Nel panorama digitale interconnesso di oggi, le organizzazioni dipendono fortemente da reti di fornitori e partner per mantenere le operazioni e favorire l’innovazione. Tuttavia, senza un’adeguata attenzione alla resilienza della cybersecurity nella catena di fornitura, queste reti affrontano rischi significativi.
Un recente rapporto del World Economic Forum[1] ha rivelato che il 54% delle organizzazioni fatica a comprendere l’entità delle vulnerabilità informatiche all’interno delle proprie supply chain. Questa mancanza di consapevolezza le rende suscettibili all’exploitation da parte di attaccanti informatici alla ricerca di guadagni finanziari e compromissione dei dati.
L’attacco MOVEit del giugno 2023
Un esempio che illustra la gravità dei rischi nella supply chain è la massiccia exploitation di una vulnerabilità nello strumento di trasferimento file ampiamente utilizzato, MOVEit, avvenuta nel giugno 2023. L’incidente, orchestrato dal gruppo Cl0p, ha causato un’ampia interruzione e ha esposto vulnerabilità nell’infrastruttura digitale di oltre 2600 organizzazioni negli Stati Uniti. Anche aziende di rilievo come la BBC, British Airways e Shell sono state tra quelle colpite interferendo con dati personali sensibili, inclusi inclusi indirizzi del personale, ID, date di nascita, numeri di carte di credito e numeri di assicurazione nazionale, finiti nelle mani di attori malevoli.
Gli attacchi alla supply chain del software di questo tipo spesso si concentrano su fornitori di software e di entità impegnate nello sviluppo o nella distribuzione. Compromettendo l’anello più debole, gli attaccanti possono infiltrarsi in numerose organizzazioni che si affidano a quel componente o fornitore. Si sfruttano le vulnerabilità per inserire backdoor o malware in componenti software affidabili, che si attivano all’installazione o all’uso, garantendo agli attaccanti accesso non autorizzato ai sistemi, facilitando il furto di dati o causando interruzioni operative.
Le implicazioni di tali incidenti vanno oltre le mere perdite finanziarie e le violazioni dei dati, minando la fiducia e la sicurezza nell’ecosistema digitale. Infatti, un’ impressionante 41% delle organizzazioni colpite da attacchi informatici di questo tipo attribuisce l’origine a una terza parte, sottolineando la necessità di collaborazione e responsabilità lungo le supply chain.
Disparità nella cybersecurity lungo le supply chain
La dimensione organizzativa aggiunge complessità alla discussione sulle pratiche dicybersecurity all’interno delle supply chain. Mentre le entità più grandi sono sottoposte a maggiore scrutinio e richieste stringenti di prove di cyber resilience, le organizzazioni più piccole spesso sfuggono a tali richieste, rimanendo vulnerabili all’exploitation. Le statistiche recenti[3] illustrano chiaramente questa disparità: un significativo 71% delle organizzazioni più piccole, in base al fatturato annuo, non ha ricevuto richieste di dimostrare la propria postura informatica da parte dei partner della supply chain nell’ultimo anno. D’altro canto, per le organizzazioni più grandi con fatturati maggior, la situazione è inversa, con il 71% che ha subito tali richieste nello stesso periodo di tempo.
Questo divario nei livelli di maturità informatica presenta un rischio sistemico per la sicurezza, con le aziende più piccole che diventano potenziali vettori di minaccia all’interno dell’ecosistema della catena di fornitura. Per mitigare tale minaccia, le grandi corporation devono assumere un ruolo più proattivo nell’elevare gli standard di cybersecurity tra i propri partner, soprattutto se più piccoli.
In tal senso, i quadri normativi servono come l’asso nella manica, stabilendo linee guida coerenti per la cybersecurity e garantendo l’adesione a pratiche di sicurezza essenziali, indipendentemente dalle dimensioni organizzative.
L’impatto della Direttiva NIS 2
A questo proposito, l’introduzione della Direttiva NIS 2 rappresenta un passo avanti significativo nell’Unione Europea, sottolineando la necessità critica di misure di sicurezza informatica complete non solo all’interno delle singole entità, ma anche lungo l’intera catena di fornitura e nei rapporti con i fornitori .
Infatti, l’articolo 21 della Direttiva impone alle entità di implementare misure complete di gestione del rischio informatico, che coprano aspetti tecnici, operativi e organizzativi, con un approccio “all hazards”.
Ciò include l’affrontare la sicurezza della catena di fornitura valutando contemporaneamente le pratiche di cybersecurity dei fornitori, considerando le loro specifiche vulnerabilità.
Strategie di resilienza informatica per migliorare la sicurezza della supply chain
Migliorare la cybersecurity nelle supply chain comporta un approccio sfaccettato che affronta vari aspetti della gestione del rischio, collaborazione e avanzamenti tecnologici. Ecco alcune strategie da considerare:
● Condurre regolari audit di sicurezza e penetration test per identificare debolezze e vulnerabilità nell’infrastruttura della catena di fornitura;
● Implementare tecnologie di sicurezza avanzate come la crittografia, l’autenticazione multifattoriale e i sistemi di rilevamento delle intrusioni per proteggere dati e sistemi all’interno della supply chain;
● Rimanere informati sulle normative e i requisiti di conformità in materia di sicurezza informatica pertinenti, assicurandone la stretta aderenza lungo l’intera supply chain;
● Implementare rigorosi processi di valutazione dei fornitori per valutare le loro pratiche di cybersecurity e garantirne la conformità agli standard;
● Promuovere la collaborazione e la condivisione di informazioni tra i partner della catena di fornitura per migliorare la resilienza informatica.
Sei interessato a approfondire le implicazioni del Cyber Resilience Act sulla supply chain?
➡️ Esplora l’argomento nel nostro articolo dedicato.
—-
[1] Hackmanac Global Cyber Attacks Report 2024
[3] Ibid.
