Le lacune di sicurezza della supply chain
Le catene di approvvigionamento sono reti complicate e la loro digitalizzazione le rende vulnerabili agli attacchi: una maggiore trasparenza sulle merci da parte dei produttori e misure di controllo più severe possono aiutare.
Se in taluni ambiti (ad es. mobilità, alimentare, farmaceutico, ecc.) l’integrità e la sicurezza dei prodotti fisici vengono verificate prima della loro commercializzazione, la qualità e la sicurezza di molti prodotti digitali non sono invece garantite. La sicurezza delle supply chain per i prodotti digitali è spesso insufficiente e a causa della mancanza di informazioni trasparenti e fondate, spesso il management di un’azienda non è in grado di prendere decisioni sostenibili. È quanto si evince da un rapporto del 2019 di ICTswitzerland, l’organizzazione mantello svizzera per l’economia digitale, sulla sicurezza della supply chain.
A fine 2021, l’azienda di servizi di sicurezza cibernetica BlueVoyant ha condotto un sondaggio su larga scala sulla sicurezza informatica, coinvolgendo 1’200 dirigenti di livello C di aziende con più di mille dipendenti e sei Paesi, tra cui Germania, Austria e Svizzera. I risultati di questi tre Paesi mostrano attacchi in aumento, scarsa visibilità dei fornitori e mancanza di informazioni sulla cibersicurezza di terzi. Nell’ultimo anno, il 99% delle aziende intervistate con sede in questi Paesi è stato vittima di un attacco diretto dovuto alla vulnerabilità di terzi a livello di sicurezza e addirittura il 100% ha subito indirettamente le conseguenze negative di una violazione della sicurezza nella propria rete di fornitori. Una situazione allarmante.
Pandemia e guerra in Ucraina hanno dimostrato chiaramente che le catene di approvvigionamento internazionali devono diventare più trasparenti, cosicché le aziende possano reagire molto presto a ostacoli e interruzioni. Ciò significa che le catene di approvvigionamento devono essere maggiormente digitalizzate.
Ma più aumenta la digitalizzazione, più aumentano le opportunità di attacchi digitali da parte degli hacker. Ciò rende necessario adottare maggiori misure di protezione digitale, come ad esempio programmi antivirus e malware specifici. Questi però da soli non sono sufficienti.
Piccole aziende con grandi lacune nella sicurezza
Il problema fondamentale non è la digitalizzazione in sé, bensì la complessità delle catene di approvvigionamento: il numero di fornitori per ogni singola azienda è infatti cresciuto a causa della pandemia e della guerra in Ucraina, rendendo la filiera sempre più difficile da gestire e da controllare. Il rischio maggiore è rappresentato dalle imprese di piccole dimensioni, ben lontane dal disporre di misure di sicurezza solide, come è invece il caso delle aziende più grandi. La verifica e la valutazione di una catena di approvvigionamento a distanza di settimane o mesi non è sufficiente per tenere testa ad aggressori agili e persistenti. Il monitoraggio continuo e la risposta rapida alle nuove vulnerabilità critiche scoperte sono essenziali per una gestione efficace del rischio informatico. Ciò include l’automazione delle analisi, l’estensione delle valutazioni di sicurezza da alcuni fornitori chiave a tutti i fornitori, l’identificazione di aree di particolare vulnerabilità e l’informazione ai propri fornitori in merito ai rischi emergenti e alle misure pratiche da adottare per correggere i problemi, conclude il rapporto di BlueVoyant.
Lavatrici e tostapane intelligenti in balia degli hacker
Quali sono quindi i fattori di rischio e le vulnerabilità tipiche? In sostanza, nell’attacco ad una supply chain, hacker e ricattatori possono manipolare i prodotti digitali o i loro componenti anche prima della loro consegna all’acquirente. Ciò avviene, ad esempio, durante lo sviluppo dei chip, la produzione o l’integrazione di altri componenti digitali e persino durante il trasporto al cliente. Gli hacker ottengono l’accesso principalmente tramite accessi non documentati, mediante le cosiddette backdoor (letteralmente “porte di servizio” che consentono di accedere da remoto ad un sistema e di controllarlo, superando le procedure di sicurezza attivate) o, se si tratta di prodotti collegati in rete, tramite malfunzionamenti impiantati e che possono essere attivati da aggiornamenti successivi alla consegna.
Questa infiltrazione diventa pericolosa se si tratta di prodotti distribuiti su larga scala, ovvero di beni di consumo digitali come computer, sensori, IoT e sistemi di controllo domestico. Lo stesso vale per televisori, lavatrici e tostapane intelligenti.
Tutti questi prodotti presentano un’interfaccia tra software e hardware e possono essere dotati di funzioni nascoste che vengono attivate a distanza quando necessario. I prodotti digitali senza dispositivi di input (mouse, schermo, ecc.) spesso non sembrano computer collegati in rete… eppure lo sono e non sono sufficientemente protetti.
Il dipendente: un rischio rilevante
In molte aziende, anche i dipendenti rappresentano un rischio per la sicurezza: è il caso quando aprono gli allegati ai messaggi di posta elettronica ricevuti da sconosciuti oppure quando effettuano grandi trasferimenti di denaro su istruzioni ricevute dai loro superiori via e-mail. Infine, possono anche divulgare inconsapevolmente informazioni aziendali sensibili chiacchierando durante il pranzo. In questo caso può essere d’aiuto una formazione specifica su argomenti rilevanti per la sicurezza aziendale e la presentazione di scenari concreti.
Ci sono poi dipendenti che spiano o manipolano deliberatamente. Un controllo del background dei dipendenti è utile per prevenire questo problema, soprattutto nel caso di collaboratori destinati ad occupare posizioni sensibili. È inoltre possibile limitare l’accesso ai dati aziendali. Infine, strumenti interni di whistleblowing dovrebbero essere attivati per consentire la segnalazione anonima di comportamenti sospetti.
Occorre prestare sufficiente attenzione anche alla cosiddetta sicurezza mobile: la verifica delle e-mail tramite cellulare, il controllo dei livelli delle scorte dal proprio tablet, l’inoltro della scansione di un carico tramite WLAN, ecc. mettono infatti in moto flussi di dati rilevanti. Tra le misure di prevenzione e protezione da adottare vi è sicuramente l’adozione di programmi di sicurezza per i dispositivi digitali mobili o ancora l’astensione dall’utilizzo di hotspot.
Anche la protezione dei dati nella supply chain è importante: lo standard minimo dovrebbe includere la crittografia di tutti i dati e delle e-mail. Si sta inoltre diffondendo lo standard di identificazione di tutti gli utenti dei dispositivi tramite caratteristiche biometriche, come le impronte digitali o la voce. Un’altra precauzione di sicurezza interna è, ad esempio, il monitoraggio regolare delle penetrazioni del firewall dall’esterno. A ciò si aggiunge la simulazione di scenari di attacco concreti e la progettazione di contromisure adeguate.
I produttori devono assumersi responsabilità
Una valutazione continua dei rischi deve essere effettuata anche con i partner esterni della catena di approvvigionamento. È necessario proteggere l’intera supply chain e i singoli fornitori, i gestori di servizi e tutti i partner di comunicazione e, idealmente, poter verificare in qualsiasi momento chi è attivo nella rete della catena di fornitura, cosa sta facendo e se l’azione è stata autorizzata.
È inoltre importante responsabilizzare i produttori di dispositivi e componenti digitali: dovrebbero documentare tutti gli account predefiniti o standard, le password, i certificati e le chiavi integrati nel prodotto e renderli accessibili. Sarebbe inoltre auspicabile che il cliente fosse in grado di effettuare il cosiddetto “reverse engineering” per verificare l’integrità e la sicurezza dell’hardware e del software di un prodotto senza violare automaticamente i diritti di proprietà intellettuale.
Protezione contro i rischi cibernetici: anche a livello nazionale
La sicurezza cibernetica assume sempre più un ruolo di prim’ordine, anche sul piano nazionale: lo conferma il recente annuncio da parte del Consiglio federale di voler trasformare il Centro nazionale per cibersicurezza (NCSC) in un ufficio federale, incaricando a tale scopo il Dipartimento federale delle finanze (DFF) di elaborare proposte relative alla sua struttura e al suo posizionamento all’interno di un dipartimento entro la fine del 2022.
Questa misura altro non fa che sottolineare ulteriormente la necessità di garantire la sicurezza della catena di approvvigionamento: infatti, la sicurezza cibernetica non deve più essere percepita come un compito isolato, bensì come un processo permanente all’interno della filiera.