L’importanza della Catena dei Fornitori (Supply Chain)

Nel contesto odierno, caratterizzato da una crescente interconnessione tra scuole e fornitori, la sicurezza della catena dei fornitori è diventata una componente cruciale della strategia complessiva di cybersecurity di qualsiasi organizzazione. La supply chain non è solo una rete di fornitori e subfornitori che forniscono materiali e servizi, ma è anche un bersaglio potenziale per attacchi informatici che possono avere ripercussioni devastanti su tutte le parti coinvolte.

Il Ruolo della Catena dei Fornitori nella Cybersecurity

La catena dei fornitori rappresenta una serie di anelli interconnessi, ciascuno dei quali può essere vulnerabile a intrusioni e attacchi informatici. La protezione di questi anelli è essenziale per garantire l’integrità, la riservatezza e la disponibilità delle informazioni sensibili. In un’epoca in cui le minacce informatiche sono sempre più sofisticate, le scuole devono assicurarsi che ogni parte della loro supply chain adotti misure di sicurezza adeguate.

Le Minacce alla Catena dei Fornitori

Le minacce alla supply chain possono essere numerose e variegate. Alcuni degli attacchi più comuni includono:

1. Attacchi di Phishing e Spear Phishing: Email fraudolente che inducono i dipendenti di un fornitore a divulgare informazioni sensibili.

2. Malware e Ransomware: Software dannosi che possono infiltrarsi nei sistemi di un fornitore e diffondersi a tutta la supply chain.

3. Compromissione dei Software di Terze Parti: Software e aggiornamenti provenienti da fornitori possono contenere vulnerabilità che gli hacker possono sfruttare.

4. Fornitori non Sicuri: Fornitori che non adottano adeguate misure di sicurezza rappresentano un punto di ingresso per gli attacchi.

Impatto degli Attacchi sulla Supply Chain

Gli attacchi alla supply chain possono avere impatti significativi:

– Perdita di Dati Sensibili: Informazioni critiche possono essere esposte, causando danni reputazionali e finanziari.

– Interruzione delle Operazioni: Gli attacchi possono interrompere le operazioni, causando ritardi e perdite economiche.

– Risarcimenti e Sanzioni: Le scuole possono dover affrontare sanzioni regolamentari e risarcimenti per violazione della privacy e dei dati.

Best Practices per la Sicurezza della Supply Chain

Per mitigare i rischi associati alla catena dei fornitori, le scuole devono adottare una serie di best practices:

1. Valutazione dei Rischi: Effettuare valutazioni periodiche dei rischi per identificare e mitigare le vulnerabilità.

2. Due Diligence sui Fornitori: Condurre una rigorosa due diligence sui fornitori per assicurarsi che rispettino standard di sicurezza adeguati.

3. Contratti di Sicurezza: Includere clausole di sicurezza nei contratti con i fornitori per garantire il rispetto delle normative e delle best practices.

4. Monitoraggio Continuo: Implementare sistemi di monitoraggio continuo per rilevare e rispondere tempestivamente a eventuali minacce.

5. Formazione e Sensibilizzazione: Educare il personale e i partner della supply chain sull’importanza della sicurezza e sulle pratiche di sicurezza.

La Checklist per la Sicurezza della Supply Chain

Una checklist dettagliata può aiutare le scuole a garantire che tutte le misure di sicurezza necessarie siano adottate. Ecco una checklist consigliata:

Valutazione dei Rischi

1. Identificazione dei Fornitori: Identificare i fornitori che hanno accesso a dati sensibili o che forniscono servizi anche non essenziali. È importante avere una lista aggiornata di tutti i fornitori e poi da questi andare ad effettuare le valutazioni successive. Dato che la lista dei fornitori potrebbe essere molto lunga in alcuni contesti è consigliato separare i fornitori in macro aree, come ad esempio:

A – I fornitori che non trattano dati sensibili, quindi potrebbe essere un fornitore di materie prime dove i dati che possiede sono i dati di fatturazione ed i contatti di chi si occupa della fornitura. Questi fornitori possono essere considerati a rischio basso.

B – I fornitori che hanno accesso a dati sensibili, ma non alla gestione di software o servizi della scuola, come un consulente esterno per un progetto o per una gara ad esempio, questo fornitore possiede dati, anche temporaneamente, personali dei dipendenti e degli studenti della scuola. Questi fornitori possono essere considerati a rischio medio.

C – I fornitori hanno accesso a servizi o terminali della scuola, ma non li controllano, ad esempio un fornitore che solo quando necessario utilizza anydesk per entrare in un PC per sistemare un macchinario. Questi fornitori sono da considerare a rischio medio o alto in base ai terminali a cui hanno accesso.

D – I fornitori che hanno il controllo di un qualunque servizio o terminale della scuola, ad esempio il fornitore della posta elettronica, chi gestisce la videosorveglianza, chi gestisce server e servizi ecc. Questi fornitori sono da considerarsi a rischio massimo in quanto una loro compromissione potrebbe compromettere la scuola con conseguenze catastrofiche.

2. Analisi delle Minacce: In base alla categoria di appartenenza dei fornitori analizzare le minacce che potrebbero colpirli, le conseguenze e le misure di sicurezza da mettere in pratica. Abbiamo, nell’esempio precedente, suddiviso i fornitori in 4 macro aree di rischio, ovviamente la lista è solo un esempio, una scuola può creare più macro aree, oppure fare una valutazione fornitore per fornitore: basso, medio, alto, massimo.

Alcune delle domande da porsi per ogni fornitore sono:

– Quali sono le minacce che possono colpirlo? Es. un ransomware

– Se viene colpito dalla massima minaccia, cosa rischiamo? Es. viene hackerato il fornitore di posta.

– Chi sono i dipendenti della scuola coinvolti? Es. viene hackerato il fornitore di penne per la segreteria, oppure il fornitore della firma elettronica, chi ha contatti con questi fornitori?

Due Diligence sui Fornitori

Ora che sappiamo cosa trattano i fornitori e cosa rischiamo in un loro hackeraggio possiamo andare a controllare le loro misure di sicurezza adottate.

1. Verifica delle Certificazioni: Verificare che i fornitori siano certificati secondo standard di sicurezza riconosciuti (ISO 27001, NIST, ecc.). Non tutti i fornitori devono essere certificati, caso per caso, in base al loro rischio la scuola stabilisce la necessità o meno, ma una certificazione secondo uno standard di sicurezza dovrebbe fare la differenza nella scelta del fornitore per quel determinato servizio.

2. Valutazione delle Politiche di Sicurezza: Esaminare le politiche di sicurezza dei fornitori per assicurarsi che siano adeguate. Chiedi a tutti i fornitori le loro politiche di sicurezza, un fornitore deve avere delle politiche di sicurezza che rispettano i requisiti minimi richiesti dalla scuola commisurato alla categoria di rischio.

3. Audit di Sicurezza: Ove possibile condurre audit di sicurezza regolari sui fornitori per verificare la conformità. L’audit può essere delegato ad un’azienda terza specializzata, oppure fatta dall’amministratore di sistema della scuola, non ci sono obblighi, ma è altamente consigliato effettuare un audit di sicurezza per testare che le politiche di sicurezza del fornitore siano effettivamente rispettate.

Limitazioni di accesso ai dati

L’accesso ai dati da parte del fornitore non deve essere mai illimitato, ma sempre essere commisurato al suo lavoro e soprattutto deve esserci tracce di questi accessi, come specificato anche nel GDPR.

Ad esempio:

– Un fornitore che accede da remoto al desktop solo per tarare uno strumento non deve avere accesso incondizionato alla macchina, anche se di proprietà del fornitore, ma deve essere sempre autorizzato ogni volta.

– Un amministratore di sistema esterno per entrare nel desktop di un PC, anche per fare un intervento di manutenzione deve chiedere esplicitamente l’autorizzazione all’accesso.

– Un consulente esterno non deve conservare, più del tempo necessario, dati personali e provvedere ad una minimizzazione e/o pseudonimizzazione dei dati trattati.

– Non si può permettere l’accesso illimitato senza conferma se non si possiede un sistema di controllo automatico che lo impedisca quando c’è un utente davanti al sistema e che tracci tutti gli accessi e le motivazioni di accesso.

Contratti di Sicurezza

1. Inclusione di Clausole di Sicurezza: Assicurarsi che i contratti includano clausole specifiche relative alla sicurezza delle informazioni.

2. Definizione delle Responsabilità: Definire chiaramente le responsabilità in materia di sicurezza per entrambe le parti.

3. Piani di Risposta agli Incidenti: Includere nei contratti i piani di risposta agli incidenti e le procedure di comunicazione.

Monitoraggio e Gestione Continua

1. Implementazione di Strumenti di Monitoraggio: Utilizzare strumenti di monitoraggio per rilevare anomalie e attività sospette.

2. Verifica delle Patch e degli Aggiornamenti: Assicurarsi che i fornitori applichino tempestivamente le patch e gli aggiornamenti di sicurezza.

3. Revisione Periodica delle Valutazioni: Effettuare revisioni periodiche delle valutazioni dei rischi e delle politiche di sicurezza.

Formazione e Sensibilizzazione

1. Programmi di Formazione: Implementare programmi di formazione continua per il personale e i fornitori sulla cybersecurity.

2. Simulazioni di Attacco: Condurre simulazioni di attacco per testare la prontezza e la reattività della supply chain.

3. Condivisione delle Best Practices: Promuovere la condivisione delle best practices tra i fornitori per migliorare la sicurezza complessiva.

Case Study: UniCredit (Data Breach)

Nel 2016 e nel 2017, UniCredit ha subito due violazioni dei dati che hanno compromesso le informazioni personali di circa 400.000 clienti. Gli attacchi sono stati attribuiti a una compromissione della catena dei fornitori attraverso un partner commerciale che gestiva i dati di accesso.

L’attacco ha esposto informazioni sensibili dei clienti, incluso l’accesso non autorizzato a dati relativi a prestiti e altre informazioni finanziarie.

A seguito di questi incidenti, UniCredit è stata sanzionata dall’Autorità Garante per la Protezione dei Dati Personali. La multa è stata imposta per non aver adottato misure adeguate a proteggere i dati personali dei clienti, in conformità con le norme GDPR.

Questo attacco ha messo in luce la necessità di:

– Rigorose Verifiche di Sicurezza: Anche per i fornitori di software di fiducia.

– Monitoraggio Continuo: Per rilevare attività anomale il più rapidamente possibile.

– Collaborazione tra Settori: La condivisione di informazioni tra enti governativi e privati è cruciale per contrastare tali minacce.

Conclusione

La cybersecurity della supply chain è una sfida complessa ma essenziale per la sicurezza complessiva di qualsiasi organizzazione. Attraverso una combinazione di valutazione dei rischi, due diligence sui fornitori, contratti di sicurezza, monitoraggio continuo e formazione, le scuole possono mitigare significativamente i rischi associati alla supply chain. È imperativo che le organizzazioni riconoscano la supply chain non solo come un insieme di fornitori di beni e servizi, ma come un’estensione critica del loro ecosistema di sicurezza.

Implementando le best practices e utilizzando la checklist fornita, le scuole possono rafforzare la loro resilienza contro le minacce informatiche e proteggere meglio i loro dati, le loro operazioni e la loro reputazione.

Principali normative e standard per la sicurezza della supply chain

Normative Internazionali

ISO 28000:2007 – Sistema di gestione della sicurezza per la catena di fornitura: Questa norma specifica i requisiti per un sistema di gestione della sicurezza, compresi gli aspetti critici per garantire la sicurezza della catena di fornitura.

ISO 27001:2013 – Sistema di gestione della sicurezza delle informazioni: Questa norma può essere utilizzata per proteggere le informazioni lungo tutta la catena di fornitura.

TAPA FSR (Freight Security Requirements) – Requisiti di sicurezza per il trasporto merci: Questo standard è sviluppato dalla Transported Asset Protection Association (TAPA) e fornisce linee guida per la sicurezza del trasporto merci.

Normative Europee

Regolamento (UE) 2019/1020 – Sorveglianza del mercato e conformità dei prodotti: Questo regolamento stabilisce norme per garantire che i prodotti immessi sul mercato dell’UE siano sicuri e conformi ai requisiti normativi.

Regolamento (UE) 2017/625 – Controlli ufficiali lungo la catena agroalimentare: Stabilisce un quadro armonizzato per i controlli ufficiali lungo la catena agroalimentare.

Direttiva NIS (EU 2016/1148) – Direttiva sulla sicurezza delle reti e dei sistemi informativi: Questa direttiva mira a migliorare la sicurezza informatica nell’UE e comprende misure per la sicurezza della supply chain.

Normative Italiane

D.Lgs. 81/2008 – Testo Unico sulla Salute e Sicurezza sul Lavoro: Questo decreto legislativo include disposizioni sulla sicurezza nei luoghi di lavoro, applicabili anche alla sicurezza della supply chain.

D.Lgs. 231/2001 – Responsabilità amministrativa delle persone giuridiche: Include disposizioni relative alla gestione del rischio e alla conformità normativa, che possono essere applicate anche alla sicurezza della supply chain.

Standard Specifici per Settore

GMP (Good Manufacturing Practices) – Buone pratiche di fabbricazione: Questi standard sono fondamentali per la sicurezza nella supply chain del settore farmaceutico e alimentare.

C-TPAT (Customs-Trade Partnership Against Terrorism) – Partenariato doganale-commmerciale contro il terrorismo: Programma volontario di sicurezza delle supply chain sviluppato dalla U.S. Customs and Border Protection.

Altre Risorse

Framework NIST (National Institute of Standards and Technology): Fornisce un quadro per la gestione del rischio della supply chain nel contesto della sicurezza informatica.

Standard di settore specifici: Alcuni settori, come quello automobilistico (IATF 16949) o aerospaziale (AS9100), hanno standard specifici che includono requisiti per la sicurezza della supply chain.