Realizzare nella pratica la sicurezza delle Supply Chain

Realizzare nella pratica la sicurezza delle Supply Chain

Realizzare nella pratica la sicurezza delle Supply Chain

Gestire la sicurezza della supply chain, o delle terze parti, sta diventando la sfida più importante di tutti i tempi. Come abbiamo visto quest’anno, prima con la diffusione in più settore degli attacchi Accellion, SolarWinds, Kaseya, poi con la vulnerabilità della libreria Java Log4j, presente in un’infinità di package software e sistemi collegati a Internet (la CISA americana ha predisposto una lista molto ampia di tutti i prodotti impattati), è chiaro a tutti che la portata del fenomeno è enorme.

Oggi sappiamo che un singolo attacco a una supply chain può arrivare a colpire fino a decine di migliaia di aziende. Secondo alcune stime, il costo dell’attacco SolarWinds potrebbe aver superato i 100 miliardi di dollari. Secondo il report “Managing Cyber Risk Across the Extended Vendor Ecosystem” di BlueVoyant, basato su un’indagine che ha coinvolto 1.200 CIO, CISO e Responsabili acquisti in più Paesi, il 93% dei rispondenti avrebbe subito un data breach per debolezze delle terze parti, mentre il 97% dei rispondenti avrebbe avuto impatti negativi legati a un problema di cybersecurity presso fornitori terzi.

supply chain

Fonte: “Managing Cyber Risk Across the Extended Vendor Ecosystem”, BlueVoyant, Novembre 2021

L’attenzione alle vulnerabilità dei fornitori è molto cresciuta nell’ultimo anno: secondo l’indagine, solo un 13% degli intervistati non considera questo rischio (era il 31% l’anno precedente). Ciò nonostante, molti problemi permangono: il 38% delle aziende intervistate continua a non avere alcuna visibilità sui problemi di sicurezza delle terze parti. Il 41% aggiunge che – anche nel caso venisse scoperto un problema e informato il fornitore di questo – non si sarebbe comunque in grado di sapere se la vulnerabilità è stata risolta. Altre difficoltà, nella gestione del rischio cyber delle terze parti, sono: ridurre i falsi positivi, gestire grandi quantità di dati, assegnare una corretta priorità al rischio, valutare infine il rischio della propria realtà.

Già è difficile difendere la propria organizzazione: arrivare a prevenire problemi lungo l’intera supply chain non sarà quindi un’impresa impossibile? Come combattere contro situazioni su cui non si ha il minimo controllo?

In realtà molti stanno già oggi investendo nel migliorare la gestione del rischio cyber legato alle terze parti. Come riporta l’indagine:

  • Il 29% delle aziende ha aumentato il budget per la sicurezza della supply chain tra il 26 e il 50%,
  • Il 42% per il 51-100%,
  • Il 17% per oltre il 100%.

Soltanto un 5% non ha registrato alcun aumento, e un 4% ha invece avuto una diminuzione di questi investimenti. Tra le misure indicate invece per aumentare la sicurezza: un monitoraggio e una remediation continuativa, un innalzamento della consapevolezza su questi temi, sia nella propria organizzazione sia presso gli stessi fornitori esterni.

 

Cosa fare quindi per incorporare la gestione del rischio delle terze parti nel piano di cyber risk management aziendale? Per quanto complessa, la situazione può essere migliorata se si tengono presenti alcuni “fondamentali”. Sul tema abbiamo intervistato Elisa Garavaglia, Cyber Security Governance & Business Continuity presso Assicurazioni Generali.

TIG. Parliamo di Supply Chain Security: cosa è prioritario per integrare i nuovi requisiti di sicurezza rivolti alle terze parti nelle procedure aziendali esistenti?

Elisa Garavaglia Elisa Garavaglia. Aspetto molto importante, bisogna integrare la sicurezza delle terze parti nei processi aziendali, convincendo i responsabili in azienda dei rapporti delle terze parti, ossia il procurement e i richiedenti dei servizi, che la sicurezza aggiunge valore. Quindi nuovi controlli aggiungono valore rispetto ai requisiti già esistenti. Questo è fondamentale.

TIG. Nel settore assicurativo, quali sono le norme di riferimento per la Supply Chain Security?

Elisa Garavaglia. Nel nostro settore, il tema della Resilienza è nelle linee guida fornite da IVASS già da luglio 2021. Con riferimento alle terze parti, un aspetto anticipato da IVASS, organo regulatory per le assicurazioni, è che la politica di sicurezza di cui si deve dotare la compagnia di assicurazione deve essere anche comunicata alle terze parti. Con queste si intende, nel settore assicurativo, chiunque offra prestazioni di servizi, sia quelli IT sia anche terzi come broker e agenti che accedono a informazioni della compagnia.

Compito della funzione di Information Security della compagnia è quindi quello di spiegare le linee guida e assicurarsi che i requisiti di sicurezza siano adottati dalle terze parti, e che sia fatto security training, siano spiegate quindi tutte le procedure di sicurezza non solo ai dipendenti interni ma anche alle terze parti che collaborano accedendo a informazioni o sistemi dell’assicurazione. Idem per i controlli: la compagnia deve includere nel proprio monitoraggio di sicurezza, anche le transazioni fatte con terze parti. Quindi si estende il perimetro di analisi della sicurezza, per una migliore prevenzione degli incidenti.

cyber risk

In sostanza quindi si comincia già oggi a delineare, a livello normativo o comunque di best practice di cybersecurity, uno scenario in cui le terze parti devono essere viste come un’estensione della stessa organizzazione interna. Ne abbiamo parlato con Alessio Setaro, Cyber Security Leader presso Leroy Merlin Italia.

TIG. Come vedrà evolvere la gestione della supply chain security nei prossimi anni?

Alessio Setaro Alessio Setaro. Così come noi cerchiamo di abbattere i silos interni, per avere una maggiore integrazione tra le diverse aree del business e arrivare ad una cybersecurity costruita dal basso ed integrata nei processi aziendali, anche con i fornitori bisogna oggi cominciare a ragionare in termini di “ecosistema digitale” e non soltanto come rapporto tra due parti.

Perché la fiducia deve esserci. Senza prescindere da regole contrattuali e compliance, il rapporto quotidiano deve essere costruito su fiducia e trasparenza: solo questo aiuta la sopravvivenza di entrambi i soggetti, anche perché se fallisce uno cade anche l’altro. Le interconnessi sono bidirezionali e i danni di immagine condivisi.

TIG. Come costruire nel concreto questo rapporto di fiducia?

Alessio Setaro. Bisogna puntare anche ad un’integrazione dei sistemi di monitoraggio e controllo: il fornitore, può ad esempio inviarci i suoi allarmi ed eventi, in modo da darci visibilità su tutto quello che è lo stato dei suoi sistemi digitali. Ad esempio, se si stanno profilando delle minacce che possono propagarsi tra le interconnessioni. Ovviamente vale anche il viceversa, anche io – come parte integrante del sistema – devo notificare al fornitore gli eventi anomali che ho osservato sul mio lato dell’interconnessione.

Lo scenario sta cambiando, i fornitori strategici devono trasformarsi in partner e membri di una “famiglia allargata”, in quanto contribuiscono attivamente alla realizzazione del      business. Su questo nuovo modello vanno quindi utilizzati indicatori di rischio efficaci su cui basare la selezione dei partner più adatti a questa missione, soprattutto per gestire e presidiare prodotti digitali e servizi critici per la nostra azienda. Alla base di questo rapporto di fiducia deve esserci un costante interscambio di informazioni.

A cura di:

Elena Vaciago, @evaciago

 

Precedente articolo: FAR CRESCERE LA SUPPLY CHAIN SECURITY IN ECOSISTEMI CONNESSI, 13 dicembre 2021