Il rischio Cyber nella gestione della supply chain

Con l’aumentare dell’interconnessione globale, le organizzazioni stanno sempre più spesso affidandosi a catene di approvvigionamento estese per condurre le proprie attività. Tuttavia, molte di esse si trovano di fronte a un processo lungo e costoso quando si tratta di gestire la catena di approvvigionamento e i rischi ad essa associati.

In effetti, le organizzazioni che non gestiscono adeguatamente i rischi della supply chain, sono esposte a maggiori probabilità di subire un attacco informatico, il quale potrebbe causare gravi interruzioni.

Esaminiamo più da vicino la gestione del rischio della supply chain, i rischi più comuni e i cinque passaggi che le aziende possono seguire per gestire il rischio in modo efficace e senza preoccupazioni.

Hacker
Immagine | Envato Elemenrs

Cos’è la gestione del rischio della supply chain?

Le catene di approvvigionamento rappresentano le reti che collegano un’azienda ai suoi fornitori, e costituiscono il sistema su cui si basa la produzione e la distribuzione di prodotti o servizi. La gestione di una catena di approvvigionamento comporta il coordinamento di un flusso di merci, attraverso la gestione di tutti i processi coinvolti nella trasformazione delle materie prime che l’organizzazione utilizza per produrre beni finiti o fornire servizi.

La gestione della supply chain consiste nella pianificazione e nel coordinamento di tutte le attività relative alla produzione, all’approvvigionamento e alla trasformazione delle materie prime, nonché nella gestione della logistica. L’implementazione di una strategia di gestione della supply chain globale è spesso motivata dalla necessità di acquisire un vantaggio competitivo.

Tuttavia, molti dei vantaggi che derivano dalle catene di approvvigionamento comportano anche un aumento dei rischi inerenti alla qualità, alla sicurezza, alla continuità aziendale, alla reputazione e alla sicurezza informatica.

Con l’avvento della pandemia di COVID-19, le catene di approvvigionamento sono state oggetto di grande attenzione mediatica e, le conseguenze delle loro interruzioni, hanno avuto un impatto diretto sulla vita dei consumatori in tutto il mondo. In particolare, la pandemia ha messo in luce la vulnerabilità delle tradizionali catene di approvvigionamento a questo tipo di interruzioni.

Tutte le aziende sono soggette a rischi interni ed esterni derivanti da eventuali interruzioni della catena di approvvigionamento. La gestione di tali rischi, conosciuta come Supply Chain Risk Management (SCRM), rappresenta una pratica fondamentale per qualsiasi organizzazione.

L’SCRM è il processo che prevede l’identificazione, la valutazione, la prioritizzazione e la mitigazione delle minacce e dei rischi associati alla catena di approvvigionamento. Tra le componenti fondamentali della gestione del rischio della supply chain, troviamo la third-party risk management (TPRM). Nella maggior parte dei settori, le organizzazioni interagiscono con terze parti in diversi modi, tra cui fornitori, subappaltatori o fornitori di servizi. Tali relazioni commerciali espongono a potenziali rischi.

Secondo una ricerca, le organizzazioni di dimensioni medio grandi, condividono i propri dati con circa 730 fornitori. Tuttavia, tra le organizzazioni che condividono dati con terze parti, il 53% ha subito almeno una violazione dei dati causata da un fornitore, con un costo medio di circa 7,5 milioni di euro. Oltre ai rischi di violazione dei dati, nella catena di approvvigionamento ci sono altri rischi esterni, come quelli causati da una richiesta imprevedibile o fraintesa dei clienti, interruzioni del flusso di prodotti (compresi materie prime, parti e prodotti finiti), disastri naturali come terremoti, uragani e tornado.

Al contempo, i rischi interni della catena di approvvigionamento possono derivare da molteplici fonti, come interruzioni delle operazioni interne, cambiamenti nella gestione di processi chiave, nel personale e nei processi aziendali, non conformità alle normative ambientali o alle leggi sul lavoro, mancanza di adeguate politiche e controlli di sicurezza informatica per proteggersi dagli attacchi informatici e dalle violazioni dei dati. Indipendentemente dalla prospettiva, la partecipazione ad una catena di approvvigionamento, in particolare attraverso l’outsourcing a terzi, inevitabilmente comporta rischi di potenziali interruzioni, incluse quelle di natura legale, di conformità, finanziaria, strategica o reputazionale.

Uno dei rischi più gravi che la supply chain può rappresentare per le aziende è il rischio informatico, ovvero la possibilità che si verifichi un incidente di sicurezza informatica che possa interrompere le operazioni aziendali e compromettere i dati. Con l’impiego di un numero sempre maggiore di terze parti, il rischio di incidenti di sicurezza informatica sta crescendo, rendendo ancor più importante la creazione e l’attuazione di un piano di gestione dei rischi della supply chain, finalizzato a proteggere aziende, clienti e fornitori da potenziali rischi di sicurezza informatica, che potrebbero avere conseguenze devastanti.

Quali sono i rischi informatici nella gestione della supply chain?

Come già menzionato, il rischio informatico rappresenta un fattore sempre più importante che le catene di approvvigionamento introducono nelle organizzazioni. Purtroppo, la maggior parte delle aziende che operano nella supply chain subirà, prima o poi, qualche tipo di interruzione dei dati, dei flussi finanziari o delle operazioni. Tuttavia, l’impatto di queste interruzioni sul business dipenderà dall’efficacia delle strategie di gestione del rischio.

Con la crescente digitalizzazione dell’ambiente aziendale, tecnologie come l’Internet of Things (IoT), l’Industrial Internet of Things (IIoT) e altre tecnologie digitali, stanno diventando sempre più importanti per molte organizzazioni, specialmente quando si tratta di ottimizzare le operazioni della supply chain. Tuttavia, l’uso di queste nuove tecnologie espone anche a nuove minacce alla sicurezza informatica, come il malware, il ransomware, il phishing e l’hacking.

Alcuni dei rischi informatici più comuni che possono colpire le organizzazioni lungo la supply chain includono le violazioni dei dati e gli attacchi di malware e ransomware. Nei paragrafi successivi, analizzeremo più da vicino ognuno di questi rischi e quali tipi di danni potrebbero arrecare.

Data breaches

Le violazioni dei dati sono sempre più frequenti e gravi, e si prevede che la loro incidenza continuerà ad aumentare nei prossimi anni. Esse hanno conseguenze significative, come la perdita finanziaria e il danno reputazionale, oltre a potenziali ripercussioni legali e normative. Nel 2021, il costo medio di una violazione dei dati è stato stimato in 4,2 milioni di euro. Anche se le organizzazioni adottano standard normativi e di conformità, spesso ci vuole molto tempo per rilevare una violazione dei dati una volta che si è verificata, in media circa 197 giorni. Il tempo necessario per individuare una violazione dei dati aumenta ulteriormente se l’incidente di sicurezza coinvolge un partner nella supply chain. Secondo IBM, le aziende impiegano in media 280 giorni per rilevare una violazione dei dati di terze parti.

Quanto più si condividono dati sensibili con i fornitori, tanto più aumenta la probabilità che questi vengano violati o divulgati. I dati sensibili includono informazioni che devono essere protette da accessi non autorizzati per preservare la privacy o la sicurezza di un individuo o di un’organizzazione, come ad esempio la proprietà intellettuale o le informazioni di identificazione personale. Le violazioni dei dati causate da fornitori, sono tra le più comuni e possono derivare da accessi non autorizzati tramite account e-mail aziendale, attacchi di hacking al provider di posta elettronica, mancanza di crittografia, siti Web non sicuri e informazioni di accesso memorizzate in modo improprio. In alcuni casi, i fornitori possono anche divulgare dati sensibili dei clienti al di fuori dell’azienda, rendendo l’organizzazione vulnerabile agli attacchi di supply chain da parte di criminali informatici, hacktivisti e persino di Stati.

Cybersecurity breaches

Molte tecnologie hanno reso le organizzazioni più vulnerabili rispetto al passato. Oggi, qualsiasi dispositivo connesso a Internet, rappresenta un rischio nella catena di approvvigionamento. Ad esempio, l’IoT si riferisce a dispositivi di consumo come i fitness tracker personali e i termostati intelligenti e, solo nel 2021, c’erano più di 10 miliardi di dispositivi IoT attivi in tutto il mondo.

L’IIoT si riferisce invece alle apparecchiature aziendali su scala più ampia, che includono sensori, attuatori, motori e ascensori, tutti dispositivi connessi e che comunicano via Internet. Anche se queste tecnologie offrono molti vantaggi alle organizzazioni, come tempi di commercializzazione più brevi, maggiore tracciabilità delle risorse lungo la supply chain, riduzioni dei costi e luoghi di lavoro più sicuri, introducono anche una serie di rischi per la sicurezza.

I criminali informatici sono ben consapevoli delle vulnerabilità delle tecnologie IoT e IIoT, rendendole bersagli facili per gli attacchi informatici. Secondo le statistiche del 2019 sui cyber-attacchi basati su IoT, un dispositivo IoT di categoria media viene attaccato solo cinque minuti dopo la sua attivazione. Le conseguenze di una violazione ai danni di dispositivi IIoT che gestiscono sistemi industriali, possono essere molto più devastanti: perdita di produzione, impatto sui ricavi, furto di dati, danni significativi alle attrezzature, spionaggio industriale e persino danni fisici. Man mano che sempre più dispositivi e sensori vengono connessi a Internet, si creano sempre più canali di comunicazione, archiviazione dati ed endpoint. Questa crescente superficie di attacco rappresenta una vulnerabilità ancora maggiore se non vengono adottate misure di difesa adeguate.

Attacchi malware e ransomware

Purtroppo, gli attacchi di malware e ransomware stanno diventando sempre più diffusi. Questi attacchi sono progettati per rubare informazioni, modificare dati interni o distruggere informazioni sensibili. Il malware rappresenta qualsiasi tipo di software malevolo che può infiltrarsi nei sistemi informatici per danneggiarli, distruggerli o sottrarre informazioni. Uno degli attacchi malware più noti della storia recente è stato l’attacco malware SolarWinds del 2020. I criminali informatici compromisero i sistemi della società texana, inserendo codice malevolo nel software Orion, ampiamente utilizzato da circa 33.000 dei loro clienti per gestire le loro risorse IT.

Nel marzo 2020, i clienti di SolarWinds che utilizzavano Orion ricevettero degli aggiornamenti software che contenevano il malware installato dagli hacker. Grazie a questo, i criminali informatici crearono delle backdoor nei sistemi IT delle aziende e delle organizzazioni clienti di SolarWinds, ciò permise l’installazione di ulteriori malware al fine di spiare le vittime.

Nel 2021, un attacco ransomware colpì la Colonial Pipeline, costringendo la società a interrompere le sue operazioni per diversi giorni e causando una carenza di carburante negli Stati Uniti meridionali. Gli hacker riuscirono ad accedere alle reti di Colonial attraverso un account VPN utilizzato dai dipendenti per accedere in remoto ai computer dell’azienda. La VPN non richiedeva l’autenticazione a più fattori per accedere, rendendo facile per gli aggressori violare la rete utilizzando solo un nome utente e una password compromessi. Queste informazioni furono probabilmente ottenute durante una violazione dati che espose le credenziali di un dipendente. Dopo trattative, Colonial decise di pagare 4,4 milioni di dollari agli hacker, in cambio di una chiave di decrittazione per recuperare i dati. Tuttavia, le attività di decrittazione erano così lente che l’azienda dovette fare affidamento sui propri backup per ripristinare il servizio. Anche se Colonial fu in grado di riprendere le operazioni, l’attacco ebbe un impatto devastante sulle attività, causando una serie di conseguenze finanziarie e reputazionali.

Strategie di gestione del rischio della supply chain

Per proteggere i propri assets e quelli dei clienti dai rischi informatici descritti, le aziende possono adottare una serie di best practices di gestione del rischio della supply chain, tra cui:

  • Definizione di standard di conformità per tutti i fornitori, produttori e distributori. 
  • Applicazione di ruoli utente precisi e implementazione di controlli di sicurezza per limitare l’accesso ai sistemi, i livelli di autorizzazione e i privilegi (principio del privilegio minimo). 
  • Determinare e documentare gli standard di gestione dei dati, con individuazione di chi possiede determinati dati e quali autorizzazioni possiede nel trattarli. 
  • Effettuare formazione specifica sulla consapevolezza indirizzata a tutti i collaboratori. 
  • Collaborare con i fornitori della rete della supply chain per sviluppare un piano di disaster recovery unificato e garantire continuità e resilienza. 
  • Implementare piani di backup per salvaguardare i dati. 
  • Aggiornare regolarmente i sistemi di base e di difesa e implementare misure di sicurezza avanzate come il filtraggio DNS e il controllo degli accessi alla rete (NAC). 

Cinque passaggi per la gestione del rischio della supply chain

Esaminiamo i passaggi che possono essere intrapresi per implementare un’adeguata strategia di gestione del rischio della supply chain.

Passaggio 1: Iniziare con un piano di gestione del rischio, assicurandosi di disporre delle giuste competenze. E’ essenziale formare una squadra di persone qualificate che possano identificare, analizzare, dare priorità e mitigare i rischi della supply chain.

Una volta formato il team, descrivere ruoli e responsabilità specifici per i membri, creare o integrare una politica di gestione del rischio dei fornitori esistenti e determinare come redigere una descrizione dettagliata delle procedure e dei processi che verranno utilizzati per ciascuno dei passaggi relativi alla strategia di gestione del rischio della supply chain.

Per preparare il team e l’organizzazione a gestire i rischi inevitabili lungo la catena di approvvigionamento, è essenziale avere un piano dettagliato di gestione del rischio.

È necessario anche definire alcune metriche di misura, scegliendo tra misurazioni qualitative come una scala alta / media / bassa o metriche quantitative come l’analisi statistica, a seconda delle esigenze aziendali.

Prima di procedere al passaggio successivo, è importante fare riferimento ai framework esistenti che possono aiutare lungo il percorso. Ci sono numerosi framework e metodologie disponibili per creare o migliorare il programma di gestione del rischio della supply chain.

Un buon punto di partenza per trovare esempi è rappresentato dal National Institute of Standards and Technology (NIST) e dalla International Organization for Standardization (ISO).

Esiste anche un framework open, di recente istituzione, denominato Open Software Supply Chain

Attack Reference (OSC&R) che, organizzato come MITRE ATT&CK, rappresenta un metodo completo, sistematico e attuabile per comprendere i comportamenti e le tecniche degli aggressori rispetto alla supply chain del software.

Passaggio 2: identificazione, valutazione e prioritizzazione dei rischi

Prima di affrontare un rischio, è essenziale identificarne l’esistenza. Durante la fase di identificazione dei rischi, il team dovrebbe esercitarsi per individuare sia i rischi esistenti, che quelli potenziali ancora non rilevati. Ciò include la creazione di un elenco dei rischi della supply chain, in modo da poterli analizzare. Inoltre, è consigliabile esaminare i Service Level Agreements (SLA) per ogni relazione esistente con terze parti, per garantire la corretta operatività dei fornitori e determinare i requisiti di conformità per l’organizzazione. L’ azienda deve conoscere le normative e gli standard di conformità da soddisfare, sia da parte sua che dalle terze parti coinvolte. Successivamente, va avviato il processo di valutazione del rischio. L’analisi può essere condotta internamente o affidata a professionisti indipendenti. La valutazione del rischio aiuterà a determinare la natura e l’entità dei rischi lungo la supply chain, permettendo di classificare i fornitori in base al rischio e al livello di accesso. Assegnare un livello di rischio a ciascuna minaccia e categorizzare i rischi della supply chain per tipo. Quindi, dare priorità ai rischi in base ai loro livelli. Di solito, è consigliabile affrontare prima i rischi di livello più elevato e poi scendere nell’elenco, in base alla loro priorità.

Passaggio 3: Mitigazione dei rischi

Una volta identificati i rischi che richiedono attenzione prioritaria, occorre decidere come gestirli. Per ciascun rischio, si deve decidere se accettarlo, rifiutarlo, trasferirlo o mitigarlo. Nel caso del rischio della supply chain, quale mitigazione, potrebbe essere opportuno individuare un fornitore meno rischioso.

È importante anche rivolgere regolarmente questionari sul rischio alle terze parti, per valutare se i rischi esistenti sono stati adeguatamente mitigati e verificare se ne sono emersi di nuovi. Sia che si utilizzi un modello di uno dei framework di gestione del rischio disponibili, sia che se ne crei uno personalizzato, i questionari per l’onboarding e le verifiche regolari devono essere progettati per esaminare i controlli di sicurezza che le terze parti applicano ai loro processi di lavoro.

Fornitori con livelli di rischio particolarmente elevati potrebbero richiedere un audit in base alle risposte che forniscono ai questionari. In alcuni casi, potrebbe essere necessario effettuare visite in loco per mitigare il rischio.

Passaggio 4: Iterare

Una volta completati i passaggi precedenti, è necessario ripetere il processo da capo. La gestione del rischio della supply chain è un processo continuo per ogni terza parte lungo la catena di approvvigionamento, che deve essere iterato frequentemente durante tutto il ciclo di vita della relazione con le terze parti.

Passaggio 5: Effettuare il monitoraggio continuo

Il monitoraggio continuo è una pratica necessaria perché i partner commerciali possono cambiare i loro processi. Sorvegliare costantemente i cambiamenti all’interno dell’azienda, della rete di supply chain e delle normative e standard di settore non è semplice, ma è essenziale.

In molti casi, la sola due diligence non è sufficiente per garantire la sicurezza informatica. Il monitoraggio continuo può ridurre i potenziali attacchi informatici e le violazioni dei dati, sia per l’organizzazione che per l’intera supply chain.

Data breach
Immagine | Envato Elemenrs

Una carenza che aumenta il rischio

Molte organizzazioni ammettono di non essere in grado di gestire internamente l’intero processo di gestione del rischio della supply chain, che può essere costoso e dispendioso in termini di tempo.

Le aziende di piccole dimensioni semplicemente non possono permetterselo per questioni economiche.

Questo rappresenta il fattore di maggior criticità, che genera un gran numero di vulnerabilità, lasciando aperte le porte ai malintenzionati.

Gestione cookie