Resilienza aziendale, come gestire i rischi della cyber supply chain
L’unione tra la digitalizzazione e la dipendenza dai fornitori crea numerosi rischi per la sicurezza informatica, e le organizzazioni stanno imparando a gestirli. Alcune realtà affrontano questa sfida da tempo, ma molte altre hanno ancora difficoltà a riconoscerla e a decidere come affrontarla
Cyber Supply Chain Risk Management (C-SCRM) è l’approccio multidisciplinare più indicato per la gestione dei rischi della cyber supply chain al fine di garantire la resilienza aziendale. Il C-SCRM è una funzione generale che include concetti come la gestione del rischio di terze parti e la gestione delle dipendenze esterne. Da dove nasce questa esigenza? Oggi, tutti i soggetti, pubblici o privati, sono fortemente interdipendenti e iperconnessi tra loro e, sempre più spesso, acquisiscono prodotti e servizi da altri. A ciò si aggiungono gli effetti della globalizzazione che, pur offrendo molti vantaggi, hanno portato a una situazione in cui le organizzazioni non controllano più interamente gli ecosistemi di approvvigionamento dei prodotti che realizzano o dei servizi che forniscono.
Inoltre, poiché un numero sempre crescente di aziende si è trasformato in digitale (o lo diverrà grazie ai fondi distribuiti con il PNRR), realizza prodotti e servizi digitali o sposta i propri asset sul cloud, l’impatto di un eventuale incidente di cyber security avrà effetti rilevanti che potranno riguardare il furto dei dati personali, le perdite economiche, l’integrità o la sicurezza del prodotto/servizio erogato e, persino, la perdita di vite umane. Le organizzazioni, quindi, non possono più difendersi proteggendo semplicemente le proprie infrastrutture, poiché il loro perimetro non è più definito e circoscritto come un tempo, e gli attaccanti prenderanno di mira, intenzionalmente, i fornitori per sfruttare l’anello più debole della catena.
I rischi delle supply chain
Sempre più aziende producono smart device, offrono i loro prodotti e servizi online e integrano l’elettronica intelligente nei loro prodotti e nelle infrastrutture. L’Internet of Things (IoT) e l’Industrial Internet of Things (IIoT) hanno incrementato esponenzialmente la necessità di gestire i rischi cyber associati agli ecosistemi di approvvigionamento. L’uso intensivo di questi e di altri dispositivi potenzialmente corrotti estende la superficie di attacco e rende vulnerabile sia le aziende che li sfruttano, sia i dispositivi, i sistemi e le reti a cui sono connessi.
Le organizzazioni sono portate ad approvvigionarsi da una serie di fornitori per supportare le proprie funzioni e ridurre i costi di produzione. Questa tendenza ha subito un’accelerazione nell’ultimo decennio e si prevede che continuerà a crescere in futuro. La globalizzazione, l’outsourcing e la digitalizzazione contribuiscono a questa propensione. I fornitori hanno i propri fornitori che, a loro volta, hanno i propri fornitori e, quindi, si creano catene di approvvigionamento estese ed interi ecosistemi di approvvigionamento illimitati. Tutte le organizzazioni acquisiscono prodotti e servizi e la maggior parte fornisce anche prodotti e servizi agli altri. Le catene di approvvigionamento possono essere vittime sia di minacce cyber, perché gli attaccanti prendono di mira la rete di scambio tra fornitori e acquirenti, ma anche di altri eventi avversi come il maltempo e i disordini geopolitici. L’insieme di queste minacce aumentano l’importanza della resilienza della supply chain, della business continuity e disaster recovery planning.
Questo tipo di incidenti non sono eventi isolati. Infatti, le evidenze rilevabili dai report sugli incidenti cyber pubblicati di recente suggeriscono che questa tipologia di attacco sta aumentando di frequenza e colpisce soprattutto la supply chain del software.
L’unione tra la digitalizzazione e la dipendenza dai fornitori crea numerosi rischi per la sicurezza informatica, e le organizzazioni stanno imparando a gestirli. Alcune realtà affrontano questa sfida da qualche tempo, ma molte hanno ancora difficoltà a riconoscerla, a decidere come affrontarla e da dove iniziare. Tra le varie proposte è degna di nota la ricerca e le linee guida pubblicate dal National Institute of Standards and Technology (NIST) specificatamente su questo tipo di rischi.
L’elemento di sicurezza informatica nel Cyber Supply Chain Risk Management
La gestione della supply chain è una disciplina consolidata ed è diventata una delle principali leve strategiche per favorire la globalizzazione e aumentare la crescita economica in molte parti del mondo. Con la globalizzazione è aumentata la velocità con cui vengono esternalizzati i servizi e le funzioni critiche per migliorare le performance aziendali. Per effetto di questa prassi, molte organizzazioni non riescono più a controllare l’intero sistema di approvvigionamento dei prodotti che producono o dei servizi che forniscono e, senza un controllo sufficiente, faticano a gestire i rischi derivanti dalle loro catene di approvvigionamento e dai prodotti e servizi che li attraversano.
I rischi cybersecurity associati a questa perdita di controllo (o visibilità) possono essere significativi e possono spaziare dalla provenienza sconosciuta di hardware o software a supporto delle funzioni digitali di un’organizzazione, ai subappaltatori o consulenti che hanno accesso alle informazioni critiche.
Questo aspetto è indicato nel Cyber Supply Chain Risk Management come l’elemento di sicurezza informatica. Nell’ultimo decennio il C-SCRM si è evoluto con una particolare attenzione alle catene di approvvigionamento delle tecnologie dell’informazione e della comunicazione (ICT) e della componente operational (OT) per gestire qualsiasi rischio correlato alla sicurezza informatica. La supply chain comprende una gamma crescente di prodotti e servizi digitali che continua a crescere parallelamente all’espansione della digitalizzazione nella vita quotidiana degli individui e nel modo con cui viene condotto il business.
Sebbene i cybersecurity risk associati alla supply chain siano significativi, tali rischi non sono ancora ben compresi da molte organizzazioni. Nell’economia digitale, identificare, valutare e mitigare i rischi della cyber supply chain è una caratteristica fondamentale per garantire la resilienza aziendale. Sull’argomento sono stati scritti diversi standard, linee guida e documenti.
Le attività del Cyber Supply Chain Risk Management
Le principali attività, di seguito indicate, si basano sulle informazioni contenute nelle risorse disponibili relative al C-SCRM e, in generale, illustrano le azioni consolidate ed emergenti che si sono dimostrate empiricamente più efficaci.
1. Integrare il C-SCRM in tutta l’organizzazione
Le minacce cyber alla supply chain non riguardano solo la sicurezza dei prodotti cyber, ma la sicurezza di tutta l’organizzazione. Quindi è auspicabile una condivisione della problematica e un’integrazione del C-SCRM con gli altri sistemi di risk management adottati.
2. Deliberare un programma di C-SCRM
La formalizzazione assicura la responsabilità organizzativa per la gestione dei rischi cyber della supply chain. Le organizzazioni mature hanno programmi consolidati che indicano la governance, i criteri e le procedure, i processi e gli strumenti da utilizzare.
3. Conoscere e gestire i componenti e i fornitori critici
I fornitori critici sono quei fornitori che, se interrompessero la loro operatività, creerebbero un impatto negativo sull’organizzazione. I fornitori critici sono anche quei fornitori che forniscono componenti critici (prodotti o servizi) che supportano la mission aziendale. Una volta che questi sono stati identificati, possono essere valutati i relativi rischi e possono essere assegnate le relative priorità. Queste informazioni possono essere utilizzate nella stipula dei contratti con i fornitori (ad esempio nei termini e nelle condizioni) e, durante il ciclo di relazione con il fornitore, deve essere costantemente monitorata l’aderenza a questi requisiti per impedire l’insorgenza di criticità.
4. Conoscere la catena di approvvigionamento dell’organizzazione
Per gestire i cybersecurity risks derivanti dalle supply chain è necessario conoscere le proprie catene di approvvigionamento. In un contesto globale, i rischi possono derivare dalla connettività dei fornitori ai propri fornitori, dall’approvvigionamento dei componenti hardware e software, dalle tecnologie condivise prime e dopo le supply chain e dai processi e dalle persone all’interno di tali catene. Le best practice consigliano l’adozione di strumenti che favoriscono la tracciabilità e la trasparenza delle forniture condivisi con il fornitore.
5. Collaborare con i fornitori principali
È opportuno stabilire relazioni stringenti con i propri fornitori, fino alla creazione di ecosistemi condivisi tra acquirenti e fornitori, per aumentare il coordinamento e semplificare la gestione delle supply chain complesse.
6. Inserire i fornitori critici nelle attività di resilienza e miglioramento
Gli incidenti accadono anche alle organizzazioni più mature. Pertanto, si rende necessaria la pianificazione della resilienza dei fornitori, dei prodotti e delle risorse critiche, in termini di contingency planning, incident response e disaster recovery. Inoltre, è obbligatorio testare tali piani con i principali stakeholders per garantirne l’efficacia e conseguire un progressivo miglioramento continuo.
7. Valutare e monitorare le relationship con i fornitori
Le organizzazioni e i contesti sono in continua evoluzione, per cui la valutazione del fornitore condotta all’inizio del rapporto diventa inevitabilmente obsoleta prima che si esaurisca. Occorre stabilire programmi di monitoraggio con i fornitori che coprono l’intero ciclo di vita della relazione per una varietà di rischi quali ad esempio: la sicurezza, la privacy, la qualità, i rischi finanziari e geopolitici. La valutazione e il monitoraggio periodico semplificano la gestione dei rischi cyber della supply chain e degli altri requisiti SLA, l’identificazione di eventuali cambiamenti dello stato del fornitore e la mitigazione dei rischi identificati.
8. Pianificare l’intero ciclo di vita
Le organizzazioni devono pianificare le eventuali interruzioni impreviste della catena di approvvigionamento per garantire la continuità aziendale. Devono implementare una varietà di procedure per gestire questa tipologia di rischio, per esempio acquistando una quantità di riserva dei componenti critici e la creazione di relazioni con rivenditori approvati che potrebbero rimanere in attività. Un metodo innovativo, utilizzato dalle aziende digitali, è quello di portare internamente i produttori di componenti per garantire una fornitura ininterrotta dei componenti critici.
Per comprendere le motivazioni per le quali queste misure sono state ritenute efficaci e gli strumenti più validi per identificare, definire e comunicare i rischi della cyber supply chain si rimanda alla lettura della pubblicazione “Key Practices in Cyber Supply Chain Risk Management”.
Le raccomandazioni del NIST
Il NIST fornisce un elenco di raccomandazioni, organizzate secondo le attività illustrate, per le varie risorse di sicurezza della supply chain che si consiglia di adottare al fine di mitigare i rischi cyber, ma non solo, e un elenco di standard e linee guida a cui poter fare riferimento:
- istituire una task force sui rischi della catena di approvvigionamento che includa i responsabili di tutta l’organizzazione (ad esempio: cyber, sicurezza dei prodotti, approvvigionamento, legale, privacy, gestione dei rischi aziendali, business unit, ecc.).
- esplicitare attività di collaborazione, strutture e processi, che intersecano la funzione di supply chain con la sicurezza informatica, la sicurezza dei prodotti e la sicurezza fisica.
- coinvolgere il board attraverso riunioni che parlino del rischio cyber nelle supply chain e delle eventuali ricadute sulle performance aziendali.
- integrare gli elementi di sicurezza informatica nel ciclo di vita del sistema e dei prodotti.
- definire i ruoli e le responsabilità per gli aspetti di sicurezza nei rapporti con i fornitori.
- utilizzare indici di qualità e SLA per stabilire i requisiti dei fornitori.
- propagare i requisiti di sicurezza ai subfornitori dei fornitori.
- formare i principali stakeholders dell’organizzazione e la struttura del fornitore.
- interrompere i rapporti con i fornitori che non garantiscono la sicurezza.
- utilizzare un Criticality Analysis Process Model o un Business impact analysis (BIA) per individuare le criticità del fornitore.
- concordare indici di monitoraggio sui processi di produzione dei fornitori (ad esempio, percentuali di difetti, cause di guasto e test).
- sapere se i dati e l’infrastruttura sono accessibili ai subfornitori.
- affiancare i fornitori per migliorare le loro misure di sicurezza informatica.
- richiedere ai fornitori di applicare gli stessi standard adottati all’interno dell’organizzazione.
- utilizzare i questionari di valutazione per influenzare i requisiti di sicurezza informatica dell’acquirente.
- inserire i principali fornitori nella gestione e nei test dei piani di incident response, business continuity e disaster recovery.
- mantenere un elenco di fornitori che hanno avuto problemi in passato e sui quali l’acquirente dovrebbe stare particolarmente attento.
- stabilire dei criteri di accettazione per i rischi identificati.
- formalizzare i requisiti di cybersecurity tramite un documento come il Security Exhibit, il Security Schedule o il Security Addendum.
- fissare dei protocolli per la comunicazione delle vulnerabilità e la notifica degli incidenti.
- concordare dei protocolli per le comunicazioni con gli stakeholder esterni durante gli incidenti.
- incentivare l’analisi delle lessons learned e l’aggiornamento dei piani basati su di esse.
- utilizzare sistemi di valutazione di terze parti, effettuare visite in loco e sistemi di certificazione per valutare i fornitori critici.
- avere piani aggiornati per l’obsolescenza dei prodotti in dotazione.
L’elenco delle raccomandazioni proposto non è esaustivo di tutte le criticità, ma è una buona base di partenza per aumentare la consapevolezza sui rischi legati agli approvvigionamenti di prodotti e servizi e, soprattutto, sostenere il miglioramento dei propri prodotti e servizi offerti.