La crescente complessità dei sistemi #ICT e la richiesta di professionalità sempre più specializzate stanno spingendo le organizzazioni a rivolgersi sempre di più a fornitori esterni per la gestione e lo sviluppo dei propri sistemi informatici. Questo fenomeno non si ferma ai fornitori diretti: anche questi ultimi, per sviluppare i propri prodotti e servizi, si affidano a ulteriori subfornitori, creando una rete complessa nota come #supplychain o catena di fornitura.
La supply chain è una rete di organizzazioni interconnesse che condividono risorse e processi per la produzione di beni o l’erogazione di servizi fino al cliente finale. Con l’aumento della pervasività e della complessità di questa catena, molti fornitori esterni ottengono accesso ai sistemi delle organizzazioni clienti. Tuttavia, il controllo che le organizzazioni clienti possono esercitare sui requisiti di sicurezza delle informazioni dei propri fornitori diretti è limitato e, sui subfornitori, spesso inesistente. Questo scenario introduce rischi significativi che devono essere attentamente gestiti.
Numerosi incidenti di sicurezza dimostrano come errori, leggerezze e mancanza di controlli da parte dei subfornitori possano avere impatti gravi che si propagano fino ai clienti finali, causando notevoli danni al business. Per questo motivo, la sicurezza della supply chain è diventata un argomento di crescente importanza nell’attuale panorama globale. Le principali normative di settore dedicate a aziende e pubbliche amministrazioni stanno dedicando sempre più attenzione a questo tema.
Uno studio del marzo 2023 della #ClusitCommunityforSecurity, intitolato “Supply chain security – I rischi della catena di fornitura”, esplora queste sfide e propone risorse e linee guida per proteggere le catene di approvvigionamento da attacchi e interruzioni. In un contesto in cui le tecnologie ICT sono basate su supply chain complesse, globali e fortemente interconnesse, una vulnerabilità in un fornitore può immediatamente tradursi in una vulnerabilità per il cliente finale e, quindi, per gli utenti finali.
Gli attacchi alla supply chain sono particolarmente allettanti per i criminali, poiché offrono la possibilità di sfruttare vulnerabilità di fornitori specializzati ma spesso carenti in sicurezza informatica, con un impatto potenzialmente vasto. I rischi legati alla supply chain ICT variano a seconda del tipo di prodotto, servizio e settore del cliente finale, ma includono scenari comuni come il rischio di sicurezza dei dati, vulnerabilità del software, presenza di malware, vendor lock-in e indisponibilità di dati e servizi.
Per mitigare questi rischi, le organizzazioni devono mantenere una governance rigorosa sulle attività dei fornitori, adottare processi di valutazione, misure contrattuali di sicurezza, controlli sull’efficacia delle misure applicate dai fornitori e robusti processi di change management. La crescente attenzione alla sicurezza della supply chain ha portato all’emanazione di leggi e regolamenti specifici, come la direttiva NIS 2 e il regolamento DORA, che richiedono alle organizzazioni di adottare misure adeguate per garantire la sicurezza delle reti e dei sistemi informativi, inclusa la gestione dei rischi nella supply chain.
NIS 2 impone requisiti di sicurezza, notifica degli incidenti e valutazione dei fornitori, con l’obbligo per gli Stati membri dell’UE di recepire la direttiva entro il 17 ottobre 2024. DORA, entrato in vigore il 17 gennaio 2023, diventerà vincolante il 17 gennaio 2025 e si concentra sulla resilienza operativa delle entità finanziarie e dei fornitori di servizi digitali, richiedendo la gestione e il monitoraggio dei rischi nella supply chain.
A livello internazionale, standard come ISO 28000 e framework del NIST, come la NIST Special Publication 800-161, forniscono linee guida per la gestione della sicurezza nella supply chain, aiutando le organizzazioni a identificare, valutare e gestire i rischi lungo tutta la catena di approvvigionamento. Questi standard e framework incoraggiano l’adozione di pratiche di sicurezza, audit regolari, gestione delle configurazioni, autenticazione robusta e piani di risposta agli incidenti che includano i fornitori.
Uno degli strumenti fondamentali per formalizzare le aspettative di sicurezza con i fornitori sono i contratti, che devono specificare requisiti di sicurezza, politiche di accesso, gestione degli incidenti e obblighi di formazione. Checklist di misure di sicurezza e audit regolari aiutano a valutare e monitorare i fornitori, garantendo che le pratiche di sicurezza siano adeguate e conformi agli standard richiesti.
La Clusit Community for Security ha sviluppato un questionario di riferimento per valutare la sicurezza delle informazioni dei fornitori, basato su ISO/IEC 27001 e il Framework Nazionale di Cyber Security. Questo strumento, disponibile in formato Excel, permette di identificare i punti di debolezza e richiedere azioni correttive, contribuendo a migliorare la sicurezza complessiva della supply chain.
