La trasformazione digitale è uno dei temi più discussi e sentiti di questo momento storico, una rivoluzione che sta cambiando e ha già cambiato la nostra vita quotidiana connettendo le persone in reti online. Se da un lato il progresso tecnologico presenta numerosi aspetti positivi, dall’altro fa emergere il problema della sicurezza informatica e la necessità di prendere seriamente il tema della cybersecurity e, in questo contesto, anche la sua commistione con il mondo della supply chain. In questo primo speciale del 2023 cercheremo di fare chiarezza sulla rilevanza dell’argomento per la funzione procurement, andando a indagare quali sono i settori più sensibili alle minacce, chi e perché ha interesse nel colpire le infrastrutture e quali sono le nuove tecnologie e best practice per prevenire – e limitare – i rischi.
Cos’è un attacco alla supply chain
Gli attacchi alla catena di approvvigionamento sono stati storicamente mirati alle relazioni di fiducia, in cui i fornitori venivano attaccati per ottenere l’accesso ai loro partner più grandi.
Oggi una minaccia ancora maggiore per le organizzazioni è la catena di fornitura del software, altamente suscettibile agli attacchi, perché utilizza molti componenti standard come API di terze parti, codici open source e codici proprietari dei fornitori di software.
Gli attacchi alla supply chain sfruttano le relazioni di fiducia tra diverse organizzazioni che installano e utilizzano software sulle proprie reti o collaborano nell’ambito di accordi con fornitori o appaltatori. Molti attacchi su larga scala sono stati lanciati contro le supply chain organizzative e solo pochi sono stati segnalati al pubblico. Questo significa che gli attacchi noti sono solo la punta dell’iceberg.
Le principali minacce
I rischi possono essere relativi a strumenti di compilazione software compromessi, certificati di firma del codice rubati o app dannose, codice specializzato compromesso fornito in componenti hardware o firmware; malware preinstallato nei dispositivi. Cryptomining, phishing, ransomware e trojan sono le minacce più importanti secondo un rapporto della multinazionale americana Cisco. Grazie a questi strumenti i criminali informatici attaccano la catena di approvvigionamento per manomettere i processi di produzione di un’azienda tramite hardware o software.
- Malware
Un malware potrebbe essere installato in qualsiasi fase della catena di approvvigionamento e causare interruzioni di forniture o servizi di un’organizzazione attraverso l’attacco a software utilizzati. Questo tipo di attacchi consente un targeting specifico e il numero di vittime può crescere rapidamente se il fornitore attaccato ha molti clienti. Sono difficili da rilevare, poiché si basano su un software che è già stato considerato attendibile e può essere ampiamente distribuito.
- Ransomware
Secondo il report Ransomware Reoriented del 2022 di Accenture, gli attacchi ransomware ed estorsivi su base annua sono aumentati del 107%. Il ransomware è un malware che impedisce agli utenti di accedere al proprio sistema fino al pagamento di un riscatto ed è uno dei tipi di criminalità informatica in più rapida crescita. Nel maggio 2021, l’attacco al Colonial Pipeline, un sistema di oleodotti in Texas, ha interrotto le forniture di carburante e benzina a vaste aree della regione sud-orientale degli Stati Uniti. Una prova del significativo impatto finanziario di una violazione ransomware è stata mostrata nell’attacco al fornitore di servizi logistici Expeditors, costato all’azienda 40 milioni di dollari in spese di spedizione perse e altri 20 milioni di dollari in spese di indagine, recupero e bonifica.
- Phishing
Le aziende di logistica e spedizione sono sempre più prese di mira da attacchi di phishing, attuati da criminali informatici che contattano le organizzazioni bersaglio tramite e-mail (phishing, appunto), telefono (vishing) o messaggi di testo (SMSishing) e fingono di essere una persona o un’organizzazione legittima. Lo scopo dell’attacco è indurre il destinatario a fornire dati sensibili e password per accedere illecitamente ai dati a scopo di lucro. Durante la pandemia i criminali informatici hanno utilizzato tecniche di phishing per colpire la catena di approvvigionamento del freddo ottenendo l’accesso alla rete del produttore di stoccaggio a bassa temperatura Haier Biomedical, prima di utilizzare il sistema di posta elettronica per distribuire ulteriori e-mail di phishing ai partner coinvolti nel trasporto del vaccino. Altri esempi di attacchi di phishing specifici del settore sono la “polizza di riscatto di carico” e la “frode nel trasporto merci”.
Figura 1. Preoccupazione relativa alle minacce cyber, per tipo. Fonte: Cyberthreat Defense Report, CyberEdge Group
I maggiori attacchi hacker recenti
Oltre a quelli sopra descritti, sono diversi gli attacchi alla supply chain avvenuti negli ultimi anni a cui grandi, medie e piccole imprese dovrebbero prestare attenzione per prevenire casi analoghi. Nel 2022 Toyota è stata colpita da un attacco cyber veicolato tramite un fornitore, con la condivisione di diversi dati sensibili che hanno portato a un’interruzione della produzione con ingenti perdite. Nel caso che ha colpito l’azienda SolarWinds gli aggressori hanno inserito una backdoor in un aggiornamento software che ha consentito agli aggressori l’accesso remoto a migliaia di server aziendali e governativi, partner del provider. Nel caso Kaseya gli hacker hanno compromesso questa soluzione software, infettandola con il ransomware REvil, distribuito insieme a un aggiornamento del software e diffusosi consentendo agli aggressori di estorcere 70 milioni di dollari. Nel caso Atlassian i ricercatori di sicurezza hanno scoperto una vulnerabilità all’abuso delle procedure Single Sign-On (SSO).
Tra i casi più eclatanti, quello del 2021 del ricercatore Alex Birsan che è stato in grado di hackerare i sistemi aziendali gestiti da Microsoft, Uber, Apple e Tesla. Fortunatamente per le aziende, l’intento del ricercatore non era malevolo ma solo quello di trovare falle nei sistemi. Altri casi hanno riguardato ancora aziende come Mimecast, Codecov e British Airways.
Nel prossimo episodio di questo speciale andremo a vedere quali sono gli strumenti utili per prevenire questo tipo di minacce e risolvere i problemi ad esse annessi.
Parte 1 – I legami tra Cybersecurity e supply chain
Parte 2 – I settori più vulnerabili alle minacce
Parte 4 – Prevenire gli attacchi alla supply chain
Fonti:
A. Birsan, Dependency Confusion: How I Hacked Into Apple, Microsoft and Dozens of Other Companies, Medium, Feb 2021.
Accenture, Ransomware Reoriented, 2022
Blu Voyant, Cybercrime: History, Global Impact & Protective Measures, 2022.
CISCO, Cybersecurity Tech Trends, Phishing, Crypto top the list, 2021
