Nell'era digitale odierna, la complessità crescente dei sistemi informatici e delle tecnologie dell'informazione e della comunicazione (ICT) ha portato le organizzazioni a fare sempre più affidamento su fornitori esterni per la gestione e lo sviluppo dei propri sistemi. Questa dipendenza dai fornitori ICT ha creato una rete intricata di relazioni, nota come la supply chain o catena di approvvigionamento.

La supply chain è un ecosistema interconnesso di organizzazioni, risorse e processi coinvolti nella produzione o nell'erogazione di servizi fino al cliente o utente finale. Man mano che la pervasività e la complessità della supply chain nell'erogazione dei servizi ICT aumentano, anche i rischi associati crescono in modo esponenziale.

Numerosi incidenti di sicurezza informatica possono essere attribuiti a errori, negligenze e mancati controlli da parte dei subfornitori lungo la catena di approvvigionamento. Gli impatti di questi incidenti si propagano rapidamente, causando conseguenze gravi per il business delle organizzazioni coinvolte. Di conseguenza, la sicurezza della supply chain è diventata un argomento di importanza cruciale nell'attuale panorama globale.

I Rischi della Supply Chain ICT

In uno scenario in cui le tecnologie ICT si basano su supply chain sempre più complesse, distribuite a livello globale e fortemente interconnesse, una vulnerabilità derivante da un fornitore può tradursi immediatamente in una vulnerabilità del prodotto o servizio realizzato per il cliente finale. Questo prodotto o servizio può essere utilizzato da innumerevoli utenti, potenziali vittime inconsapevoli della complessità sottostante.

Questa situazione diventa estremamente allettante per gli attaccanti informatici. Da un lato, possono sfruttare le vulnerabilità di fornitori altamente specializzati nei loro campi applicativi ma spesso carenti in materia di cybersecurity. Dall'altro, possono causare un impatto potenzialmente ampio, rendendo gli attacchi alla supply chain particolarmente interessanti per i criminali che abbiano obiettivi economici, politici o strategici.

Principali Scenari di Rischio

Gli scenari di rischio legati alle tecnologie ICT all'interno della catena di fornitura sono naturalmente dipendenti dalla tipologia di prodotto o servizio o dal settore specifico in cui opera il cliente finale. Tuttavia, è possibile evidenziare i principali scenari di rischio e le relative buone pratiche:

Sicurezza dei Dati: Furto, compromissione, modifica o corruzione di dati critici gestiti o accessibili dai fornitori, causati dall'applicazione di misure di sicurezza inadeguate da parte dei fornitori stessi.

Vulnerabilità del Software: Software, sia di base che applicativo, sia open source che proprietario, che presenta vulnerabilità o comunque di qualità insufficiente. Inoltre, la compromissione della distribuzione del software e le difficoltà di aggiornamento rappresentano ulteriori sfide.

Presenza di Malware: Inserimento di software malevolo all'interno del software fornito, in fase di sviluppo, distribuzione o esercizio.

Vendor Lock-in: Dipendenza da un unico fornitore per servizi essenziali.

Indisponibilità di Dati e Servizi: Cessazione di attività da parte del fornitore, incidenti a sistemi, software, telecomunicazioni, carenza di personale.

Per ridurre questi rischi, le organizzazioni devono adottare buone pratiche come il mantenimento della governance sulle attività dei fornitori, processi di valutazione dei fornitori, misure contrattuali che affrontino gli aspetti di sicurezza, controllo sull'efficacia delle misure di sicurezza applicate dai fornitori (ad esempio, audit, controllo del codice) e robusti processi di gestione del cambiamento.

Normative e Framework di Riferimento

L'importanza della sicurezza nell'ambito della supply chain ha comportato la necessità, recepita dagli organi di governo nazionali e internazionali e da istituti di ricerca sulla cybersecurity ed enti regolatori, di definire e regolare la sicurezza informatica nei contesti propri della supply chain.

Normative Europee

Alcune normative europee recenti dettano requisiti di cybersecurity sul tema della supply chain, obbligando le organizzazioni di determinati settori a seguire regole e approcci omogenei di sicurezza informatica con un occhio di riguardo alla catena di approvvigionamento.

NIS 2 (Network and Information Security Directive 2)

La NIS 2 è una direttiva europea volta a migliorare la sicurezza delle reti e delle informazioni nell'Unione Europea. Si concentra sulla protezione delle infrastrutture critiche e dei servizi digitali essenziali degli Stati membri, con implicazioni significative per la sicurezza della supply chain per fornitori di tali servizi.

Le disposizioni rilevanti di NIS 2 comprendono:

• Requisiti di Sicurezza: Le organizzazioni devono adottare misure adeguate per garantire la sicurezza delle loro reti e sistemi informativi, incluso il monitoraggio dei rischi nella supply chain.
• Notifica degli Incidenti: Le organizzazioni devono notificare gli incidenti di sicurezza informatica alle autorità competenti, compresi quelli che coinvolgono fornitori e partner nella supply chain.
• Valutazione e Monitoraggio dei Fornitori: Le organizzazioni sono tenute a valutare e monitorare i rischi derivanti dai loro fornitori e controparti, eventualmente attraverso audit.

Gli Stati membri dell'UE devono recepire questa direttiva entro il 17 ottobre 2024.

DORA (Digital Operational Resilience Act)

DORA è un regolamento dell'Unione Europea che mira a migliorare la resilienza operativa delle entità finanziarie e dei fornitori di servizi digitali, inclusa la sicurezza della supply chain.

Le disposizioni pertinenti di DORA includono:

• Requisiti di Resilienza Operativa: Le entità soggette a DORA devono garantire la resilienza operativa, identificando e gestendo i rischi associati alla catena di approvvigionamento digitale e adottando misure adeguate per prevenire e rispondere agli incidenti.
• Monitoraggio dei Fornitori e delle Controparti: DORA richiede alle entità soggette di monitorare i rischi derivanti dalle loro controparti e fornitori di servizi digitali, eventualmente attraverso audit.
• Sorveglianza e Reportistica: Le autorità competenti monitoreranno il rispetto dei requisiti di resilienza operativa, incluso il coinvolgimento delle catene di fornitura digitali. Le entità soggette dovranno fornire report dettagliati sulle proprie pratiche di sicurezza della supply chain.

DORA, entrato in vigore il 17 gennaio 2023, diventerà vincolante il 17 gennaio 2025.

Entrambe le normative DORA e NIS 2 pongono un'enfasi significativa sulla sicurezza della supply chain e sull'audit dei fornitori quando necessario, promuovendo la trasparenza, la responsabilità e la cooperazione tra le parti interessate nella gestione dei rischi legati alla supply chain IT.

Framework Internazionali

Oltre alle normative, esistono anche framework internazionali che forniscono linee guida e best practice per la gestione della sicurezza nella supply chain.

ISO 28000

La ISO (International Organization for Standardization) ha dedicato uno standard specifico alla gestione della sicurezza nella supply chain, lo standard ISO 28000. Questo standard fornisce linee guida per l'implementazione di un sistema di gestione della sicurezza nella supply chain, aiutando le organizzazioni a identificare, valutare e gestire i rischi lungo l'intera catena di approvvigionamento, inclusi rischi legati alla sicurezza fisica, informatica e alla gestione dei dati.

NIST Special Publication 800-161

Il NIST (National Institute of Standards and Technologies) ha rilasciato un framework specifico per la sicurezza della supply chain, il NIST Special Publication 800-161, intitolato "Supply Chain Risk Management Practices for Federal Information Systems and Organizations".

Questo framework descrive le regole per l'implementazione di un sistema di gestione del rischio della supply chain di cybersecurity (C-SCRM), definito come un processo sistematico per la gestione dei rischi cyber lungo tutta la supply chain e lo sviluppo di strategie, politiche, processi e procedure di risposta appropriati.

Il NIST 800-161 evidenzia alcuni punti chiave per l'implementazione del C-SCRM:

• Valutazione della Sicurezza dei Fornitori: Il framework fornisce linee guida per valutare la sicurezza dei fornitori e dei contraenti, garantendo che soddisfino i requisiti di sicurezza stabiliti dall'organizzazione.
• Gestione dei Contratti: Il framework consiglia le pratiche da adottare nei contratti con fornitori e partner commerciali per mitigare i rischi nella supply chain, incluso l'inserimento di clausole di sicurezza e di audit.
• Training e Consapevolezza: Ogni individuo all'interno di un'azienda deve ricevere una formazione adeguata che gli consenta di comprendere l'importanza del C-SCRM per l'organizzazione.
• Monitoraggio e Mitigazione dei Rischi: Il framework incoraggia le organizzazioni a implementare processi per monitorare continuamente i rischi nella supply chain e adottare misure di mitigazione appropriate per ridurre l'esposizione a tali rischi.

Inoltre, il NIST 800-161 propone di contestualizzare i controlli di un altro framework del NIST, SP 800-53, un catalogo di controlli di sicurezza e privacy, per affrontare specificamente le sfide e i rischi della supply chain.

Gestione dei Contratti per Mitigare i Rischi della Supply Chain

Lo strumento fondamentale per formalizzare le aspettative di sicurezza tra un'organizzazione e i suoi fornitori è quello dei contratti. Attraverso strumenti contrattuali adeguati, è possibile stabilire obblighi, responsabilità e standard di sicurezza che i fornitori devono rispettare, contribuendo a mitigare i rischi legati alla supply chain.

I contratti con i fornitori ICT devono prevedere varie clausole che permettano di garantire la sicurezza della supply chain, come:

• Specificare i requisiti di sicurezza che i fornitori devono soddisfare, eventuali certificazioni e pratiche di gestione del rischio.
• Definire la conformità alle normative pertinenti.
• Stabilire le politiche di accesso ai sistemi e ai dati.
• Richiedere l'aggiornamento continuo dei sistemi e la notifica di eventuali vulnerabilità o incidenti di sicurezza.

È inoltre molto importante includere clausole contrattuali che permettano all'organizzazione di condurre audit regolari e monitorare le pratiche di sicurezza dei fornitori.

I contratti devono inoltre prevedere piani dettagliati per la gestione degli incidenti di sicurezza, inclusi i processi di notifica e le azioni correttive. È essenziale che i fornitori siano preparati a rispondere rapidamente agli incidenti e a collaborare con l'organizzazione per limitare i danni.

Infine, i contratti dovrebbero prevedere l'obbligo per i fornitori di partecipare a programmi di formazione sulla sicurezza, in modo da aumentare la consapevolezza delle minacce e delle best practice di sicurezza tra il personale dei fornitori, riducendo il rischio di incidenti.

Il Monitoraggio dei Fornitori: La Checklist del CLUSIT

Uno degli strumenti più comuni per la valutazione e il monitoraggio dei fornitori è la predisposizione di checklist di misure di sicurezza che l'organizzazione richiede al fornitore, costruita sulla base della tipologia e sulla criticità dal punto di vista della sicurezza dei prodotti e dei servizi forniti.

Si tratta di uno strumento valido per una prima forma di valutazione e monitoraggio dei fornitori, preliminare ad altri strumenti, come gli audit, che permettono un maggior livello di dettaglio, a fronte di una maggiore complessità.

Tuttavia, la mancata standardizzazione di queste checklist può portare alcune organizzazioni a predisporre checklist parziali o addirittura concettualmente errate, oltre a comportare un notevole impegno da parte dei fornitori, che si trovano spesso a dover rispondere a numerose checklist diverse nella forma e nei contenuti.

Per ovviare a questi problemi, il CLUSIT (Associazione Italiana per la Sicurezza Informatica) ha attivato un gruppo di lavoro con l'obiettivo di redigere un questionario di riferimento a supporto universale delle organizzazioni di ogni tipo, al fine di permettere di verificare agevolmente il grado di sicurezza delle informazioni/sicurezza ICT/cybersecurity dei propri fornitori.

Il questionario predisposto dal gruppo di lavoro, in formato Excel, si articola in 47 domande, a risposta chiusa e multipla, che mirano a verificare i principali requisiti previsti da ISO/IEC 27001 (Sistema di Gestione per la Sicurezza delle Informazioni) e FNCS (Framework Nazionale di Cyber Security) in termini di servizi ICT e prodotti ICT (software e hardware).

L'organizzazione, una volta deciso quali domande e quali risposte proporre ai fornitori, sarà in grado, al completamento del questionario da parte del fornitore, di individuare i punti di debolezza/non conformità e, conseguentemente, richiedere al fornitore le necessarie azioni a garantire la propria sicurezza.

Il questionario è utilizzabile secondo i limiti stabiliti dalla licenza Creative Commons CC BY-SA 4.0 ed è liberamente scaricabile.

Conclusioni

L'imminente fase vincolante delle normative europee DORA e NIS2 ha portato all'attenzione delle aziende e pubbliche amministrazioni il tema della sicurezza della supply chain, un aspetto importante affrontato finora in maniera non omogenea e standardizzata.

Sebbene gli standard siano presenti e gli elementi della sicurezza della supply chain ben noti e documentati, lo stesso non si può dire degli strumenti a supporto. È auspicabile che l'interesse crescente sul tema sia elemento propulsore alla nascita di strumenti a supporto, ad esempio, dell'analisi dei rischi della supply chain e della valutazione dei fornitori.

Le organizzazioni devono adottare un approccio proattivo e olistico per affrontare le sfide della sicurezza della supply chain, implementando le best practice e gli standard internazionali, adottando misure contrattuali appropriate e monitorando costantemente i propri fornitori. Solo così potranno mitigare efficacemente i rischi associati alla catena di approvvigionamento e proteggere la propria attività e i propri clienti.

Vuoi saperne di più?