Clorox, uno dei principali produttori di prodotti per la pulizia negli USA, ha intentato causa al suo ex fornitore di servizi IT due anni dopo essere stato colpito da un grave attacco informatico. La causa sostiene che il fornitore di servizi IT, Cognizant, abbia consentito agli aggressori (il gruppo Scattered Spider) di accedere alla rete aziendale dopo che questi, spacciandosi per dipendenti, erano riusciti ad ottenere le credenziali.
In questo modo, gli hacker, che usualmente prendono di mira i service desk aziendali, sono riusciti nell’agosto 2023 a infettare Clorox con un ransomware. Questa gaffe nel supporto IT avrebbe causato danni e interruzioni per circa 380 milioni di dollari a Clorox.
Nello specifico, come riporta Tom’s Hardware, Cognizant gestiva le reti interne di Clorox in modo che chi avesse avuto problemi con password, codici di autenticazione a più fattori (MFA) e VPN avrebbe dovuto coordinarsi con il fornitore IT per riottenere l’accesso al sistema. Solo che, come sostiene Clorox, il Service Desk di Cognizant avrebbe fornito le password di accesso agli hacker senza verificare l’identità del chiamante. Tale azione va contro le policy adottate per impedire l’accesso da parte di personale non autorizzato, tra cui uno strumento interno di verifica e di auto-reimpostazione delle password. L’intera procedura, pensata per garantire elevata sicurezza, non sarebbe stata seguita: secondo Clorox, il personale di Cognizant si è limitato a consegnare le password senza confermare l’identità del chiamante. Esiste una trascrizione parziale della chiamata come prova: il presunto hacker avrebbe detto al dipendente di Cognizant: “Non ho una password, quindi non riesco a connettermi”.
Tornando alla causa, Cognizant ha negato con veemenza la responsabilità dell’attacco informatico, sottolineando di non aver gestito l’attacco. Clorox chiede 380 milioni di dollari di danni diretti e compensativi, oltre a danni punitivi. Si dice che l’attacco informatico sia costato all’azienda 49 milioni di dollari di spese. Anche se non conosceremo a breve l’esito della causa, essa evidenzia come le organizzazioni siano oggi chiamate a verificare attentamente la sicurezza dei fornitori terzi e, nel caso si verifichi un incidente, a prendere opportune contromisure. Molto spesso, infatti, i fornitori terzi potrebbero essere ritenuti responsabili se non hanno seguito rigorose pratiche di sicurezza.
Incidenti da IT Supply Chain con conseguenze serie e azioni legali
Il rischio cyber collegato alla IT supply chain è diventato centrale negli ultimi anni, con attacchi che hanno avuto impatti di vasta portata sia dal punto di vista operativo sia legale. Alcuni casi reali e significativi che evidenziano queste dinamiche sono riportati nella tabella.
Principali esempi di incidenti da Supply Chain IT con le relative azioni legali[1]
| Caso | Descrizione | Danni e Impatti | Azioni Legali |
| 3CX (2023)
|
Attacco alla piattaforma di comunicazione 3CX: i cyber criminali compromettono l’applicazione utilizzando un file infetto, che poi scarica un file crittografato contenente informazioni di comando e controllo. Ciò ha consentito agli aggressori di eseguire attività dannose all’interno dell’ambiente delle vittime.
|
Compromissione di clienti aziendali in tutto il mondo, perdita di fiducia e rischio esfiltrazione dati.
|
Investigazioni interne, richieste di danni da parte dei clienti e discussioni sui requisiti di sicurezza tra cliente e fornitore.
|
| Kaseya (2021)
|
Compromissione da parte di attaccanti del software di gestione Kaseya VSA utilizzato da MSP (Managed Service Provider): il ransomware REvil è stato quindi propagato tramite un upgrade della piattaforma a migliaia di clienti MSP in tutto il mondo.
|
Oltre 1,500 aziende clienti colpite, con business fermati e riscatto richiesto complessivo pari a 70 milioni di dollari.
|
Diverse azioni legali avviate da clienti MSP verso Kaseya per presunte lacune di sicurezza e violazione contrattuale.
|
| SolarWinds (2020)
|
Gli aggressori hanno inserito una backdoor (Sunburst) in un aggiornamento software di SolarWinds Orion, strumento di IT monitoring / IT management utilizzato da migliaia di aziende e agenzie governative. Il malware ha raccolto informazioni dalle reti infette e ha inviato dati a un server remoto. Responsabile dell’attacco è stato Cozy Bear, collegato al Servizio di intelligence estero russo (SVR).
|
Accesso a dati sensibili, compromissione di enti federali USA e grandi corporate. Oltre 18mila enti e aziende finali colpite. Gravi danni reputazionali ed economici, oltre a spese legali e per la remediation.
|
Sono seguite indagini governative, cause class action e reclami verso fornitori IT coinvolti, con discussioni sul rispetto dei contratti di sicurezza.
|
| British Airways (2018)
|
L’attacco è stato realizzato tramite l’inserimento di un codice JavaScript malevolo (22 linee di codice aggiunte alla libreria Modernizr usata sul sito BA) da parte del gruppo criminale Magecart. Questo codice ha consentito di intercettare e inviare i dati personali e finanziari (nomi, indirizzi, email, numeri di carta di credito con CVV) degli utenti a un server controllato dagli hacker con un dominio fasullo (baways.com), molto simile a quello ufficiale di British Airways.
|
L’attacco ha avuto conseguenze pesanti: il furto di dati sensibili di 380.000 clienti, e in un secondo momento si è scoperto che altri 185.000 ulteriori clienti. Multa record da circa 20 milioni di sterline (circa 204 milioni di euro) inflitta dall’autorità britannica per la protezione dei dati (ICO). Impatto reputazionale significativo per British Airways. | BA ha perseguito legalmente i fornitori coinvolti, sostenendo la responsabilità contrattuale e la non adeguata protezione.
|
Quello che emerge analizzando i diversi casi è che gli incidenti informatici dei fornitori, tra cui violazioni dei dati, attacchi ransomware e compromissioni del sistema, spesso innescano azioni legali che hanno come motivazione
- negligenza del fornitore,
- violazione del contratto (non sono state rispettate le misure di sicurezza da contratto)
- violazioni normative (come la mancata segnalazione dell’incidente).
La responsabilità del fornitore IT deriva in genere da misure di sicurezza informatica inadeguate e notifiche di violazione ritardate. I contratti specificano comunemente quali sono le responsabilità del fornitore, le clausole per eventuali indennizzi e gli obblighi di notifica. In aggiunta, i quadri normativi impongono severi requisiti di conformità. Il mancato rispetto di questi standard può comportare multe e contenziosi. Comprendere queste dinamiche è fondamentale per mitigare l’esposizione legale e gestire efficacemente i rischi di sicurezza informatica di terze parti (come sottolineato in Vendor Cyber Incidents That Trigger Legal Claims).
Quali sono le principali vulnerabilità nelle supply chain IT che vengono sfruttate dagli hacker?
Le principali vulnerabilità nelle supply chain IT sfruttate dagli hacker includono diversi punti vulnerabili e fanno spesso leva sulle relazioni di fiducia tra aziende e fornitori, sulla complessità tecnica delle infrastrutture e su pratiche di gestione consolidate ma non adeguatamente supervisionate. I motivi che portano più spesso a incidenti legati alla IT Supply Chain sono:
- Fornitori con misure di sicurezza insufficienti. I piccoli fornitori o partner con sistemi obsoleti o scarse protezioni possono diventare la porta d’ingresso per attacchi più ampi. Gli hacker sfruttano proprio questi “anelli deboli” per penetrare reti più grandi e critiche.
- Compromissione del software di terze parti. Fornitori o sviluppatori malevoli possono inserire malware, backdoor o codice dannoso in software o librerie usate da molte aziende. Ciò permette agli aggressori di diffondere attacchi su vasta scala, come nel caso di SolarWinds o vulnerabilità in Log4j.
- Vulnerabilità negli aggiornamenti software. Gli hacker possono inserire codice malevolo nei processi di aggiornamento del software, sfruttando la fiducia delle organizzazioni nel software fornito da terze parti.
- Attacchi di social engineering e furto di credenziali. Tecniche come il phishing mirato (Business Email Compromise o Vendor Email Compromise) consentono agli aggressori di compromettere account e-mail di dipendenti chiave, ingannando le aziende a inviare pagamenti fraudolenti o rivelare informazioni sensibili.
- Attacchi di tipo “dependency confusion” e componenti malevoli. Gli hacker sfruttano il comportamento dei package manager che cercano prima pacchetti nei repository pubblici; possono quindi caricare pacchetti con nomi simili a quelli privati per indurre allo scaricamento di codice dannoso.
- Hardware compromesso o contraffatto. Componenti fisici forniti nella supply chain possono contenere microchip o firmware alterati che consentono l’accesso remoto o l’intercettazione di dati, difficili da rilevare con i normali controlli.
- Mancanza di visibilità e controllo sulle relazioni con fornitori (terze e quarte parti). In filiere complesse, la scarsa trasparenza tra i vari livelli della supply chain rende difficile monitorare e mitigare efficacemente i rischi, aumentando la superficie di attacco.
Le vulnerabilità sfruttate più frequentemente riguardano in conclusione la compromissione del software di terze parti, i processi di aggiornamento, il furto di credenziali tramite phishing mirato, il ricorso a componenti malevoli a livello hardware e software, oltre alle debolezze di sicurezza nei sistemi dei fornitori meno protetti. Queste dinamiche rendono la gestione della sicurezza nelle supply chain IT particolarmente complessa e critica.
Come rimettere al centro la sicurezza della IT Supply Chain
Oggi, la sicurezza delle filiere IT (IT supply chain) è al centro di numerose iniziative internazionali. Queste azioni, sia tecniche che regolatorie, puntano a ridurre i rischi cyber derivanti dalla complessità dei fornitori e dai molteplici livelli della catena di approvvigionamento. Ecco le principali direttrici adottate nel 2025:
Software Bill of Materials (SBOM)
- L’SBOM è un inventario dettagliato di tutte le componenti software (librerie, pacchetti, moduli) che costituiscono un prodotto digitale. Consente di identificare rapidamente le vulnerabilità, tracciare le dipendenze e gestire in modo proattivo i rischi in caso di falle note in qualche componente di terze parti.
- L’adozione di SBOM è in rapido aumento, spesso richiesta nei contratti pubblici e imposta da normative negli Stati Uniti, UE e Giappone. Sono raccomandati anche strumenti automatici per la generazione e l’aggiornamento degli SBOM integrati nelle pipeline CI/CD e la collaborazione tra vendor per garantire trasparenza su tutto il ciclo di vita del software.
Nuove Normative e Standard
- NIS2 (UE): Richiede che tutte le aziende critiche e i fornitori adottino obblighi di gestione del rischio cyber, incluse valutazioni sui fornitori, requisiti contrattuali stringenti, incident response e notifiche tempestive di eventuali incidenti di sicurezza. Prevede sanzioni pesanti in caso di inadempienza e una maggiore collaborazione tra aziende e autorità per la condivisione delle minacce.
- DORA (Digital Operational Resilience Act, UE): Impone requisiti stringenti per la resilienza operativa, incluse valutazioni approfondite dei fornitori ICT e gestione dei rischi terzi.
- SCS (Supply Chain Security) 9001: Primo standard globale di sicurezza supply chain specifico per il settore ICT, che integra best practice di sicurezza, auditing e misurazioni di performance su hardware, software e servizi.
- ISO/IEC 27001:2022, PCI DSS 4.0: Nuove versioni degli standard interni per la sicurezza delle informazioni prevedono controlli più severi sulla supply chain, come MFA obbligatoria, log retention più lunga e verifiche periodiche dei fornitori.
Per maggiori informazioni: Supply Chain Security Frameworks, Standards, Regulations and Best Practices, February 25, 2025.
Approcci tecnici e di governance:
- Terze parti e gestione del rischio: le aziende adottano processi di valutazione continua dei rischi associati ai fornitori, audit di sicurezza regolari, tracciabilità fisica dell’hardware con ispezioni random e richieste di pratiche sicure di CI/CD (build sicure, monitoraggio accessi, incident response automatizzata).
- Zero Trust e segmentazione: applicazione di architetture Zero Trust non solo verso l’interno, ma anche verso partner e fornitori, con segmentazione delle reti e rigido controllo degli accessi.
- Automazione e Intelligenza Artificiale: l’uso di IA per rilevare anomalie e threat intelligence automatica nel monitoraggio della supply chain è sempre più diffuso, per identificare rapidamente attacchi sofisticati, tentativi di social engineering, anomalie nelle build e minacce da gruppi APT.
Iniziative di collaborazione e intelligence:
- Sharing di cyber threat intelligence: le aziende partecipano sempre più a piattaforme consortili, come ISAC, MITRE ATT&CK e altre, per lo scambio di indicatori, tattiche, tecniche e contromisure relative alle minacce emergenti.
- Cooperazione intersettoriale e con regolatori: le strategie di sicurezza supply chain sono co-create con regolatori, associazioni di categoria e peer internazionali per affrontare rischi trans-nazionali e rischi geopolitici su infrastrutture e cloud.
I continui progressi nelle normative, negli standard tecnici come l’adozione diffusa di SBOM, e nelle strategie di governance collaborativa rappresentano un passo cruciale per aumentare la trasparenza, ridurre i rischi e rafforzare la resilienza delle supply chain IT, pur riconoscendo che la complessità intrinseca di queste filiere richiederà un impegno costante e multidimensionale per fronteggiare efficacemente le minacce cyber in evoluzione.
A cura di:
Elena Vaciago, The Innovation Group
[1] (Fonti: Supply Chain Attacks: 7 Examples and 4 Defensive Strategies; Top 10 Supply Chain Attacks that Shook the World; Top 15 software supply chain attacks: Case studies )
