{"id":2128,"date":"2024-05-27T17:42:36","date_gmt":"2024-05-27T15:42:36","guid":{"rendered":"https:\/\/clanto.it\/?p=2128"},"modified":"2024-05-30T11:00:51","modified_gmt":"2024-05-30T09:00:51","slug":"limportanza-della-catena-dei-fornitori-supply-chain","status":"publish","type":"post","link":"https:\/\/clanto.it\/consigli-cybersecurity\/limportanza-della-catena-dei-fornitori-supply-chain\/","title":{"rendered":"L’importanza della Catena dei Fornitori (Supply Chain)"},"content":{"rendered":"
Nel contesto odierno, caratterizzato da una crescente interconnessione tra aziende e fornitori, la sicurezza della catena dei fornitori \u00e8 diventata una componente cruciale della strategia complessiva di cybersecurity di qualsiasi organizzazione. La supply chain non \u00e8 solo una rete di fornitori e subfornitori che forniscono materiali e servizi, ma \u00e8 anche un bersaglio potenziale per attacchi informatici che possono avere ripercussioni devastanti su tutte le parti coinvolte.<\/p>\n
La catena dei fornitori rappresenta una serie di anelli interconnessi, ciascuno dei quali pu\u00f2 essere vulnerabile a intrusioni e attacchi informatici. La protezione di questi anelli \u00e8 essenziale per garantire l’integrit\u00e0, la riservatezza e la disponibilit\u00e0 delle informazioni sensibili. In un’epoca in cui le minacce informatiche sono sempre pi\u00f9 sofisticate, le aziende devono assicurarsi che ogni parte della loro supply chain adotti misure di sicurezza adeguate.<\/p>\n
Le minacce alla supply chain possono essere numerose e variegate. Alcuni degli attacchi pi\u00f9 comuni includono:<\/p>\n
1. Attacchi di Phishing e Spear Phishing<\/strong>: Email fraudolente che inducono i dipendenti di un fornitore a divulgare informazioni sensibili.<\/p>\n 2. Malware e Ransomware<\/strong>: Software dannosi che possono infiltrarsi nei sistemi di un fornitore e diffondersi a tutta la supply chain.<\/p>\n 3. Compromissione dei Software di Terze Parti<\/strong>: Software e aggiornamenti provenienti da fornitori possono contenere vulnerabilit\u00e0 che gli hacker possono sfruttare.<\/p>\n 4. Fornitori non Sicuri<\/strong>: Fornitori che non adottano adeguate misure di sicurezza rappresentano un punto di ingresso per gli attacchi.<\/p>\n Gli attacchi alla supply chain possono avere impatti significativi:<\/p>\n – Perdita di Dati Sensibili<\/strong>: Informazioni critiche possono essere esposte, causando danni reputazionali e finanziari.<\/p>\n – Interruzione delle Operazioni<\/strong>: Gli attacchi possono interrompere le operazioni, causando ritardi e perdite economiche.<\/p>\n – Risarcimenti e Sanzioni<\/strong>: Le aziende possono dover affrontare sanzioni regolamentari e risarcimenti per violazione della privacy e dei dati.<\/p>\n Per mitigare i rischi associati alla catena dei fornitori, le aziende devono adottare una serie di best practices:<\/p>\n 1. Valutazione dei Rischi<\/strong>: Effettuare valutazioni periodiche dei rischi per identificare e mitigare le vulnerabilit\u00e0.<\/p>\n 2. Due Diligence sui Fornitori<\/strong>: Condurre una rigorosa due diligence sui fornitori per assicurarsi che rispettino standard di sicurezza adeguati.<\/p>\n 3. Contratti di Sicurezza<\/strong>: Includere clausole di sicurezza nei contratti con i fornitori per garantire il rispetto delle normative e delle best practices.<\/p>\n 4. Monitoraggio Continuo<\/strong>: Implementare sistemi di monitoraggio continuo per rilevare e rispondere tempestivamente a eventuali minacce.<\/p>\n 5. Formazione e Sensibilizzazione<\/strong>: Educare i dipendenti e i partner della supply chain sull’importanza della sicurezza e sulle pratiche di sicurezza.<\/p>\n Una checklist dettagliata pu\u00f2 aiutare le aziende a garantire che tutte le misure di sicurezza necessarie siano adottate. Ecco una checklist consigliata:<\/p>\n 1. Identificazione dei Fornitori<\/strong>: Identificare i fornitori che hanno accesso a dati sensibili o che forniscono servizi anche non essenziali. \u00c8 importante avere una lista aggiornata di tutti i fornitori e poi da questi andare ad effettuare le valutazioni successive. Dato che la lista dei fornitori potrebbe essere molto lunga in alcuni contesti \u00e8 consigliato separare i fornitori in macro aree, come ad esempio:<\/p>\n A – I fornitori che non trattano dati sensibili<\/strong>, quindi potrebbe essere un fornitore di materie prime dove i dati che possiede sono i dati aziendali di fatturazione ed i contatti del reparto che si occupa della fornitura. Questi fornitori possono essere considerati a rischio basso.<\/p>\n B – I fornitori che hanno accesso a dati sensibili<\/strong>, ma non a software o servizi dell’azienda, come un consulente del lavoro esterno o un commercialista esterno ad esempio, questo fornitore possiede dati personali dei dipendente, dei clienti e dell’azienda. Questi fornitori possono essere considerati a rischio medio.<\/p>\n C – I fornitori hanno accesso a servizi o terminali dell’azienda<\/strong>, ma non li controllano, ad esempio un fornitore che solo quando necessario utilizza anydesk per entrare in un PC per sistemare un macchinario. Questi fornitori sono da considerare a rischio medio o alto in base ai terminali a cui hanno accesso.<\/p>\n D – I fornitori che hanno il controllo di un qualunque servizio o terminale dell’azienda<\/strong>, ad esempio il fornitore della posta elettronica, chi gestisce la videosorveglianza, chi gestisce server e servizi ecc. Questi fornitori sono da considerarsi a rischio massimo in quanto una loro compromissione potrebbe compromettere l’azienda con conseguenze catastrofiche.<\/p>\n 2. Analisi delle Minacce<\/strong>: In base alla categoria di appartenenza dei fornitori analizzare le minacce che potrebbero colpirli, le conseguenze e le misure di sicurezza da mettere in pratica. Abbiamo, nell’esempio precedente, suddiviso i fornitori in 4 macro aree di rischio, ovviamente la lista \u00e8 solo un esempio, un’azienda pu\u00f2 creare pi\u00f9 macro aree, oppure fare una valutazione fornitore per fornitore: basso, medio, alto, massimo.<\/p>\n Alcune delle domande da porsi per ogni fornitore sono:<\/p>\n – Quali sono le minacce che possono colpirlo? Es. un ransomware<\/p>\n – Se viene colpito dalla massima minaccia, cosa rischiamo? Es. viene hackerato il fornitore di posta.<\/p>\n – Chi sono i dipendenti dell’azienda coinvolti? Es. viene hackerato il fornitore di pacchi per le spedizioni, chi ha contatti con questo fornitore?<\/p>\n Ora che sappiamo cosa trattano i fornitori e cosa rischiamo in un loro hackeraggio possiamo andare a controllare le loro misure di sicurezza adottate.<\/p>\n 1. Verifica delle Certificazioni<\/strong>: Verificare che i fornitori siano certificati secondo standard di sicurezza riconosciuti (ISO 27001, NIST, ecc.). Non tutti i fornitori devono essere certificati, caso per caso, in base al loro rischio l’azienda stabilisce la necessit\u00e0 o meno, ma una certificazione secondo uno standard di sicurezza dovrebbe fare la differenza nella scelta del fornitore per quel determinato servizio.<\/p>\n 2. Valutazione delle Politiche di Sicurezza<\/strong>: Esaminare le politiche di sicurezza dei fornitori per assicurarsi che siano adeguate. Chiedi a tutti i fornitori le loro politiche di sicurezza, un fornitore deve avere delle politiche di sicurezza che rispettano i requisiti minimi richiesti dall’azienda commisurato alla categoria di rischio.<\/p>\n 3. Audit di Sicurezza<\/strong>: Ove possibile condurre audit di sicurezza regolari sui fornitori per verificare la conformit\u00e0. L’audit pu\u00f2 essere delegato ad un’azienda terza specializzata, oppure fatta dal reparto IT dell’azienda, non ci sono obblighi, ma \u00e8 altamente consigliato effettuare un audit di sicurezza per testare che le politiche di sicurezza del fornitore siano effettivamente rispettate.<\/p>\n L’accesso ai dati da parte del fornitore non deve essere mai illimitato, ma sempre essere commisurato al suo lavoro e soprattutto deve esserci tracce di questi accessi, come specificato anche nel GDPR.<\/p>\n Ad esempio:<\/p>\n – Un fornitore che accede da remoto al desktop solo per tarare uno strumento non deve avere accesso incondizionato alla macchina, anche se di propriet\u00e0 del fornitore, ma deve essere sempre autorizzato ogni volta.<\/p>\n – Un amministratore di sistema esterno per entrare nel desktop di un PC, anche per fare un intervento di manutenzione deve chiedere esplicitamente l’autorizzazione all’accesso.<\/p>\n – Un commercialista non deve conservare, pi\u00f9 del tempo necessario, dati dei clienti finali e provvedere ad una minimizzazione e\/o pseudonimizzazione dei dati trattati.<\/p>\n – Non si pu\u00f2 permettere l’accesso illimitato senza conferma se non si possiede un sistema di controllo automatico che lo impedisca quando c’\u00e8 un utente davanti al sistema e che tracci tutti gli accessi e le motivazioni di accesso.<\/p>\n 1. Inclusione di Clausole di Sicurezza<\/strong>: Assicurarsi che i contratti includano clausole specifiche relative alla sicurezza delle informazioni.<\/p>\n 2. Definizione delle Responsabilit\u00e0<\/strong>: Definire chiaramente le responsabilit\u00e0 in materia di sicurezza per entrambe le parti.<\/p>\n 3. Piani di Risposta agli Incidenti<\/strong>: Includere nei contratti i piani di risposta agli incidenti e le procedure di comunicazione.<\/p>\n 1. Implementazione di Strumenti di Monitoraggio<\/strong>: Utilizzare strumenti di monitoraggio per rilevare anomalie e attivit\u00e0 sospette.<\/p>\n 2. Verifica delle Patch e degli Aggiornamenti<\/strong>: Assicurarsi che i fornitori applichino tempestivamente le patch e gli aggiornamenti di sicurezza.<\/p>\n 3. Revisione Periodica delle Valutazioni<\/strong>: Effettuare revisioni periodiche delle valutazioni dei rischi e delle politiche di sicurezza.<\/p>\n 1. Programmi di Formazione<\/strong>: Implementare programmi di formazione continua per i dipendenti e i fornitori sulla cybersecurity.<\/p>\n 2. Simulazioni di Attacco<\/strong>: Condurre simulazioni di attacco per testare la prontezza e la reattivit\u00e0 della supply chain.<\/p>\n 3. Condivisione delle Best Practices<\/strong>: Promuovere la condivisione delle best practices tra i fornitori per migliorare la sicurezza complessiva.<\/p>\n Uno dei casi pi\u00f9 eclatanti di compromissione della supply chain \u00e8 stato l’attacco a SolarWinds nel 2020. Gli hacker sono riusciti a compromettere il software Orion di SolarWinds, utilizzato da migliaia di organizzazioni in tutto il mondo, inclusi enti governativi e grandi aziende. L’attacco ha evidenziato come una vulnerabilit\u00e0 in un singolo fornitore possa avere ripercussioni a catena su un’enorme quantit\u00e0 di utenti finali.<\/p>\n Nel 2016 e nel 2017, UniCredit ha subito due violazioni dei dati che hanno compromesso le informazioni personali di circa 400.000 clienti. Gli attacchi sono stati attribuiti a una compromissione della catena dei fornitori attraverso un partner commerciale che gestiva i dati di accesso. Questi attacchi hanno messo in luce la necessit\u00e0 di:<\/p>\n – Rigorose Verifiche di Sicurezza<\/strong>: Anche per i fornitori di software di fiducia.<\/p>\n – Monitoraggio Continuo<\/strong>: Per rilevare attivit\u00e0 anomale il pi\u00f9 rapidamente possibile.<\/p>\n – Collaborazione tra Settori<\/strong>: La condivisione di informazioni tra enti governativi e privati \u00e8 cruciale per contrastare tali minacce.<\/p>\n La cybersecurity della supply chain \u00e8 una sfida complessa ma essenziale per la sicurezza complessiva di qualsiasi organizzazione. Attraverso una combinazione di valutazione dei rischi, due diligence sui fornitori, contratti di sicurezza, monitoraggio continuo e formazione, le aziende possono mitigare significativamente i rischi associati alla supply chain. \u00c8 imperativo che le organizzazioni riconoscano la supply chain non solo come un insieme di fornitori di beni e servizi, ma come un’estensione critica del loro ecosistema di sicurezza.<\/p>\n Implementando le best practices e utilizzando la checklist fornita, le aziende possono rafforzare la loro resilienza contro le minacce informatiche e proteggere meglio i loro dati, le loro operazioni e la loro reputazione.<\/p>\n ISO 28000:2007 – Sistema di gestione della sicurezza per la catena di fornitura: Questa norma specifica i requisiti per un sistema di gestione della sicurezza, compresi gli aspetti critici per garantire la sicurezza della catena di fornitura.<\/p>\n ISO 27001:2013 – Sistema di gestione della sicurezza delle informazioni: Questa norma pu\u00f2 essere utilizzata per proteggere le informazioni lungo tutta la catena di fornitura.<\/p>\n TAPA FSR (Freight Security Requirements) – Requisiti di sicurezza per il trasporto merci: Questo standard \u00e8 sviluppato dalla Transported Asset Protection Association (TAPA) e fornisce linee guida per la sicurezza del trasporto merci.<\/p>\n Regolamento (UE) 2019\/1020 – Sorveglianza del mercato e conformit\u00e0 dei prodotti: Questo regolamento stabilisce norme per garantire che i prodotti immessi sul mercato dell’UE siano sicuri e conformi ai requisiti normativi.<\/p>\n Regolamento (UE) 2017\/625 – Controlli ufficiali lungo la catena agroalimentare: Stabilisce un quadro armonizzato per i controlli ufficiali lungo la catena agroalimentare.<\/p>\n Direttiva NIS (EU 2016\/1148) – Direttiva sulla sicurezza delle reti e dei sistemi informativi: Questa direttiva mira a migliorare la sicurezza informatica nell’UE e comprende misure per la sicurezza della supply chain.<\/p>\n D.Lgs. 81\/2008 – Testo Unico sulla Salute e Sicurezza sul Lavoro: Questo decreto legislativo include disposizioni sulla sicurezza nei luoghi di lavoro, applicabili anche alla sicurezza della supply chain.<\/p>\n D.Lgs. 231\/2001 – Responsabilit\u00e0 amministrativa delle persone giuridiche: Include disposizioni relative alla gestione del rischio e alla conformit\u00e0 normativa, che possono essere applicate anche alla sicurezza della supply chain.<\/p>\n GMP (Good Manufacturing Practices) – Buone pratiche di fabbricazione: Questi standard sono fondamentali per la sicurezza nella supply chain del settore farmaceutico e alimentare.<\/p>\n C-TPAT (Customs-Trade Partnership Against Terrorism) – Partenariato doganale-commmerciale contro il terrorismo: Programma volontario di sicurezza delle supply chain sviluppato dalla U.S. Customs and Border Protection.<\/p>\n Framework NIST (National Institute of Standards and Technology): Fornisce un quadro per la gestione del rischio della supply chain nel contesto della sicurezza informatica.<\/p>\n Standard di settore specifici: Alcuni settori, come quello automobilistico (IATF 16949) o aerospaziale (AS9100), hanno standard specifici che includono requisiti per la sicurezza della supply chain.<\/p>\n","protected":false},"excerpt":{"rendered":" \ud83d\udd17 La #SupplyChain \u00e8 pi\u00f9 di una catena di #fornitori: \u00e8 un potenziale bersaglio per attacchi informatici devastanti. Scopri come proteggere ogni anello e garantire la sicurezza delle informazioni sensibili. \ud83d\udd17<\/p>\n","protected":false},"author":4,"featured_media":2135,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[20],"tags":[31,81,80,82,79],"class_list":["post-2128","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-consigli-cybersecurity","tag-cybersecurity","tag-malware","tag-phishing","tag-ransomware","tag-supply-chain"],"yoast_head":"\nImpatto degli Attacchi sulla Supply Chain<\/h2>\n
Best Practices per la Sicurezza della Supply Chain<\/h2>\n
La Checklist per la Sicurezza della Supply Chain<\/h2>\n
Valutazione dei Rischi<\/h3>\n
Due Diligence sui Fornitori<\/h3>\n
Limitazioni di accesso ai dati<\/h3>\n
Contratti di Sicurezza<\/h2>\n
Monitoraggio e Gestione Continua<\/h2>\n
Formazione e Sensibilizzazione<\/h3>\n
Case Study<\/h2>\n
\n
\n
\nL’attacco ha esposto informazioni sensibili dei clienti, incluso l’accesso non autorizzato a dati relativi a prestiti e altre informazioni finanziarie.
\nA seguito di questi incidenti, UniCredit \u00e8 stata sanzionata dall’Autorit\u00e0 Garante per la Protezione dei Dati Personali. La multa \u00e8 stata imposta per non aver adottato misure adeguate a proteggere i dati personali dei clienti, in conformit\u00e0 con le norme GDPR.<\/p>\nConclusione<\/h2>\n
Principali normative e standard per la sicurezza della supply chain<\/h2>\n
Normative Internazionali<\/h3>\n
Normative Europee<\/h3>\n
Normative Italiane<\/h3>\n
Standard Specifici per Settore<\/h3>\n
Altre Risorse<\/h3>\n