continuità operativa

Supply Chain e Cyber Resilience: strategie e tecniche per proteggere in modo efficace le catene di fornitura  

La tecnologia ha permesso alle filiere di evolvere e modernizzarsi. Allo stesso tempo, però, sono aumentate le vulnerabilità e le minacce alla sicurezza. Per questo è importante che le aziende le sappiano riconoscere e siano in grado di affrontarle adottando un approccio di Risk Management evoluto e soprattutto collaborativo

Pubblicato il 28 Mar 2023

Federica Maria Rita Livelli

Cybersecurity Supply Chain

Le reti di Supply Chain sono state guidate dalla tecnologia nel corso degli anni e si sono evolute, diventando più veloci ed efficaci. Tuttavia, la stessa tecnologia è diventata una fonte di minacce che può compromettere la cybersecurity delle Supply Chain.  Di fatto, le filiere presentano vulnerabilità nei punti di contatto con produttori, fornitori e altri fornitori di servizi.

Con minacce dietro ogni angolo, è fondamentale che le aziende coinvolte nella catena di fornitura comprendano i rischi e sappiano come affrontarli. Basti considerare che gli attacchi alle Supply Chain sono aumentati del 742% negli ultimi tre anni.

Supply Chain e rischi cyber

La sicurezza della catena di fornitura dovrebbe essere una priorità assoluta per le organizzazioni, poiché una violazione all’interno del sistema potrebbe danneggiare o interrompere le operazioni oltre che portare a costi inutili, programmi di consegna inefficienti e perdita di proprietà intellettuale. Inoltre, la consegna di prodotti che sono stati manomessi o non autorizzati potrebbe essere dannosa per i clienti e portare ad azioni legali indesiderate.

Una strategia completa per la sicurezza della Supply Chain richiede di seguire in profondità i principi di gestione del rischio, della continuità e della difesa informatica. In particolare, le minacce informatiche sono in prima linea si riferiscono a:

  • Vulnerabilità nei sistemi IT  e software
  • Attacchi di malware e ransomware
  • Accesso ERP non autorizzato
  • Backdoor iniettate involontariamente o maliziosamente nel software acquistato, Open Source o proprietario utilizzato dalle organizzazioni

Ne consegue che è quanto mai necessaria una stretta collaborazione tra aziende, fornitori e rivenditori, dato che ci troviamo di fronte ad un insieme di reti di computer che possono intrecciarsi e che condividono dati sensibili.

Conoscere l‘approccio dell’organizzazione sulla gestione dei rischi cyber

È necessario comprendere l’importanza della cybersecurity della filiera, ovvero conoscere cosa deve essere protetto e perché e, di conseguenza, stabilire un controllo significativo sulla propria catena di fornitura.

Una volta compreso questo, diventa molto più facile – avendo anche definito la propensione al rischio – ottenere il consenso per gli investimenti. Si tratta, quindi, di avere una migliore comprensione di:

  • Minacce alla propria Supply Chain, in base alla natura del rapporto che si ha con i fornitori (e agli accessi che hanno ai sistemi e servizi).
  • Propensione al rischio
  • Processi esistenti all’interno dell’organizzazione

Come valutare la cybersecurity della Supply Chain

Una volta determinati gli aspetti critici dell’organizzazione che si deve proteggere maggiormente, è necessario creare un approccio strutturato per valutare la cybersecurity dei fornitori. In concreto, questo comporta diversi aspetti.

Dare priorità ai “gioielli della corona” dell’organizzazione 

Determinare gli aspetti critici della organizzazione che si deve proteggere maggiormente, prendendo in considerazione potenziali minacce, vulnerabilità, impatto e propensione al rischio della propria organizzazione.

Creare un set di profili di sicurezza 

L’organizzazione, partendo dall’identificazione dei “gioielli della corona”, deve creare una serie di profili di sicurezza dei fornitori a più livelli.

Determinare il profilo di protezione per ogni fornitore

È possibile utilizzare una serie di domande per valutare ciascun fornitore e determinare quale dei profili di protezione deve essere assegnato.

Definire i requisiti minimi di sicurezza informatica per ciascun profilo di sicurezza che ogni fornitore deve rispettare.

Delineare i requisiti necessari – con livelli crescenti all’aumentare del livello di rischio – assicurandosi che siano proporzionati al rischio posto.

Decidere come valutare i fornitori

Una combinazione di tecniche dovrebbe essere presa in considerazione, per consentire la valutazione strutturata dei fornitori che può includere sondaggi basati su domande, interviste, visite in loco o valutazione/certificazione indipendente.

Pianificare la non conformità

I fornitori potrebbero non sempre soddisfare pienamente i requisiti dell’utente. Tuttavia, sarebbe auspicabile stabilire comunque accordi, mentre correggono eventuali carenze, programmando controlli per effettuare valutazioni nel tempo e garantire un quadro accurato e aggiornato del grado di conformità.

Creare clausole contrattuali

Creare un set standard di clausole da includere nei contratti in modo tale che i fornitori confermino di essere in grado di: garantire la continuità aziendale, possedere un piano di Disaster Recovery, essere conforme alle normative vigenti anche in termini di gestione della privacy e salvaguardia dei dati ecc.

Si tratta di implementare pratiche di sicurezza durante tutto il ciclo di vita contrattuale dei vecchi e dei nuovi fornitori, dall’approvvigionamento e dalla selezione dei fornitori fino alla chiusura del contratto.

Coinvolgere i team di Procurement e Supply Chain

Inoltre, appare fondamentale educare i team di Procurement & Supply Chain che saranno coinvolti nella valutazione dei fornitori in modo tale che:

  • Siano consapevoli delle minacce poste dalla cybersecurity dei fornitori
  • Comprendano il loro ruolo nella riduzione del rischio e del processo di selezione, gestione e mantenimento dei fornitori

Ovvero, si tratta di incorporare  i controlli di cybersecurity per tutta la durata del contratto:

  • Se è stata presa la decisione di esternalizzare a un fornitore esterno, bisogna determinare se è necessaria una valutazione del rischio di cybersecurity e a quale livello, in base ai criteri di rischio impostati.
  • Durante la selezione dei fornitori, è necessario condurre la Due Diligence, valutare la capacità di ciascun fornitore di soddisfare i controlli di sicurezza informatica e assicurarsi che questo faccia parte del processo decisionale per la selezione.
  • Quando si assegna un contratto, bisogna inserire la clausola di rispetto dei necessari controlli nel contratto con il fornitore e concordarlo con il fornitore.
  • Durante il contratto con il fornitore, si deve garantire che le disposizioni di sicurezza del fornitore siano efficaci e soddisfino le aspettative, gli incidenti siano gestiti in modo appropriato e vi sia una consapevolezza aggiornata delle minacce e delle vulnerabilità in evoluzione.
  • Al termine di un contratto, è importante assicurarsi di riprendere il controllo delle risorse e chiudere qualsiasi accesso non autorizzato o non intenzionale alle informazioni e ai sistemi.

Monitoraggio continuativo

È fondamentale monitorare le prestazioni di sicurezza dei fornitori nel tempo, in quanto una valutazione una tantum non sarà sufficiente a garantire il rispetto degli standard di cybersecurity, perché questo aiuterà a identificare le eventuali carenze e a lavorare con i fornitori per affrontarle (prima che vengano sfruttate e diventino un problema).

Si tratta di mettere in atto una governance per garantire che le pratiche di cybersecurity – che sono state introdotte – rimangano pertinenti e, in ultima analisi, soddisfino l’obiettivo di contribuire a proteggere la Supply Chain.

Le azioni strategiche per garantire la sicurezza della Supply Chain

In definitiva, lavorare alla miglior resilienza della filiera significa assicurare il presidio di diversi aspetti:

  • La valutazione del rischio e la definizione delle priorità dei contratti, con particolare attenzione alle funzioni aziendali critiche e alle aree ad alto rischio informatico. Si tratta di condurre una valutazione di tali contratti in ordine di priorità fino a quando non si è sicuri che il contingente principale di fornitori sia stato valutato.
  • Una maggiore consapevolezza delle minacce della Supply Chain da parte del personale.
  • Pratiche di cybersecurity integrate in tutto il processo di acquisizione, supportate da un team multidisciplinare di professionisti addestrati in termini di cybersecurity.
  • Una regolare valutazione delle prestazioni vs. le metriche definite. I contratti esistenti dovranno essere rivisti al momento del rinnovo o prima – se si tratta di fornitori critici – secondo quest’approccio, in modo tale da garantire la cybersecurity e resilience della Supply Chain.

Riguardo quest’ultimo punto, sarà importante lavorare in particolar modo lungo queste tre dimensioni critiche:

  • La consapevolezza delle minacce in evoluzione e un aggiornamento delle pratiche di cybersecurity, ovvero: una volta completata la garanzia iniziale della Supply Chain, è importante riconoscere che il panorama delle minacce e l’approvvigionamento sono in continua evoluzione. Si tratta di mantenere la consapevolezza delle minacce emergenti e utilizzare le conoscenze acquisite per aggiornare di conseguenza l’approccio di protezione della filiera.
  • Un supporto ai fornitori che dimostrano carenze di cybersecurity, definendo le azioni necessarie e le tempistiche per risolvere tali carenze e, al contempo, mantenere una continua sinergia e verifica a fronte dell’evolversi degli scenari di minaccia.
  • La revisione delle clausole contrattuali dato che, se il contratto con il fornitore non contiene una programmazione di valutazioni di postura di cybersecurity durante la durata del contratto, o non prevede di comprendere la posizione di sicurezza informatica dei subappaltator), è necessario capire cosa può essere ottenuto sulla base dei “migliori sforzi” fino a quando ciò non può essere definito come contrattualmente vincolante.

I principali rischi per la sicurezza della catena Supply Chain nel 2023

Tutte le tipologie di attacchi alla catena di fornitura sono destinate ad aumentare nel 2023 e negli anni a venire. In particolare, sono in molti a profetizzare un incremento della diffusione delle tecniche di island hopping che mirano a “dirottare” l’infrastruttura di un’organizzazione per attaccare i suoi clienti attraverso il protocollo desktop remoto che viene regolarmente utilizzato dagli hacker durante una “campagna da un’isola all’altra” per camuffarsi da amministratori di sistema.

Inoltre, si ritiene che gli attacchi alla Supply Chain prenderanno sempre di più di mira le organizzazioni più piccole, perché è meno probabile che dispongano di una solida configurazione di cybersecurity, per arrivare al “pesce più grande”. Pertanto, nel corso del 2023, la salvaguardia della filiera comporterà l’acquisizione della capacità di essere in grado di gestire:

  • La cybersecurity debole da parte del fornitore di terze parti. Fornitori e subfornitori spesso introducono significativi rischi per la sicurezza dei dati nell’organizzazione. Ciò è dovuto a pratiche di sicurezza inadeguate derivanti da una strategia di sicurezza debole.
  • Rischi digitali. I rischi digitali sono l’inevitabile sottoprodotto della trasformazione digitale: più soluzioni digitali aggiungi al tuo ecosistema, più potenziali gateway di rete hanno i criminali informatici. Queste esposizioni potrebbero essere causate da vulnerabilità del software , come exploit zero-day o errori di configurazione trascurati.

Perché è fondamentale una strategia di Risk Management

Se non affrontati, i rischi digitali potrebbero trasformarsi in altrettanti minacce di infezioni da malware, attacchi ransomware, violazioni della sicurezza, interruzioni di processo, furto di proprietà intellettuale, mancato rispetto degli standard di sicurezza normativi (particolarmente dannosi per il settore sanitario).

Frode del fornitore

La frode del fornitore si verifica quando un criminale informatico – che afferma di essere un noto rivenditore – richiede una modifica ai propri processi di pagamento. Questi eventi sono difficili da identificare poiché i truffatori adottano comunemente tecniche avanzate di ingegneria sociale, inclusi messaggi vocali generati dall’intelligenza artificiale, attacchi di phishing e registrazioni video deepfake.

Gli eventi di frode che incidono sulla sicurezza della Supply Chain globale non si limitano alla categoria dei fornitori. Un numero crescente di eventi di violazione dei dati è causato da fornitori di terze parti che sono vittime di varie tattiche di frode e ingegneria sociale.

Protezione dati

L’integrità dei dati in tutta la catena della fornitura è un’area di notevole preoccupazione per la sicurezza. Le misure di protezione dovrebbero garantire la tutela dei dati (inclusi quelli inattivi e in movimento). Le pratiche di cifratura sono particolarmente importanti tra le integrazioni di terze parti, perché gli hacker sanno che il fornitore di un obiettivo ha probabilmente accesso ai suoi dati sensibili.

Ne consegue che diventa strategico assicurare:

  • Crittografia dei dati – le pratiche di cifratura dovrebbero essere applicate a tutte le tipologie di record, in particolare all’interfaccia delle integrazioni di terze parti.
  • Monitoraggio della superficie di attacco – una soluzione di monitoraggio della superficie di attacco identificherà i rischi per la sicurezza di terze parti.
  • Pianificazione della risposta agli incidenti – in caso di attacco alla catena di approvvigionamento, è necessario attivare risposte pianificate e coordinate, dal momento che un piano di risposta agli incidenti ben congegnato dovrebbe aiutare il tuo team di sicurezza a prepararsi per ogni scenario di attacco alla Supply Chain con un impatto minimo sulla continuità aziendale.
  • Test di penetrazione – sviluppare il muscolo di resilienza dei piani di risposta agli incidenti con test di penetrazione, considerando anche che il pentest potrebbe scoprire minacce avanzate trascurate dai sistemi di sicurezza.

Prevenire, predire e proteggere proattivamente

Anche per la Supply Chain dobbiamo strutturarci in tempo di pace per reagire in tempo di guerra, così da prepararci all’imprevedibile certezza del rischio cyber, ovvero essere in grado di attuare una:

  • Cybersecurity preventiva – attività di Vulnerability Assessment, Network Scan, Penetration Test, Code Review, Phishing Attack, Smishing Attack, Security Management, Cyber Security Framework Check-up, Ransomware Attack Simulation, Performance Simulation, Zero Day Attack Simulation, ecc.
  • Cybersecurity predittiva – attività di Domain Threat Intelligence, Cyber Threat Intelligence, Early Warning Threat Intelligence, Technology Monitoring, Social Threat Intelligence, Supply Chain Cyber Risk, ecc.
  • Cybersecurity proattiva – dotazione di un SOC (Security Operation Center) e di un Incident Response Team, continuo training del personale ed esercitazioni periodiche.

Sarà determinante riuscire ad avere una visibilità dell’intera Supply Chain e risulterà altresì strategico pensare fuori dagli schemi, essere agili e adattivi, soprattutto in un “mare agitato” come quello in cui ci troviamo a navigare. Più importante, però, sarà riuscire ad attuare un cambiamento culturale, assimilando sempre più i principi di Risk Management, Business Continuity e Cybersecurity, monitorare i rischi e revisionare i piani di continuità e Disaster Recovery in base all’evolversi della situazione.

 

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Articoli correlati

  • Sicurezza

    Rapporto Clusit 2023: le aziende manifatturiere italiane nel mirino dei criminali informatici

    15 Mar 2023

    Condividi

  • GUIDE E HOW-TO

    Risk Management aziendale: strategie e strumenti per il cammino verso la resilienza

    13 Mar 2023

    di Federica Maria Rita Livelli

    Condividi

  • Cyber Security

    Sicurezza informatica: 6 consigli per migliorare la risposta agli attacchi ransomware

    03 Apr 2024

    di Redazione Digital4

    Condividi

Prossimo

Sicurezza informatica: 6 consigli per migliorare la risposta agli attacchi ransomware

Articolo 1 di 4