: qual è l'anello debole della tua difesa?

Sicurezza e fornitori: qual è l'anello debole della tua difesa?

19 May 2022

Quando sei titolare di un'azienda, piccola o grande che sia, è importante predisporre una sicurezza informatica a tutto tondo.
Ciò significa non solo installare dei sistemi di protezione efficaci all'interno dei tuoi dispositivi e della tua rete, ma risulta altrettanto fondamentale accertarsi che siano protetti anche fornitori e chiunque entri in contatto con te, così da non avere alcun anello debole nella catena della tua difesa informatica.
Diventa dunque fondamentale garantire la sicurezza di terze parti per evitare di esporre la propria organizzazione a pericolosi rischi e vulnerabilità.
Ormai, infatti, la sicurezza di una società dipende sempre più non solo da se stessa, ma anche e soprattutto dai suoi fornitori, per cui diventa fondamentale controllare che questi non rappresentino l’”anello debole” della catena.


Security e supply chain: due asset legati a doppio filo

Sebbene si tratti di concetti ben distinti, la cyber security e la supply chain rappresentano due elementi chiave per garantire adeguati livelli di sicurezza informatica aziendale.

Al giorno d’oggi nessuna azienda è in grado di produrre il proprio bene o servizio per il cliente finale in completa autonomia. È praticamente obbligatorio far sempre affidamento sui servizi o prodotti intermedi di altre aziende, fornitori, partner o distributori che svolgono alcune attività della catena del valore aziendale. Questa interconnessione, qualche anno fa era maggiormente legata alla filiera logistica e prettamente più fisica, ma dagli anni 2000 non è più così. La maggior parte delle informazioni transita per via digitale e le aziende per efficientare i processi, ridurre i tempi di consegna e migliorare la qualità sono sempre più interconnesse e digitali e gli accessi ai propri sistemi e processi sono sempre di più concessi anche a terze parti che lavorano a stretto contatto con il personale aziendale.

È proprio sul triangolo formato da processi, tecnologie e persone che si innesta la cyber security, ossia la tutela dell'integrità, della disponibilità e della riservatezza di tutte le informazioni presenti all'interno dello spazio informatico.

Alla cyber security è inoltre strettamente collegata la cyber safety, poiché capace di proteggere il sistema aziendale da attacchi hacker che potrebbero arrecare danni reputazionali, ma anche materiali, soprattutto in contesti industriali sempre maggiormente connessi e automatizzati.


Composizione della supply chain

La sicurezza informatica della supply chain, al fine di essere tutelata al 100%, deve prevedere la protezione di tutti gli elementi della infrastruttura, tra cui:

  • data center sotto forma di cloud oppure in house, grazie al quale avviene l'erogazione di office automation e sistemi di ERP;
  • tutti gli altri cyber spazi interconnessi con l'azienda stessa: basti pensare ai dati scambiati con i terzi, agli ambienti domestici di smart working o applicativi utilizzati dall’azienda ma forniti da aziende esterne.

Ognuno di questi componenti, se sviluppato, gestito e manutenuto grazie a partner, fornitori o terze parti, può rappresentare il veicolo oppure il target intermedio di un attacco hacker alla catena di fornitura, la quale dovrà pertanto essere in possesso di adeguati livelli di sicurezza progettati con una panoramica complessiva e regolati secondo un approccio end-to-end.

Come gestire la sicurezza della supply chain

La sicurezza della supply chain protegge un'organizzazione dal rischio associato a fornitori di terze parti e la sua importanza continua a crescere in tutti i settori.
Le aziende, però, tendono a concentrarsi poco sulle pratiche di sicurezza presso i propri fornitori e dedicano loro poca attenzione, esponendo in questo modo le proprie informazioni sensibili ad attacchi informatici sempre più frequenti. Infatti,
secondo uno studio del Ponemon Institute, nel 2020 gli attacchi verso terze parti rappresentavano il 42% di tutti i casi di violazione dei dati.
Nonostante le solide pratiche di sicurezza, nessuna azienda è immune da protocolli insicuri, in quanto molte terze parti utilizzano altre terze parti stesse, lasciando le organizzazioni con uno scarso controllo sui loro protocolli di sicurezza delle informazioni.
Rendere più efficiente e sicura la supply chain, ovvero la catena di fornitura, dunque, non può fare altro che apportare vantaggi notevoli.
Per implementare misure di sicurezza adeguate, è indispensabile prima di tutto accertarsi che i fornitori stessi abbiano dei protocolli sicuri e che il loro sistema non sia già stato compromesso dagli hacker.
È altrettanto importante cercare di mappare tutte le possibili relazioni attraverso cui passano i dati dell’azienda.
Molto spesso, infatti, i criminali informatici prendono di mira le organizzazioni più grandi attraverso i loro fornitori di terze, quarte ed ennesima parte, quindi bisogna essere consapevoli di tutte le potenziali vulnerabilità e accertarsi che tutte le relazioni nella catena di approvvigionamento siano sotto controllo e lontane dai rischi.
Anche utilizzare delle connessioni sicure, così come servirsi di security assessment indipendenti delle terze parti, sono degli accorgimenti che possono scongiurare molti pericoli, tra cui ingenti danni economici e perdite di dati, con conseguente innalzamento del livello di sicurezza generale.
Infine, è buona prassi inserire nei contratti di fornitura apposite clausole di sicurezza a propria protezione così come richiedere ai fornitori più critici di dotarsi di una polizza assicurativa contro gli attacchi informatici.

Il caso SolarWinds

Tra la fine del 2020 e i primi mesi del 2021, si è verificata una delle operazioni di cyber-spionaggio più complesse mai realizzate.
In particolare, si è trattato di un supply chain attack, ovvero un’infiltrazione nella rete attraverso l’attacco di un fornitore legato al bersaglio stesso.
In questo caso, il bersaglio era FireEye, una società specializzata nella sicurezza delle reti informatiche.
L’attacco ha preso la forma di un aggiornamento malevolo del software Orion, il quale viene commercializzato dall’azienda SolarWinds.
La rete di SolarWinds è stata dunque attaccata da questo malware, denominato Sunburst, tramite la firma dei pacchetti di aggiornamento contenenti il virus.
Tra gli utilizzatori di Orion spiccavano diversi dipartimenti del governo statunitense (Dipartimento di Stato statunitense, Dipartimento of Homeland Security, il Dipartimento del Tesoro) e anche grandi corporation (Fireeye, Microsoft, Crowdstrike), molte delle quali sono state compromesse.
È proprio questo che ha reso tale operazione così eclatante: si pensa che l’obiettivo principale fosse l’ottenimento di informazioni sulle strategie diplomatiche e di difesa degli Stati Uniti d’America.
Il caso SolarWinds ha segnato perciò la fine di un’epoca contrassegnata dal dominio incontrastato degli Stati Uniti nel settore della cybersecurity ed è la prova lampante che non esiste alcuna organizzazione al sicuro dal rischio di compromissione.
Ancora una volta si concretizza la forte asimmetria tra attacco e difesa che contraddistingue da sempre la cybersecurity.

Francesco Nonni @ F3RM1 Foundation


-Torna agli Articoli