La cybersecurity: una sfida per le supply chain

L’aumento esponenziale degli attacchi informatici e dei ransomware è costato alle aziende italiane milioni di euro – 3,55 milioni nel 2023 secondo l’ultimo rapporto di IBM, Cost of a Data Breach Report 2023 – minacciandone la stabilità del business e la continuità operativa su filiere internazionali.

Ogni azienda appartiene ad una filiera produttiva e distributiva e quindi opera in un processo di produzione e distribuzione di beni o servizi, che va dall’approvvigionamento delle materie prime alla consegna del prodotto finito al cliente finale

Cyber risk della supply chain

Le supply chain sono ogni giorno più complesse in termini di velocità, flessibilità, precisione ed efficienza richieste da tutti gli attori coinvolti.

E non mancano le sfide significative in termini di cybersecurity.
Le organizzazioni, infatti, sono sempre più esposte agli impatti cross-business derivanti dalle relazioni con clienti, fornitori e partner integrati nel loro ecosistema.

Pensiamo al rischio cyber rappresentato dall’utilizzo di software fornito o erogato da partner e fornitori di servizi IT. Questa tipologia di rischio comprende:

  1. Vulnerabilità di sicurezza:
    • Software non sicuro: i fornitori di software possono fornire prodotti con vulnerabilità che possono essere sfruttate dagli attaccanti per compromettere i sistemi aziendali.
    • Aggiornamenti e patch: la mancata applicazione tempestiva di aggiornamenti e patch da parte dei fornitori può lasciare le aziende esposte a rischi noti.
  2. Accesso non autorizzato:
    • Credenziali compromesse: se i fornitori di servizi IT non gestiscono correttamente le credenziali e gli accessi, gli attaccanti possono ottenere accesso non autorizzato ai sistemi aziendali.
    • Privilegi elevati: i fornitori con privilegi elevati possono diventare un bersaglio per gli attaccanti, che possono sfruttare questi accessi per compiere attacchi su larga scala.
  3. Interruzione dei servizi:
    • Dipendenza critica: l’interruzione dei servizi forniti da terze parti può avere un impatto significativo sulle operazioni aziendali, causando perdite finanziarie e danni reputazionali.
    • Attacchi DDoS: i fornitori di servizi IT possono essere bersaglio di attacchi DDoS (Distributed Denial of Service), per citare un tipo di attacco, che possono interrompere i servizi critici per l’azienda.
  4. Compliance e regolamentazioni:
    • Non conformità: l’uso di fornitori che non rispettano le normative di sicurezza e privacy può esporre l’azienda a sanzioni legali e finanziarie.
    • Protezione dei dati: la gestione inadeguata dei dati da parte dei fornitori può portare a violazioni della privacy e della protezione dei dati personali.
  5. Rischio di terze parti:
    • Quarte parti: i fornitori di servizi IT possono a loro volta utilizzare subappaltatori, aumentando il numero di potenziali punti di ingresso per gli attaccanti.
    • Rischio di concentrazione: dipendere da pochi fornitori può aumentare il rischio di concentrazione, dove un singolo punto di fallimento può avere un impatto ampio sull’azienda.
  6. Incidente di sicurezza: qualsiasi compromissione della sicurezza del fornitore può avere ripercussioni dirette sui sistemi aziendali, inclusi furti di dati, ransomware e altre minacce.

Il rischio di terze parti nelle normative

Le due normative NIS-2 e DORA colgono il rischio e definiscono una serie di misure e obblighi per ridurre al minimo i rischi associati alla gestione delle terze parti. Vediamone i punti salienti sotto questo profilo.

NIS2

La Direttiva NiS2 dell’Unione Europea, che entrerà in vigore il prossimo 17 ottobre, stabilisce nuove regole riguardo la sicurezza delle supply chain delle infrastrutture ritenute critiche o altamente critiche.

Uno degli aspetti cruciali della NIS2 è infatti l’introduzione del concetto di “catena di responsabilità”. Questo significa che le aziende dovranno gestire i rischi informatici lungo tutta la supply chain, assicurandosi che ogni anello della catena di fornitura, compresi i produttori di soluzioni digitali e le software house, aderiscano a solidi protocolli di cybersecurity.

Le aziende e i loro fornitori di software dovranno collaborare strettamente per garantire che le applicazioni siano sviluppate e mantenute in modo sicuro, contribuendo a proteggere l’infrastruttura critica dell’UE.

Nell’articolo 21 della Direttiva NIS2, paragrafo 3, si afferma infatti che “gli Stati membri assicurano che, nel valutare quali misure di cui al paragrafo 2, lettera d), del presente articolo siano appropriate, le entità tengano conto delle vulnerabilità specifiche di ciascun fornitore diretto e prestatore di servizi e della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei loro fornitori e prestatori di servizi, comprese le loro procedure di sviluppo sicuro”.

Il paragrafo 2, lettera d) elenca la sicurezza della catena di fornitura, compresi gli aspetti relativi alla sicurezza riguardanti le relazioni tra ciascuna entità e i suoi fornitori diretti o prestatori di servizi, come una delle misure che devono essere incluse nell’approccio multirischio.

DORA

Il Parlamento europeo ha introdotto la DORA (Digital Operational Resilience Act), noto anche come Regolamento n°2022/2554, un importante atto legislativo, in vigore da gennaio 2025, volto ad aumentare il livello complessivo di resilienza digitale nel settore finanziario,

DORA richiede alle entità finanziarie di implementare un robusto framework di gestione del rischio cyber che include la valutazione e la mitigazione dei rischi associati ai fornitori di servizi terzi.

Il regolamento DORA stabilisce infatti requisiti specifici per i fornitori di servizi TIC (Tecnologie dell’Informazione e della Comunicazione) che includono servizi di data analytics, Data Center, Cloud service provider, Fornitori di software.

Nell’articolo 24 si dice che, quando rilevante, i fornitori di servizi TIC devono essere inclusi nel programma di test per assicurare che anche i loro sistemi e processi siano testati e conformi agli standard di sicurezza richiesti.

Nel capitolo V sono indicati principi fondamentali relativi alla valutazione preliminare del rischio, disposizioni contrattuali, designazione dei fornitori critici e la struttura del quadro di supervisione.

Analogie e dipendenze tra business supply chain e software supply chain

Il rapporto tra la supply chain nelle attività di business e la software supply chain può essere descritto in termini di analogie e differenze, poiché entrambi i concetti riguardano flussi di materiali o informazioni attraverso una serie di passaggi o entità.

Possiamo schematizzarle nella tabella seguente:

 

Business supply chain
Software supply chain
Processi coinvolti

La produzione nella supply chain tradizionale coinvolge processi fisici di trasformazione delle materie prime.

La produzione nella software supply chain coinvolge processi di sviluppo del codice e compilazione.

Distribuzione

La distribuzione nella supply chain tradizionale richiede logistica fisica.

La distribuzione del software può avvenire digitalmente, spesso immediatamente e senza costi di trasporto.

Componenti chiave

Fornitori: forniscono materie prime o componenti.

Produttori: trasformano le materie prime in prodotti finiti.

Distribuzione: include magazzini, logistica e trasporti.

Vendita al dettaglio: punti vendita fisici o online che vendono i prodotti ai consumatori finali.

Clienti: consumatori finali dei prodotti.

Sviluppatori: creano e mantengono il codice.

Repository di codice: piattaforme dove il codice viene archiviato, come GitHub.

Build systems: sistemi automatizzati che compilano il codice e lo preparano per la distribuzione.

Distribuzione: canali attraverso cui il software viene reso disponibile agli utenti, come pacchetti installabili, app store, ecc.

Utenti finali: persone o aziende che utilizzano il software.

Sicurezza

La sicurezza nella supply chain tradizionale può includere protezione fisica dei beni e dei dati.

La sicurezza nella software supply chain si concentra sulla protezione del codice contro vulnerabilità, attacchi informatici e compromissioni.

 

Garantire la sicurezza della software supply chain è fondamentale per la stabilità del business nella supply chain materiale.
La crescente interdipendenza tra i sistemi software e i processi fisici rende cruciale proteggere la supply chain software per evitare interruzioni, vulnerabilità e attacchi che possono avere ripercussioni devastanti sull’intera catena di fornitura materiale.

Software supply chain sicura a vantaggio della filiera produttiva

Le applicazioni software sono fondamentali per il funzionamento efficiente e sicuro della supply chain materiale, e la sicurezza delle applicazioni gioca un ruolo cruciale nella gestione e mitigazione dei rischi associati alle terze parti della catena di fornitura.

La sicurezza della supply chain del software si riferisce alla protezione di tutti gli elementi e i processi coinvolti nello sviluppo, distribuzione e manutenzione del software, al fine di prevenire compromissioni e garantire l’integrità, la disponibilità e la riservatezza del software. Questo concetto abbraccia una vasta gamma di pratiche e tecnologie mirate a proteggere ogni fase del ciclo di vita del software, dalle prime fasi di sviluppo fino alla distribuzione e oltre.

L’importanza dei test di sicurezza

I test di sicurezza, tra i cui i penetration test, indicati anche dalle normative NIS2 e DORA come misure obbligatorie, sono cruciali per garantire la sicurezza della supply chain del software.

Questi test simulano attacchi reali per identificare vulnerabilità e punti deboli nei sistemi e nelle applicazioni prima che possano essere sfruttati da attori malintenzionati. Attraverso un’approfondita analisi del codice, delle configurazioni e delle infrastrutture, i test aiutano a rafforzare le difese e a migliorare la postura di sicurezza complessiva. La loro implementazione consente alle organizzazioni di scoprire e correggere tempestivamente le falle di sicurezza, garantendo che tutte le componenti della supply chain siano protette contro potenziali minacce, preservando così l’integrità, la disponibilità e la riservatezza delle operazioni aziendali.

Conclusioni

La sicurezza della supply chain del software è fondamentale per garantire che il software utilizzato dalle organizzazioni sia sicuro, affidabile e privo di compromissioni. Questo richiede un approccio olistico che abbracci l’intero ciclo di vita del software, dalla fase di sviluppo iniziale fino alla distribuzione e oltre, coinvolgendo pratiche di sicurezza rigorose, monitoraggio continuo e una risposta efficace agli incidenti. Implementare una solida sicurezza della supply chain del software è essenziale per proteggere le organizzazioni dalle crescenti minacce informatiche e garantire la continuità operativa.

Scopri come possiamo aiutarti a testare la tua software supply chain con i nostri servizi di Offensive Security.

Condividi l'articolo

Scopri come possiamo aiutarti

Troviamo insieme le soluzioni più adatte per affrontare le sfide che ogni giorno la tua impresa è chiamata ad affrontare.