La trasformazione digitale è uno dei temi più discussi e sentiti di questo momento storico, una rivoluzione che sta cambiando e ha già cambiato la nostra vita quotidiana connettendo le persone in reti online. Se da un lato il progresso tecnologico presenta numerosi aspetti positivi, dall’altro fa emergere il problema della sicurezza informatica e la necessità di prendere seriamente il tema della cybersecurity e, in questo contesto, anche la sua commistione con il mondo della supply chain. In questo primo speciale del 2023 cercheremo di fare chiarezza sulla rilevanza dell’argomento per la funzione procurement, andando a indagare quali sono i settori più sensibili alle minacce, chi e perché ha interesse nel colpire le infrastrutture e quali sono le nuove tecnologie e best practice per prevenire – e limitare – i rischi.
Prevenire gli attacchi alla supply chain
Nonostante le minacce siano frequenti e pericolose, la possibilità di difendersi esiste. Spesso, come detto, uno dei problemi principali degli attacchi è che da un lato passano inosservati, mentre dall’altro può accadere che non vengano comunicati dall’azienda per non mettere a repentaglio la propria reputazione. Le organizzazioni all’interno della catena di fornitura in particolar modo devono adottare un approccio attivo e mirato alla sicurezza informatica per evitare ritardi, violazioni dei dati e perdite finanziarie.
Mentre era comune respingere la sicurezza informatica come un compito per il reparto IT, ora sta diventando sempre più la parte dominante della pianificazione strategica aziendale di alto livello. La complessità ha accelerato lo sviluppo dei servizi di cybersicurezza comprensivi come la valutazione dei rischi e delle minacce, la consulenza, la formazione e l’istruzione professionale.
- Valutazione efficace dei rischi
Il primo passo per implementare la sicurezza della catena di approvvigionamento è la valutazione dei rischi. Questo passaggio richiede la visibilità da parte di un’azienda della catena di approvvigionamento e dei suoi componenti chiave. Questo può avvenire solo con un inventario dei fornitori che valuti la loro posizione in base alla sicurezza. In base alla valutazione, i fornitori avranno diversi profili di rischio e la priorità di azione sarà legata ai diversi livelli di vulnerabilità, all’accesso ai dati e ai sistemi e all’impatto sull’organizzazione. Una valutazione deve essere fatta anche per la sicurezza dei prodotti hardware e software, che possono rappresentare una minaccia per dati e sistemi sensibili e determinare misure di sicurezza adeguate. Soprattutto se si usa una piattaforma Erp (Enterprise Resource Planning), che gestisce una grande quantità di informazioni, è ancora più rilevante avere un certo grado di sicurezza informatica per proteggere i dati, anche in relazione agli endpoint. Un monitoraggio adeguato può evitare il rischio che un malware che colpisce un singolo attacchi la piattaforma e comprometta i dati di altre persone o dell’azienda. Reparto IT e Acquisti dovrebbero collaborare per identificare questi rischi, e lavorare insieme per proteggere i dati.
- Strategia di cooperazione tra IT e altre funzioni
Se in questo caso la funzione Acquisti conosce il tipo di piattaforma che soddisferà al meglio le esigenze, ha bisogno di risorse tecnologiche aggiuntive per garantire un’adeguata mitigazione dei rischi per la sicurezza informatica (soprattutto quando si parla di e-procurement). Collaborando con il reparto IT, il team procurement può capire in che modo la scelta della piattaforma Erp si adatta ai piani tecnologici e al programma di sicurezza più ampi dell’organizzazione. Gli attacchi alla supply chain possono avere vari obiettivi (riscatto, sabotaggio e furto di proprietà intellettuale, come abbiamo visto) e assumere molte forme (malware, phishing ecc.). Con l’aumento degli attacchi dovuti alle vulnerabilità dei flussi fisici delle risorse – come processi di elaborazione, imballaggio, distribuzione – e dei flussi virtuali di dati o software, i responsabili della supply chain devono sempre più coordinarsi con i responsabili della sicurezza e della gestione del rischio per comprendere queste minacce.
- Monitoraggio di terze parti
Le aziende dovrebbero garantire che qualsiasi servizio basato su cloud intraprenda azioni preventive di base per la sicurezza della rete, come l’utilizzo di firewall. Inoltre, poiché con il passare del tempo vengono automatizzate sempre più azioni come pagamenti ricorrenti, serve garantire che i controlli di sicurezza del loro provider Erp prevengano DDoS (Distributed Denial of Service) che possono portare a un’interruzione del servizio. La gestione del rischio della catena di approvvigionamento richiede anche un adeguato impegno nella due diligence. Individuare le motivazioni degli attacchi verso le risorse sensibili può aiutare a determinare i sistemi e le aree della supply chain che richiedono protezione e a dare più priorità ad alcuni investimenti nella sicurezza informatica rispetto ad altri. È possibile implementare varie misure, tra cui ricerca delle minacce, aggregazione centralizzata dei registri e distribuzione dei sensori. La protezione e il monitoraggio continui della catena di approvvigionamento non sono infallibili, ma certo possono aiutare.
- Crittografia dei dati e Cloud security
La natura dinamica della sicurezza informatica è dovuta ad attori che evolvono continuamente le proprie metodologie di attacco, il che significa che le vulnerabilità possono presentarsi continuamente. Per questo un’altra strategia dovrebbe essere quella di concentrarsi sul monitoraggio continuo delle proprie soluzioni e dei propri strumenti. Alcuni controlli da considerare includono l’applicazione tempestiva degli aggiornamenti di sicurezza, la corretta configurazione dei database e la mitigazione di potenziali attacchi XSS (cross-site scripting) o SQL injection contro l’applicazione web. Il settore della sicurezza informatica crescerà con la crescente penetrazione di Internet tra i paesi in via di sviluppo e sviluppati e si prevede che il mercato continuerà a mostrare una forte crescita. Il Nord America sarà la regione dominante e la cloud security il segmento di mercato in più rapido sviluppo.
Le iniziative governative
Oltre al lato aziendale, la sicurezza informatica comporta un rischio per i governi ed è sempre più considerata questione di sicurezza nazionale, specie in un momento di riscrittura della globalizzazione come quello che stiamo vivendo. Un esempio di iniziative statali è il Cybersecurity Framework sviluppato dal National Institute for Standards and Technology (NIST) del governo degli Stati Uniti, che aiuta le aziende di tutte le dimensioni a comprendere, gestire e ridurre i rischi legati alla sicurezza informatica e a proteggere le reti e i dati. È un framework volontario considerato un esempio per la costruzione e l’evoluzione del programma di sicurezza informatica di un’azienda, pensato però principalmente per aziende che hanno ingenti risorse da dedicare al settore. Anche i Cybersecurity Performance Goals, pubblicati dall’Agenzia per la cybersicurezza e la sicurezza delle infrastrutture (CISA) nel 2022, possono aiutare le aziende a determinare quali misure di sicurezza sono più necessarie per ridurre i rischi.
Nel caso specifico della sicurezza cibernetica, l’Ue ha rafforzato l’impegno introducendo con il Cybersecurity Act del 2019 un sistema europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali. Quanto all’Italia, con il governo Draghi è stata definita la Strategia nazionale di cybersicurezza fino al 2026. Come spiegato dall’Agenzia per la cybersicurezza nazionale, tra gli obiettivi troviamo la necessità di rafforzare la resilienza nella transizione digitale; l’autonomia strategica nazionale ed europea in ambito digitale; l’anticipazione di possibili evoluzioni delle minacce; la gestione delle crisi cibernetiche; il contrasti del fenomeno della disinformazione. In questo senso, per molti sembra avviata e auspicabile, nell’ambito del contesto geopolitico instabile con attacchi cyber tanto di hacker non governativi che governativi – l’ultimo dei quali avvenuto attraverso un ransomware il 5 febbraio senza causare danni ingenti alle infrastrutture critiche italiane – un certo grado di sinergia tra pubblico e privato.
- Parte 1 – I legami tra Cybersecurity e supply chain
- Parte 2 – I settori più vulnerabili alle minacce
- Parte 3 – I principali attacchi alla supply chain
Fonti:
Agenzia Per la Cybersicurezza Nazionale, Strategia Nazionale di Cybersicurezza, 2022 – 2026, 2022.
ANSA, Agenzia per la cybersicurezza, massiccio attacco hacker in corso. Compromessi migliaia di server, 6 febbraio 2023.
A. Leonardi, Cyber security, il contributo della standardizzazione e delle certificazioni internazionali, Cybersecurity360, giugno 2022.
J. Easterly, E. Goldstein, Stop Passing the Buck on Cybersecurity, Why Companies Must Build Safety Into Tech Products, Foreign Affairs, Feb 1, 2023.
Security ScoreCard, What’s the Role of Cybersecurity in Procurement?, Sep 2020.
