Supply Chain CyberSecurity

Supply Chain CyberSecurity: Cyber Risk e Soluzioni

Supply Chain CyberSecurity: Cyber Risk e Soluzioni

Supply Chain CyberSecurity: In un mondo digital in fermento, nonostante l’evoluzione tecnologica, la Digital Innovation e tutto il nuovo che è arrivato e sta per arrivare, i Criminal Hacker non hanno modificato il proprio approccio. È sempre e solo una questione di costo/beneficio. Il modello del cybercrime rimane lo stesso, attraverso una “analisi del rischio” si identifica l’anello debole del processo. Quello è il punto di attacco per arrivare al proprio obiettivo.

Da ormai molto tempo le aziende hanno parte dei loro processi fuori dal perimetro tradizionale della azienda tradizionale. Questa “esternalizzazione” era ed è una operazione necessaria per garantire efficienza, efficacia, competenze e per permettere alle aziende stesse di rimanere concentrate sul core business. Questa interconnessione e connessione ha obbligato le aziende a dover condividere il patrimonio di informazioni, di processi e di asset con terze parti. Stiamo parlando della supply chain.

La criticità è che spesso il Cybersecurity Framework Aziendale non prende in considerazione anche questa “estensione” aziendale. Ecco perché la supply chain diventa l’anello debole dei processi aziendali dal punto di vista della sicurezza informatica. Un punto di accesso ideale per gli attacchi informatici.

Nei prossimi capitoli andremo ad affrontare:

  • Lo scenario della Supply Chain CyberSecurity
  • Cyber Risk Supply Chain: Il Cyber Risk
  • Supply Chain CyberSecurity e GDPR
  • Supply Chain CyberSecurity: Le Minacce
  • Le soluzioni di CyberSecurity nella Supply Chain
  • Supply Chain CyberSecurity: Gli strumenti e competenze

Lo scenario della Supply Chain CyberSecurity

Quando parliamo di Supply chain di fatto stiamo descrivendo “Un sistema di organizzazioni, persone, attività, informazioni e risorse coinvolte nel processo atto a trasferire o fornire un prodotto o un servizio dal fornitore al cliente”.

Stiamo parlando di un elemento essenziale per qualsiasi azienda. Lo stesso Porter lo include all’interno dello schema della catena del valore delle aziende.

Supply Chain Security

Oggi il concetto di Supply Chain è più esteso. Non si riferisce unicamente al processo e alla catena degli approvvigionamenti ma potremmo includere in questa componente qualsiasi entità esterna che contribuisce o si integra ai processi interni aziendali al fine di conseguire il fine ultimo aziendale: il margine.

La supply chain è da considerarsi un Asset di valore essenziale per l’azienda e come tale deve necessariamente essere tutelato per tutelare il Business aziendale.

Ma non sempre il CyberSecurity Framework aziendale prevede modelli, approcci e standard corretti per la gestione della Security della Supply Chain. Il tutto viene confermato proprio dai numerosi cyber attacks.

Lo studio effettuato da Crowdstike ha rivelato che l’80% delle aziende dichiara che la propria Supply chain è stata oggetto di attacco informatico e il 90% degli intervistati ritiene che il Supply Chain CyberRisk sia un rischio emergente.

Un rischio emergente e costoso come dimostrato dallo stesso report. Si stima che il costo medio relativo ai cyber attacks alla supply chain è di 1,1 milioni di dollari ad azienda.

Crowdstrike ha rilevato che i cyber attacks alla supply chain o alle terze parti connesse alle aziende andranno ad aumentare vertiginosamente nei prossimi anni creando una serie di danni da un punto di vista finanziario, reputazionale e operativo.

Uno studio condotto nel 2017 dal Ponemon Institute evidenzia che solo il 35% delle aziende ha un elenco di tutte le terze parti con cui condividono informazioni sensibili e/o riservate.

Solo il 18% delle aziende afferma di sapere se i fornitori, a loro volta, condividano le informazioni della propria azienda con altri fornitori.

Non dobbiamo quindi stupirci se il report di Crowdstrike evidenzia che i cyber attacks alla supply chain o alle terze parti connesse alle aziende andranno ad aumentare vertiginosamente.

Supply Chain CyberSecurity: Cyber Risk

Possiamo definire il cyber risk della supply chain o della catena del valore un qualsiasi evento che possa causare:

  1. la perdita, la confindenzialità, l’integrità delle informazioni Aziendali gestite dalla terza parte.
  2. La disponibilità o accessibilità agli asset aziendali.

I danni generati dai Supply Chain Cyber Risk posso essere di tipo:

  • Finanziario
  • Operativo
  • Reputazionale
  • Compliance Legislativa

È chiaro che il Cyber Risk delle terze parti obbliga le aziende a “spostare” il proprio perimetro tradizionale relativamente alla gestione della sicurezza informatica. Proprio per questo motivo, sempre di più, si parla di Supply Chain CyberSecurity: parte integrante del CyberSecurity Framework Aziendale.

IL Cyber Risk relativo alla Supply Chain è un trend in forte crescita confermato anche dalle diverse e numerose violazioni informatiche avvenute in questi ultimi anni che hanno come vettori principali:

  • Human Factor
  • Software
  • Hardware
  • Developer
  • Cloud
  • Service 

Supply Chain Cyber Risk: Human Factor

I Paradise Papers erano oltre 13 milioni di file, circa 2,6 TB di documenti relativi ad oltre 214.000 aziende. Erano la prova dell’elusione fiscale effettuata da aziende, uomini politici e celebrità. In questo caso la confidenzialità delle informazioni era stata violata tramite una terza parte: uno degli studi legali più grandi del mondo: Mossack Fonseca.

Check your website
START YOUR FREE TRIAL

Supply Chain Cyber Risk: Software

Non è pensabile trovare una azienda i cui asset tecnologici non siano parte integrante della catena del valore. Non esistono aziende che non utilizzino pacchetti di software as a service, piattaforme software ready made, sistemi operativi, … Tutte questi elementi fanno parte della supply chain e parte integrante del Supply Chain CyberRisk.

Non è un caso che rappresentino un rischio e al contempo una opportunità per i Criminal hacker.

Qualche mese fa una società di sviluppo Piattaforme Software as a Service per i servizi di gestione delle risorse umane è stata oggetto di un cyber attack. Stiamo parlando dell’azienda australiana Pageup. L’attacco informatico è stato condotto contro la web application violando le informazioni personali degli utenti (nomi, cognomi, mail, indirizzi,… ). Gli utenti, in realtà, erano i clienti dei clienti/partner della stessa Pageup, stiamo parlando di Aziende che si erano affidate e utilizzavano le piattaforme di SaaS della stessa Pageup. Anche il mondo degli Hotel in questi mesi ha subito diversi attacchi alla propria supply chain, come indicato nell’articolo Hotel CyberSecurity.

Il tema della Supply Chain CyberSecurity deve anche considerare quali sistemi adottare come standard in azienda in termini tempi di capacità di Incident Handling della terza parte. Un esempio è il caso di Microsoft Edge. Il 20 Febbraio 2018 è stato reso noto un zero-day proprio per Microsoft Edge. La vulnerabilità permetteva ad un terzo di eseguire un codice arbitrario bypassando i livelli di sicurezza proattiva. Una criticità importante a livello di Web Security tenuto conto che il relativo exploit era di fatto stato creato dal Team di Google e che lo avrebbe rilasciato entro 90 giorni (è la policy vulnerability disclosure di Google). Solo due mesi dopo circa, 10 Aprile 2018, Microsoft ha provveduto a rilasciare diverse patch tra cui proprio quella in questione.

Altro aspetto importante sono gli strumenti o piattaforme “ready made”. Un esempio è il caso del widget creato da Inbenta Technologies che in una classica catena di San’Antonio è stato il vettore di attacco che ha causato il Data Breach di Typeform (una nota azienda relativa a sondaggi online) e ha esposto a Data Breach direttamente tutti i clienti della stessa Typeform. Per intenderci il widget in questione è una Chat Bot che conteneva una vulnerabilità che ha permesso di raccogliere informazioni e dati da Typeform per poi utilizzarli direttamente per condurre ulteriori attacchi informatici ai partner/clienti della stessa Typeform. In realtà sembra che lo stesso Widget sia anche la causa di un altro importante Data Breach ai danni di TicketMaster, un noto portale di gestione eventi e relativa vendita dei biglietti.

Il bug Heartbleed, ad esempio, ha interessato milioni di siti Web e dispositivi mobili, nonché software di molti importanti fornitori tra cui Oracle, VMware e Cisco.

Supply Chain Cyber Risk: Hardware

Un paragrafo a parte dobbiamo necessariamente dedicarlo all’hardware. Il motivo è che l’Hardware Hacking è uno dei rischi emergenti. Abbiamo chiuso il 2017 e iniziato il 2018 con le criticità e vulnerabilità relative ai microprocessori di AMD, Intel e ARM. Non sono l’unico caso isolato.

È proprio di questi giorni la notizia relativa alle vulnerabilità dei sistemi IoT di Samsung. Nello specifico le criticità fanno riferimento al SmartThings di Samsung che permette la gestione centralizzata dei dispositivi IoT della smart home (elettrodomestici, termostati, telecamere). Le vulnerabilità permettono ad un Criminal Hacker di poter prendere il completo possesso dei dispositivi.

Nell’elenco degli hardware abbiamo anche gli aspirapolveri robotici. È di qualche giorno fa la segnalazione relativa ai robot di Diqee Camera che sono stati identificati vulnerabili al CVE-2018-10987.

Ovviamente nell’elenco dobbiamo anche includere i vari router e dispositivi. In questo caso, le segnalazioni di vulnerabilità sono di fatto quotidiane. Solo qualche giorno fa’ è stata rilevata una serie di cyber-attack contro i router D-Link e Dasan con firmware GPON, questi  risultano vulnerabili a CVE-2018-1062, un noto bug di command-injection.

Check your website
START YOUR FREE TRIAL

Supply Chain Cyber Risk: Developer Team

Spesso per diverse motivazioni che vanno dall’assenza di competenze interne o per questioni di efficienza ci affidiamo a terze parti per farci sviluppare applicazioni aziendali o per supportarci nella gestione dei nostri asset aziendali. Relativamente all’outsourcing del software development molte aziende adottano sicuramente gli standard di riferimento relativamente al Secure Software Development. Stiamo parlando spesso di processi e modalità con cui sviluppare il software. Ma quanti di noi richiedono di effettuare una analisi del rischio tecnologico prima di mettere live l’applicazione? La verità è che difficilmente viene richiesto di attuare un Vulnerability Assessment e un Network Scan dell’applicazione. Spesso gli unici controlli effettuati sono relativi alla sola verifica delle funzionalità. Le attività di Vulnerability Scanning dovrebbero essere uno standard anche perché la nuova legge GDPR le rende obbligatorie nel caso di applicazioni che gestiscano o raccolgono dati personali. Ovviamente l’ottimale è di prevedere anche in aggiunta una attività di analisi del codice sorgente (Code Review) unitamente ad una attività di Penetration Test.

La stessa attenzione è spesso latente nella verifica delle attività di patching e fixing da parte delle aziende terze che supportano o che dovrebbero supportarci nella gestione dei nostri asset tecnologici. Se l’obiettivo è quello di garantire la Business Continuity e la disponibilità delle risorse, gli aspetti di Security e CyberSecurity dovrebbero essere parte integrante almeno di un piano di Vulnerability Management con relativi Key Security Performace Indicators.

Supply Chain Cyber Risk: Cloud

L’utilizzo dei sistemi cloud è parte integrante della stragrande maggiorante delle aziende. Ma troppo spesso la scelta del service provider non viene effettuata attraverso i criteri di Security.

Questi criteri devono necessariamente prendere in considerazione in ottica di CyberSecurity:

  • Modalità trasferimento dei dati
  • Piattaforme di Cloud Orchestration.
  • Modalità storage dei dati
  • Modalità di accesso e privilegi
  • Data Separation
  • Strumenti di Analisi Preventiva, Proattiva e Predittiva
  • Gestione degli Incidenti

Supply Chain Cyber Risk: Services

Ovviamente la supply chain non è composta solo ed unicamente da terze parti del mondo della tecnologia software e hardware. Gli attori sono di qualsiasi settore e mercato. Lo sanno molto bene i produttori automobilistici che qualche settimana fa hanno trovato le loro informazioni riservate disponibili sul web. Stiamo parlando del Data Breach che ha coinvolto Level One Robotics and Controls, Inc: un fornitore di ingegneria di processi per automazione e per l’assemblaggio OEM e per il settore automobilistico. 157 gigabyte di dati completamente disponibili sul web. Informazioni riservate relative ad oltre 100 aziende tra cui Ford, GM, Tesla, Volkswagen e Toyota. La violazione è relativa ad un errore di configurazione di un server di backup dei dati aziendali.

Sempre qualche mese fa’ è stato oggetto di un attacco hacker la Labcorp, una società Fortune 500, di fatto il più grande laboratorio clinico in America. I Criminal hacker hanno cercato di accedere alle cartelle cliniche private di milioni di persone. Questo cyber attack non è solo una violazione dei dati dei pazienti, LabCorp è un laboratorio clinico utilizzato da diverse strutture sanitarie.

Un caso simile aveva coinvolto l’anno scorso la Nice System, un fornitore di servizi di Verizon che di fatto aveva reso pubblici oltre 6 milioni di data record relativi proprio ai clienti di Verizon. I dati erano stati archiviati su un server Amazon S3 che però non era protetto, meglio dire che era completamente pubblico.

Check your website
START YOUR FREE TRIAL

Supply Chain CyberSecurity e GDPR

La nuova legge europea sulla Privacy, la GDPR, di fatto prende in considerazione proprio la catena di approvvigionamento. Con l’applicazione del regolamento generale sulla protezione dei dati (GDPR), i responsabili degli approvvigionamenti e gli uffici acquisti sono costretti a dover affrontare la questione degli obblighi e requisiti legislativi.

Le possibili multe (20 milioni di euro o il 4% del fatturato globale annuale) hanno di fatto incentivato l’attenzione alla Sicurezza e alla CyberSecurity.

Il concetto di responsabilità (accountability) introdotto dal GDPR, di fatto, impone non solo la conformità ma anche la necessità di poter provare e dimostrare di essere conformi. Stiamo parlando di:

  • analisi del rischio o DPIA (in base alla situazione). Di fatto le aziende hanno l’obbligo di verificare i propri livelli di rischio in termini organizzativi, procedurali e tecnologici.
  • privacy by design” e “privacy by default

A questi due punti aggiungiamo proprio il ruolo del responsabile del trattamento che viene di fatto riservato ad un soggetto esterno all’azienda, con uno specifico riferimento ai fornitori di servizi.

Partendo da queste premesse, l’outsourcing del trattamento dei dati, quindi la supply chain, ha l’obbligo di garantire misure di sicurezza adeguate ai dati trattati.

Le organizzazioni sono quindi obbligate e devono svolgere un’adeguata due diligence dei fornitori e monitorare la conformità al GDPR. Di fatto la GDPR non fa altro che introdurre, sottolineare ed evidenziare proprio l’esigenza di un Supply Chain CyberSecurity Framework.

A livello di Supply Chain la GDPR prevede di:

  • Mappare il flussi dei dati personali
  • Identificare i destinatari dei dati personali
  • Stabilire il luogo dove vengono elaborati i dati personali
  • Identificare i contratti di fornitura in essere che prevedono nell’erogazione del servizio il trattamento di dati personali e al contempo rivedere gli stessi contratti in ottica di data protection
  • Effettuare e prevedere attività di due diligence sui nuovi fornitori per verificare la conformità al GDPR
  • Ottenere assicurazioni e garanzie relative alle misure di sicurezza adottate dai fornitori
  • Verificare la presenza di eventuali polizze assicurative a copertura degli eventuali danni operativi e reputazionali in caso di Data Breach
  • Verificare operativamente i livelli di sicurezza dei fornitori attraverso attività periodiche di Analisi del rischio organizzativo e tecnologico.

Solo un approccio propositivo e proattivo a questa normativa permette alle aziende virtuose di trasformare il GDPR in un vero e proprio vantaggio competitivo rispetto ai concorrenti meno preparati o attenti agli aspetti relativi alla tutela e protezione dei dati.

Supply Chain CyberSecurity: Le Minacce

Le minacce e vettori di attacco alla Supply Chain non sono differenti rispetto alle minacce tradizionali subite direttamente dalle aziende.

Di fatto i punti di attenzione relativamente ai vettori e tecniche di attacco che possono compromettere il Supply Chain CyberSecurity Framework sono:

  1. Fattore Umano
  2. DDoS
  3. Phishing
  4. Exploit e Exploit Kit
  5. Botnet
  6. Furto delle credenziali e credenziali compromesse
  7. Errori di configurazione

Questa tipologia di attacchi è anche confermata dalla stessa ENISA che ad agosto 2017 ha redatto uno studio proprio sulla Supply Chain CyberSecurity.

Supply Chain CyberSecurity

L’ENISA è l’agenzia europea per la sicurezza delle reti e dell’informazione ed è una delle agenzie dell’Unione Europea. ENISA è stata creata nel 2004 dal Regolamento 460/2004 ed è pienamente operativa dal 1º settembre 2005.

Gli attacchi alla supply chain possono coinvolgere diversi tipi di minacce informatiche.

I cyber attack alla supply chain rappresentano un rischio che genera preoccupazione proprio perché sono un rischio concreto per diverse realtà.

Le soluzioni di Supply Chain CyberSecurity

Baumann affermava che “La digitalizzazione della supply chain non è più un’opzione” e al contempo ci avvisava che sarebbero aumentati i rischi. Rischi che però possono essere ridotti del 20% secondo uno studio condotto dal Ponemon Institute.

Per intenderci, attraverso una corretta analisi del rischio della nostra supply chain possiamo determinare la nostra esposizione. Questo KPI del rischio può essere ridotto di almeno 20 punti percentuali se viene anche attuata una corretta gestione continuativa e periodica del rischio stesso.

Come sempre la perseveranza paga.

Nonostante sia evidente il Cyber Risk legato alla catena logistica / approvvigionamenti, credo possa essere interessante analizzare il report Cyber Risk Management 2018 survey di The Innovation Group in cui vengono elencati i controlli e le attività svolte per la gestione dei rischi cyber della stessa supply chain.

Supply Chain

Il dato allarmante che è il 26% delle aziende oggetto dell’analisi non hanno in essere alcuna misura di controllo e gestione.

Il NIST ha definito alcune best practice relativamente agli obblighi che le terze parti devono assicurare. Indicazioni da inserire direttamente all’interno dei contratti.

Tra questi indicazioni anche quella di definire una societa terza di CyberSecurity per condurre attività di analisi del rischio al fine di identificare i livelli di sicurezza.

Vediamo insieme quali sono le misure di sicurezza informatica che dovrebbero essere garantite e attuate all’interno del Supply Chain CyberSecurity Framework:

  • Definizione di Protocolli standard di Security Management
  • Definizione di misure di sicurezza Standardizzati (preventiva, proattiva e predittiva)
  • Attuazione di attività periodiche di analisi di rischio tecnologico che prevedano attività di:
  • Attuazione di attività periodiche di analisi del rischio organizzativo
  • Attività di formazione e sensibilizzazione del personale
  • Simulazione di Incident Handling e Incident Management
  • Attività di Vulnerability Management
  • Predisporre una dashboard di Key Security Performance Indicators
  • Early Warning System

Supply Chain CyberSecurity: Gli strumenti e competenze

Per quanto riguarda la corretta gestione della Supply Chain CyberSecurity, Swascan offre la piattaforma in Cloud, SaaS e Pay for Use che offre i servizi di Vulnerability Management necessari. Di fatto, è possibile monitorare i KPI relativi alla gestione della sicurezza attraverso una dashboard altamente intuitiva e flessibile oltre che condurre le attività necessarie relative alla Sicurezza Preventiva, elemento cardine del CyberSecurity Framework.

Inizia il tuo Free Trial

Autore: Pierguido Iezzi

Da anni mi occupo di CyberSecurity e Digital Innovation. Ho fondato e seguo diverse start-up. La mia passione per la Sicurezza Informatica mi ha portato a lanciare Swascan di cui sono il Co-Fondatore insieme a Raoul Chiesa. Swascan è la prima piattaforma di CyberSecurity, in cloud, SaaS e Pay for Use.
La mia frase è “Ognuno di noi è le risposte alle domande che si pone”.

I nostri servizi

Vulnerability
Assessment

Network
Scan

Code
Review

GDPR
Assessment

ON PREMISE

...