Cerca

La sicurezza dei propri fornitori è affare nostro?

Le aziende devono iniziare a guardare oltre la propria di azienda per considerare anche le misure di sicurezza messe in atto dai propri diretti fornitori

Il numero di attacchi informatici su siti industriali di tutte le dimensioni sta aumentando in modo significativo, con il rischio che si diffonde attraverso le supply chain. Un sondaggio ESG condotto su 150 professionisti IT e di cyber security in medie e grandi aziende di produzione, ha rilevato che il 53% afferma che la propria infrastruttura di tecnologia operativa (OT) è vulnerabile a qualche tipo di attacco informatico, mentre lo stesso numero afferma di aver già subito un attacco informatico o altro incidente di sicurezza negli ultimi 12-24 mesi che ha avuto un impatto sulla loro infrastruttura OT.

Le aziende di produzione fanno parte di reti di partner commerciali intrecciate e, quando vengono compromesse, gli effetti si ripercuotono su tutte le parti della supply chain. L’impatto di un attacco su un fornitore di primo livello può essere altrettanto devastante come se l’attacco fosse inizialmente penetrato nella tua rete OT. Le linee di produzione possono essere interrotte, creando costi significativi, incidendo negativamente sui ricavi e causando danni alla reputazione.

Per anni, i responsabili delle minacce hanno sfruttato gli anelli deboli della supply chain come trampolino di lancio per infiltrarsi in altre organizzazioni.

Fin dieci anni fa ci fu una violazione della sicurezza di Target, in cui gli aggressori avevano utilizzato le credenziali rubate da un fornitore di sistemi HVAC per accedere alla rete di Target e spostarsi lateralmente fino a rubare la carta bancaria e le informazioni personali di milioni di clienti. Alcuni anni dopo, il ransomware NotPetya è stato un altro attacco alla supply chain di alto profilo che inizialmente ha avvelenato il software di una società di contabilità ucraina e ha continuato a colpire le multinazionali e causare danni stimati per 10 miliardi di dollari. Più recentemente, la ormai nota ed eclatante compromissione del software SolarWinds Orion e la backdoor SUNBURST hanno consentito a un attore di minacce di ottenere l’accesso a numerose organizzazioni in tutto il mondo. La portata e l’impatto di questo attacco sono ancora in fase di comprensione.

E’ quindi ben chiaro che non ci si può permettere di non prendere in considerazioni i livelli di sicurezza dei propri fornitori

La sicurezza informatica della catena di fornitura è ora al centro dell’attenzione dei dirigenti e dei leader della sicurezza di tutti i settori e le agenzie governative, i gruppi industriali e le autorità di regolamentazione stanno intraprendendo azioni per mitigare il rischio.

Ecco alcuni esempi

Quando il vaccino per COVID-19 stava per diventare realtà, IBM aveva emesso un avviso di minacce sconosciute che prendevano di mira la catena di fornitura del vaccino COVID-19, evidenziando la necessità di ridurre l’esposizione degli ambienti OT, le maggiori capacità degli aggressori e l’urgenza e la gravità del rischio di questa supply chain.

Un esempio del settore energetico è quello di  Protect Our Power che ha proposto un modello di framework end-to-end per la gestione del rischio della catena di fornitura informatica come base per l’utilizzo da parte delle autorità di regolamentazione.

Nell’automotive ci sono nuove normative sulla sicurezza informatica che saranno obbligatorie per tutti i nuovi veicoli prodotti nell’Unione Europea a partire da luglio 2024, con Giappone e Corea che implementeranno qualcosa di simile. Mentre sono in fase di sviluppo nuovi standard di sicurezza informatica per stabilire la “sicurezza informatica fin dalla progettazione” durante l’intero ciclo di vita di un veicolo.

Il cyber rischio della supply chain è complicato e copre l’intero ciclo di vita di un prodotto: progettazione, produzione, distribuzione, stoccaggio e manutenzione. Più lungo e complesso è il ciclo di vita, maggiori sono le opportunità per gli attori delle minaccie di sfruttare il prodotto prendendo di mira elementi meno sicuri nella catena. E poiché le catene di fornitura sono spesso globali e si estendono su più livelli di fornitori, la responsabilità della sicurezza non spetta solo a una singola azienda. Ogni membro ha un ruolo da svolgere, il che rende il cyber rischio della supply chain particolarmente difficile da mitigare.

Ecco perché, quando creano piani di continuità aziendale, i dirigenti devono guardare oltre la propria azienda per considerare anche le misure di sicurezza che i loro fornitori immediati hanno in atto e il modo in cui, a loro volta, gestiscono e mitigano il rischio con la loro estesa rete di fornitori.

La supply chain è parte integrante dell’ecosistema aziendale. In quanto tale, deve essere parte integrante dell’ecosistema di sicurezza e protetto con lo stesso livello di difesa.

Quindi, tornando alla domanda: “La sicurezza dei propri fornitori è affare nostro?” La risposta è un clamoroso SI