10 regole sulla sicurezza dei fornitori ("supply chain").

Benvenute, e benvenuti, a una nuova serie di contenuti, che ho denominato "Il digitale per tutti" e che vi faranno compagnia tutti i venerdì mattina fino alla fine del 2023 su questo blog. Sono, essenzialmente, dei decaloghi nei quali ho elaborato una serie di regole, comprensibili anche per i non esperti, per affrontare singoli temi legati alla cybersecurity e agli attacchi informatici. Il fine è, ovviamente, quello di aumentare la sensibilità nei confronti di questi temi e, di conseguenza, le difese collettive.

Alcune premesse

Sono sempre più comuni quegli attacchi informatici che colpiscono non direttamente l’obiettivo principale (ente o azienda che sia), bensì tutte quelle realtà produttive, piccole, medie e grandi, che ruotano attorno alle grandi aziende e ai grandi enti e che forniscono loro i principali servizi informatici.

Si pensi a un fornitore di servizi in cloud, o di hosting o, ancora, di applicazioni e servizi specifici (chi crea chatbot per assistenza clienti, o il “carrello” e sistema di pagamento connesso o, ancora, una web agency che gestisce siti di terze parti o una società che gestisce database e archivi altrui).

Tali attacchi sono finalizzati a cercare punti di ingresso o vulnerabilità che permettano, poi, di entrare nel sistema del “cliente” principale, confidando anche sul fatto che una realtà più piccola abbia un sistema di protezione meno avanzato e sofisticato. Questo è il motivo per cui sono particolarmente interessanti, in un'ottica criminale, società molto piccole (ad esempio con tre o quattro dipendenti) ma che forniscono servizi essenziali alle "grandi" (ad esempio: un app che raggiunge tutti i clienti e che, quindi, gestisce tutti i loro dati).

Sono prese di mira soprattutto le catene delle grandi società informatiche, dal momento che spesso un attacco che colpisce una grande realtà che fornisce servizi a centinaia di altre aziende si può riflettere direttamente su tutte le altre. Si pensi a un attacco ransomware che blocchi le attività di una società che fornisce servizi a tante altre e il terribile effetto a catena che si può generare.

L’unico modo per difendersi, in casi simili, è quello di valutare a fondo l’intera catena di fornitura che esiste attorno alla nostra azienda o ente, anche utilizzando software e indicatori di vulnerabilità e di rischio.

È chiaro, poi, come i rischi dovuti a negligenza e a mancato controllo di tutte le attività che vengono delegate a terze parti (consulenti, partners, fornitori e rivenditori) aumentino sensibilmente con le dimensioni delle attività e dei servizi offerti: più largo è il perimetro, più aumenta il rischio.

Sì pensi a una vulnerabilità che colpisca una applicazione web che dialoga con i clienti e che consenta di rivelare le credenziali degli stessi, oppure a una configurazione errata dei privilegi che apra "porte di accesso" alla rete. Se poi i sistemi sono gestiti da numerosi soggetti terzi, anche come sub-responsabili, diventa estremamente complesso capire di chi sia la colpa della vulnerabilità o dell’incidente.

Il conflitto russo ucraino ha mostrato anche una prospettiva diversa dell’idea di catena di fornitori, con un aumento d'interesse per gli attacchi di quei sistemi che gestiscono la rete elettrica per colpire la distribuzione di energia o per causare blackout, sempre usando dei malware particolarmente sofisticati che colpiscono sistemi di controllo industriale (già usati, in passato, anche contro centrali nucleari).

L’idea è che il malware possa interagire con le macchine industriali e i sistemi che pilotano le infrastrutture. In più l’uso di wiper consente di distruggere tutti i dati presenti sui computer e anche sui sistemi di backup (ciò consente, come prevedibile, di ritardare la rimessa in funzione del sistema).

DIECI semplici regole da apprendere per comprendere questo tema

1. Tutti i fornitori e i sub-fornitori dovrebbero essere verificati innanzitutto in punto di sicurezza informatica che offrono (e realmente garantiscono).
2. Particolare attenzione va dedicata alle app commissionate all’esterno a piccole società e che, di conseguenza, hanno accesso agli archivi principali del cliente.
3. Particolare attenzione va riservata ai servizi web che si “aprono” sul sito e che vegono gestiti da terze parti.
4. Il carrello dell’e-shop e i sistemi di pagamento possono essere due servizi vulnerabili gestiti da società terze cui prestare particolare attenzione.
5. Occorre controllare la formazione degli amministratori di sistema e dei dipendenti dei partner e fornitori e di tutti coloro che nelle società esterne trattano i dati.
6. Occorre prestare attenzione al malware che colpisce specificamente macchine aziendali, perché in grado di interrompere completamente le attività e la fornitura di servizi.
7. Occorre prestare attenzione alle configurazioni dei sistemi.
8. Occorre puntare sulla ridondanza dei dati e dei sistemi anche in caso di attacchi che vogliano cancellare i dati.
9. Occorre definire ogni aspetto della sicurezza nei contratti di servizio, accanto a tutte le altre clausole.
10. Occorre preoccuparsi anche degli aspetti di data protection, soprattutto nella nomina dei responsabili esterni ai sensi del GDPR.