Non vuoi perderti neanche uno dei nostri post? Seguici sulla tua piattaforma preferita.
Introduzione
Nel contesto odierno, caratterizzato da una crescente interconnessione tra aziende e fornitori, la sicurezza della catena dei fornitori è diventata una componente cruciale della strategia complessiva di cybersecurity di qualsiasi organizzazione. La supply chain non è solo una rete di fornitori e subfornitori che forniscono materiali e servizi, ma è anche un bersaglio potenziale per attacchi informatici che possono avere ripercussioni devastanti su tutte le parti coinvolte.
Il Ruolo della Catena dei Fornitori nella Cybersecurity
La catena dei fornitori rappresenta una serie di anelli interconnessi, ciascuno dei quali può essere vulnerabile a intrusioni e attacchi informatici. La protezione di questi anelli è essenziale per garantire l’integrità, la riservatezza e la disponibilità delle informazioni sensibili. In un’epoca in cui le minacce informatiche sono sempre più sofisticate, le aziende devono assicurarsi che ogni parte della loro supply chain adotti misure di sicurezza adeguate.
Le Minacce alla Catena dei Fornitori
Le minacce alla supply chain possono essere numerose e variegate. Alcuni degli attacchi più comuni includono:
1. Attacchi di Phishing e Spear Phishing: Email fraudolente che inducono i dipendenti di un fornitore a divulgare informazioni sensibili.
2. Malware e Ransomware: Software dannosi che possono infiltrarsi nei sistemi di un fornitore e diffondersi a tutta la supply chain.
3. Compromissione dei Software di Terze Parti: Software e aggiornamenti provenienti da fornitori possono contenere vulnerabilità che gli hacker possono sfruttare.
4. Fornitori non Sicuri: Fornitori che non adottano adeguate misure di sicurezza rappresentano un punto di ingresso per gli attacchi.
Impatto degli Attacchi sulla Supply Chain
Gli attacchi alla supply chain possono avere impatti significativi:
– Perdita di Dati Sensibili: Informazioni critiche possono essere esposte, causando danni reputazionali e finanziari.
– Interruzione delle Operazioni: Gli attacchi possono interrompere le operazioni, causando ritardi e perdite economiche.
– Risarcimenti e Sanzioni: Le aziende possono dover affrontare sanzioni regolamentari e risarcimenti per violazione della privacy e dei dati.
Best Practices per la Sicurezza della Supply Chain
Per mitigare i rischi associati alla catena dei fornitori, le aziende devono adottare una serie di best practices:
1. Valutazione dei Rischi: Effettuare valutazioni periodiche dei rischi per identificare e mitigare le vulnerabilità.
2. Due Diligence sui Fornitori: Condurre una rigorosa due diligence sui fornitori per assicurarsi che rispettino standard di sicurezza adeguati.
3. Contratti di Sicurezza: Includere clausole di sicurezza nei contratti con i fornitori per garantire il rispetto delle normative e delle best practices.
4. Monitoraggio Continuo: Implementare sistemi di monitoraggio continuo per rilevare e rispondere tempestivamente a eventuali minacce.
5. Formazione e Sensibilizzazione: Educare i dipendenti e i partner della supply chain sull’importanza della sicurezza e sulle pratiche di sicurezza.
La Checklist per la Sicurezza della Supply Chain
Una checklist dettagliata può aiutare le aziende a garantire che tutte le misure di sicurezza necessarie siano adottate. Ecco una checklist consigliata:
Valutazione dei Rischi
1. Identificazione dei Fornitori: Identificare i fornitori che hanno accesso a dati sensibili o che forniscono servizi anche non essenziali. È importante avere una lista aggiornata di tutti i fornitori e poi da questi andare ad effettuare le valutazioni successive. Dato che la lista dei fornitori potrebbe essere molto lunga in alcuni contesti è consigliato separare i fornitori in macro aree, come ad esempio:
A – I fornitori che non trattano dati sensibili, quindi potrebbe essere un fornitore di materie prime dove i dati che possiede sono i dati aziendali di fatturazione ed i contatti del reparto che si occupa della fornitura. Questi fornitori possono essere considerati a rischio basso.
B – I fornitori che hanno accesso a dati sensibili, ma non a software o servizi dell’azienda, come un consulente del lavoro esterno o un commercialista esterno ad esempio, questo fornitore possiede dati personali dei dipendente, dei clienti e dell’azienda. Questi fornitori possono essere considerati a rischio medio.
C – I fornitori hanno accesso a servizi o terminali dell’azienda, ma non li controllano, ad esempio un fornitore che solo quando necessario utilizza anydesk per entrare in un PC per sistemare un macchinario. Questi fornitori sono da considerare a rischio medio o alto in base ai terminali a cui hanno accesso.
D – I fornitori che hanno il controllo di un qualunque servizio o terminale dell’azienda, ad esempio il fornitore della posta elettronica, chi gestisce la videosorveglianza, chi gestisce server e servizi ecc. Questi fornitori sono da considerarsi a rischio massimo in quanto una loro compromissione potrebbe compromettere l’azienda con conseguenze catastrofiche.
2. Analisi delle Minacce: In base alla categoria di appartenenza dei fornitori analizzare le minacce che potrebbero colpirli, le conseguenze e le misure di sicurezza da mettere in pratica. Abbiamo, nell’esempio precedente, suddiviso i fornitori in 4 macro aree di rischio, ovviamente la lista è solo un esempio, un’azienda può creare più macro aree, oppure fare una valutazione fornitore per fornitore: basso, medio, alto, massimo.
Alcune delle domande da porsi per ogni fornitore sono:
– Quali sono le minacce che possono colpirlo? Es. un ransomware
– Se viene colpito dalla massima minaccia, cosa rischiamo? Es. viene hackerato il fornitore di posta.
– Chi sono i dipendenti dell’azienda coinvolti? Es. viene hackerato il fornitore di pacchi per le spedizioni, chi ha contatti con questo fornitore?
Due Diligence sui Fornitori
Ora che sappiamo cosa trattano i fornitori e cosa rischiamo in un loro hackeraggio possiamo andare a controllare le loro misure di sicurezza adottate.
1. Verifica delle Certificazioni: Verificare che i fornitori siano certificati secondo standard di sicurezza riconosciuti (ISO 27001, NIST, ecc.). Non tutti i fornitori devono essere certificati, caso per caso, in base al loro rischio l’azienda stabilisce la necessità o meno, ma una certificazione secondo uno standard di sicurezza dovrebbe fare la differenza nella scelta del fornitore per quel determinato servizio.
2. Valutazione delle Politiche di Sicurezza: Esaminare le politiche di sicurezza dei fornitori per assicurarsi che siano adeguate. Chiedi a tutti i fornitori le loro politiche di sicurezza, un fornitore deve avere delle politiche di sicurezza che rispettano i requisiti minimi richiesti dall’azienda commisurato alla categoria di rischio.
3. Audit di Sicurezza: Ove possibile condurre audit di sicurezza regolari sui fornitori per verificare la conformità. L’audit può essere delegato ad un’azienda terza specializzata, oppure fatta dal reparto IT dell’azienda, non ci sono obblighi, ma è altamente consigliato effettuare un audit di sicurezza per testare che le politiche di sicurezza del fornitore siano effettivamente rispettate.
Limitazioni di accesso ai dati
L’accesso ai dati da parte del fornitore non deve essere mai illimitato, ma sempre essere commisurato al suo lavoro e soprattutto deve esserci tracce di questi accessi, come specificato anche nel GDPR.
Ad esempio:
– Un fornitore che accede da remoto al desktop solo per tarare uno strumento non deve avere accesso incondizionato alla macchina, anche se di proprietà del fornitore, ma deve essere sempre autorizzato ogni volta.
– Un amministratore di sistema esterno per entrare nel desktop di un PC, anche per fare un intervento di manutenzione deve chiedere esplicitamente l’autorizzazione all’accesso.
– Un commercialista non deve conservare, più del tempo necessario, dati dei clienti finali e provvedere ad una minimizzazione e/o pseudonimizzazione dei dati trattati.
– Non si può permettere l’accesso illimitato senza conferma se non si possiede un sistema di controllo automatico che lo impedisca quando c’è un utente davanti al sistema e che tracci tutti gli accessi e le motivazioni di accesso.
Contratti di Sicurezza
1. Inclusione di Clausole di Sicurezza: Assicurarsi che i contratti includano clausole specifiche relative alla sicurezza delle informazioni.
2. Definizione delle Responsabilità: Definire chiaramente le responsabilità in materia di sicurezza per entrambe le parti.
3. Piani di Risposta agli Incidenti: Includere nei contratti i piani di risposta agli incidenti e le procedure di comunicazione.
Monitoraggio e Gestione Continua
1. Implementazione di Strumenti di Monitoraggio: Utilizzare strumenti di monitoraggio per rilevare anomalie e attività sospette.
2. Verifica delle Patch e degli Aggiornamenti: Assicurarsi che i fornitori applichino tempestivamente le patch e gli aggiornamenti di sicurezza.
3. Revisione Periodica delle Valutazioni: Effettuare revisioni periodiche delle valutazioni dei rischi e delle politiche di sicurezza.
Formazione e Sensibilizzazione
1. Programmi di Formazione: Implementare programmi di formazione continua per i dipendenti e i fornitori sulla cybersecurity.
2. Simulazioni di Attacco: Condurre simulazioni di attacco per testare la prontezza e la reattività della supply chain.
3. Condivisione delle Best Practices: Promuovere la condivisione delle best practices tra i fornitori per migliorare la sicurezza complessiva.
Case Study
- Compromissione della Supply Chain di SolarWinds
Uno dei casi più eclatanti di compromissione della supply chain è stato l’attacco a SolarWinds nel 2020. Gli hacker sono riusciti a compromettere il software Orion di SolarWinds, utilizzato da migliaia di organizzazioni in tutto il mondo, inclusi enti governativi e grandi aziende. L’attacco ha evidenziato come una vulnerabilità in un singolo fornitore possa avere ripercussioni a catena su un’enorme quantità di utenti finali.
- UniCredit (Data Breach)
Nel 2016 e nel 2017, UniCredit ha subito due violazioni dei dati che hanno compromesso le informazioni personali di circa 400.000 clienti. Gli attacchi sono stati attribuiti a una compromissione della catena dei fornitori attraverso un partner commerciale che gestiva i dati di accesso.
L’attacco ha esposto informazioni sensibili dei clienti, incluso l’accesso non autorizzato a dati relativi a prestiti e altre informazioni finanziarie.
A seguito di questi incidenti, UniCredit è stata sanzionata dall’Autorità Garante per la Protezione dei Dati Personali. La multa è stata imposta per non aver adottato misure adeguate a proteggere i dati personali dei clienti, in conformità con le norme GDPR.
Questi attacchi hanno messo in luce la necessità di:
– Rigorose Verifiche di Sicurezza: Anche per i fornitori di software di fiducia.
– Monitoraggio Continuo: Per rilevare attività anomale il più rapidamente possibile.
– Collaborazione tra Settori: La condivisione di informazioni tra enti governativi e privati è cruciale per contrastare tali minacce.
Conclusione
La cybersecurity della supply chain è una sfida complessa ma essenziale per la sicurezza complessiva di qualsiasi organizzazione. Attraverso una combinazione di valutazione dei rischi, due diligence sui fornitori, contratti di sicurezza, monitoraggio continuo e formazione, le aziende possono mitigare significativamente i rischi associati alla supply chain. È imperativo che le organizzazioni riconoscano la supply chain non solo come un insieme di fornitori di beni e servizi, ma come un’estensione critica del loro ecosistema di sicurezza.
Implementando le best practices e utilizzando la checklist fornita, le aziende possono rafforzare la loro resilienza contro le minacce informatiche e proteggere meglio i loro dati, le loro operazioni e la loro reputazione.
Principali normative e standard per la sicurezza della supply chain
Normative Internazionali
ISO 28000:2007 – Sistema di gestione della sicurezza per la catena di fornitura: Questa norma specifica i requisiti per un sistema di gestione della sicurezza, compresi gli aspetti critici per garantire la sicurezza della catena di fornitura.
ISO 27001:2013 – Sistema di gestione della sicurezza delle informazioni: Questa norma può essere utilizzata per proteggere le informazioni lungo tutta la catena di fornitura.
TAPA FSR (Freight Security Requirements) – Requisiti di sicurezza per il trasporto merci: Questo standard è sviluppato dalla Transported Asset Protection Association (TAPA) e fornisce linee guida per la sicurezza del trasporto merci.
Normative Europee
Regolamento (UE) 2019/1020 – Sorveglianza del mercato e conformità dei prodotti: Questo regolamento stabilisce norme per garantire che i prodotti immessi sul mercato dell’UE siano sicuri e conformi ai requisiti normativi.
Regolamento (UE) 2017/625 – Controlli ufficiali lungo la catena agroalimentare: Stabilisce un quadro armonizzato per i controlli ufficiali lungo la catena agroalimentare.
Direttiva NIS (EU 2016/1148) – Direttiva sulla sicurezza delle reti e dei sistemi informativi: Questa direttiva mira a migliorare la sicurezza informatica nell’UE e comprende misure per la sicurezza della supply chain.
Normative Italiane
D.Lgs. 81/2008 – Testo Unico sulla Salute e Sicurezza sul Lavoro: Questo decreto legislativo include disposizioni sulla sicurezza nei luoghi di lavoro, applicabili anche alla sicurezza della supply chain.
D.Lgs. 231/2001 – Responsabilità amministrativa delle persone giuridiche: Include disposizioni relative alla gestione del rischio e alla conformità normativa, che possono essere applicate anche alla sicurezza della supply chain.
Standard Specifici per Settore
GMP (Good Manufacturing Practices) – Buone pratiche di fabbricazione: Questi standard sono fondamentali per la sicurezza nella supply chain del settore farmaceutico e alimentare.
C-TPAT (Customs-Trade Partnership Against Terrorism) – Partenariato doganale-commmerciale contro il terrorismo: Programma volontario di sicurezza delle supply chain sviluppato dalla U.S. Customs and Border Protection.
Altre Risorse
Framework NIST (National Institute of Standards and Technology): Fornisce un quadro per la gestione del rischio della supply chain nel contesto della sicurezza informatica.
Standard di settore specifici: Alcuni settori, come quello automobilistico (IATF 16949) o aerospaziale (AS9100), hanno standard specifici che includono requisiti per la sicurezza della supply chain.
Resta sempre aggiornato sulle ultime notizie dal mondo della Cybersecurity e della Data Protection sulle tue piattaforme preferite:
Scritto da : Antonio Esposito
L'Hacker Etico che fa tremare i Server e nessuno vuole tra i piedi, guida la sua squadra di nerds nella lotta contro i cyber-cattivi. Armato delle sue fidate IA e di codice Open Source affronta le minacce del cyberspazio con coraggio, anche quando il suo PC emette suoni misteriosi e schermate blu. Nelle ore silenziose della notte, il cyberspazio diventa il suo regno, e il sonno diventa solo un'altra variabile da ottimizzare.
Non vuoi perderti neanche uno dei nostri post? Seguici sulla tua piattaforma preferita.
Cosa troverai nell'articolo:
Ultimi articoli
Hai trovato utile questo articolo?
Condividilo sul tuo Social preferito!