{"id":2665,"date":"2024-05-27T17:42:36","date_gmt":"2024-05-27T15:42:36","guid":{"rendered":"https:\/\/scuola.org\/senza-categoria\/limportanza-della-catena-dei-fornitori-supply-chain\/"},"modified":"2024-05-29T20:56:55","modified_gmt":"2024-05-29T18:56:55","slug":"limportanza-della-catena-dei-fornitori-supply-chain","status":"publish","type":"post","link":"https:\/\/scuola.org\/consigli-di-cybersecurity\/limportanza-della-catena-dei-fornitori-supply-chain\/","title":{"rendered":"L’importanza della Catena dei Fornitori (Supply Chain)"},"content":{"rendered":"
Nel contesto odierno, caratterizzato da una crescente interconnessione tra scuole e fornitori, la sicurezza della catena dei fornitori \u00e8 diventata una componente cruciale della strategia complessiva di cybersecurity di qualsiasi organizzazione. La supply chain non \u00e8 solo una rete di fornitori e subfornitori che forniscono materiali e servizi, ma \u00e8 anche un bersaglio potenziale per attacchi informatici che possono avere ripercussioni devastanti su tutte le parti coinvolte.<\/p>\n
La catena dei fornitori rappresenta una serie di anelli interconnessi, ciascuno dei quali pu\u00f2 essere vulnerabile a intrusioni e attacchi informatici. La protezione di questi anelli \u00e8 essenziale per garantire l’integrit\u00e0, la riservatezza e la disponibilit\u00e0 delle informazioni sensibili. In un’epoca in cui le minacce informatiche sono sempre pi\u00f9 sofisticate, le scuole devono assicurarsi che ogni parte della loro supply chain adotti misure di sicurezza adeguate.<\/p>\n
Le minacce alla supply chain possono essere numerose e variegate. Alcuni degli attacchi pi\u00f9 comuni includono:<\/p>\n
1. Attacchi di Phishing e Spear Phishing<\/strong>: Email fraudolente che inducono i dipendenti di un fornitore a divulgare informazioni sensibili.<\/p>\n 2. Malware e Ransomware<\/strong>: Software dannosi che possono infiltrarsi nei sistemi di un fornitore e diffondersi a tutta la supply chain.<\/p>\n 3. Compromissione dei Software di Terze Parti<\/strong>: Software e aggiornamenti provenienti da fornitori possono contenere vulnerabilit\u00e0 che gli hacker possono sfruttare.<\/p>\n 4. Fornitori non Sicuri<\/strong>: Fornitori che non adottano adeguate misure di sicurezza rappresentano un punto di ingresso per gli attacchi.<\/p>\n Gli attacchi alla supply chain possono avere impatti significativi:<\/p>\n – Perdita di Dati Sensibili<\/strong>: Informazioni critiche possono essere esposte, causando danni reputazionali e finanziari.<\/p>\n – Interruzione delle Operazioni<\/strong>: Gli attacchi possono interrompere le operazioni, causando ritardi e perdite economiche.<\/p>\n – Risarcimenti e Sanzioni<\/strong>: Le scuole possono dover affrontare sanzioni regolamentari e risarcimenti per violazione della privacy e dei dati.<\/p>\n Per mitigare i rischi associati alla catena dei fornitori, le scuole devono adottare una serie di best practices:<\/p>\n 1. Valutazione dei Rischi<\/strong>: Effettuare valutazioni periodiche dei rischi per identificare e mitigare le vulnerabilit\u00e0.<\/p>\n 2. Due Diligence sui Fornitori<\/strong>: Condurre una rigorosa due diligence sui fornitori per assicurarsi che rispettino standard di sicurezza adeguati.<\/p>\n 3. Contratti di Sicurezza<\/strong>: Includere clausole di sicurezza nei contratti con i fornitori per garantire il rispetto delle normative e delle best practices.<\/p>\n 4. Monitoraggio Continuo<\/strong>: Implementare sistemi di monitoraggio continuo per rilevare e rispondere tempestivamente a eventuali minacce.<\/p>\n 5. Formazione e Sensibilizzazione<\/strong>: Educare il personale e i partner della supply chain sull’importanza della sicurezza e sulle pratiche di sicurezza.<\/p>\n Una checklist dettagliata pu\u00f2 aiutare le scuole a garantire che tutte le misure di sicurezza necessarie siano adottate. Ecco una checklist consigliata:<\/p>\n 1. Identificazione dei Fornitori<\/strong>: Identificare i fornitori che hanno accesso a dati sensibili o che forniscono servizi anche non essenziali. \u00c8 importante avere una lista aggiornata di tutti i fornitori e poi da questi andare ad effettuare le valutazioni successive. Dato che la lista dei fornitori potrebbe essere molto lunga in alcuni contesti \u00e8 consigliato separare i fornitori in macro aree, come ad esempio:<\/p>\n A – I fornitori che non trattano dati sensibili<\/strong>, quindi potrebbe essere un fornitore di materie prime dove i dati che possiede sono i dati di fatturazione ed i contatti di chi si occupa della fornitura. Questi fornitori possono essere considerati a rischio basso.<\/p>\n B – I fornitori che hanno accesso a dati sensibili<\/strong>, ma non alla gestione di software o servizi della scuola, come un consulente esterno per un progetto o per una gara ad esempio, questo fornitore possiede dati, anche temporaneamente, personali dei dipendenti e degli studenti della scuola. Questi fornitori possono essere considerati a rischio medio.<\/p>\n C – I fornitori hanno accesso a servizi o terminali della scuola<\/strong>, ma non li controllano, ad esempio un fornitore che solo quando necessario utilizza anydesk per entrare in un PC per sistemare un macchinario. Questi fornitori sono da considerare a rischio medio o alto in base ai terminali a cui hanno accesso.<\/p>\n D – I fornitori che hanno il controllo di un qualunque servizio o terminale della scuola<\/strong>, ad esempio il fornitore della posta elettronica, chi gestisce la videosorveglianza, chi gestisce server e servizi ecc. Questi fornitori sono da considerarsi a rischio massimo in quanto una loro compromissione potrebbe compromettere la scuola con conseguenze catastrofiche.<\/p>\n 2. Analisi delle Minacce<\/strong>: In base alla categoria di appartenenza dei fornitori analizzare le minacce che potrebbero colpirli, le conseguenze e le misure di sicurezza da mettere in pratica. Abbiamo, nell’esempio precedente, suddiviso i fornitori in 4 macro aree di rischio, ovviamente la lista \u00e8 solo un esempio, una scuola pu\u00f2 creare pi\u00f9 macro aree, oppure fare una valutazione fornitore per fornitore: basso, medio, alto, massimo.<\/p>\n Alcune delle domande da porsi per ogni fornitore sono:<\/p>\n – Quali sono le minacce che possono colpirlo? Es. un ransomware<\/p>\n – Se viene colpito dalla massima minaccia, cosa rischiamo? Es. viene hackerato il fornitore di posta.<\/p>\n – Chi sono i dipendenti della scuola coinvolti? Es. viene hackerato il fornitore di penne per la segreteria, oppure il fornitore della firma elettronica, chi ha contatti con questi fornitori?<\/p>\n Ora che sappiamo cosa trattano i fornitori e cosa rischiamo in un loro hackeraggio possiamo andare a controllare le loro misure di sicurezza adottate.<\/p>\n 1. Verifica delle Certificazioni<\/strong>: Verificare che i fornitori siano certificati secondo standard di sicurezza riconosciuti (ISO 27001, NIST, ecc.). Non tutti i fornitori devono essere certificati, caso per caso, in base al loro rischio la scuola stabilisce la necessit\u00e0 o meno, ma una certificazione secondo uno standard di sicurezza dovrebbe fare la differenza nella scelta del fornitore per quel determinato servizio.<\/p>\n 2. Valutazione delle Politiche di Sicurezza<\/strong>: Esaminare le politiche di sicurezza dei fornitori per assicurarsi che siano adeguate. Chiedi a tutti i fornitori le loro politiche di sicurezza, un fornitore deve avere delle politiche di sicurezza che rispettano i requisiti minimi richiesti dalla scuola commisurato alla categoria di rischio.<\/p>\n 3. Audit di Sicurezza:<\/strong> Ove possibile condurre audit di sicurezza regolari sui fornitori per verificare la conformit\u00e0. L’audit pu\u00f2 essere delegato ad un’azienda terza specializzata, oppure fatta dall’amministratore di sistema della scuola, non ci sono obblighi, ma \u00e8 altamente consigliato effettuare un audit di sicurezza per testare che le politiche di sicurezza del fornitore siano effettivamente rispettate.<\/p>\n L’accesso ai dati da parte del fornitore non deve essere mai illimitato, ma sempre essere commisurato al suo lavoro e soprattutto deve esserci tracce di questi accessi, come specificato anche nel GDPR.<\/p>\n Ad esempio:<\/p>\n – Un fornitore che accede da remoto al desktop solo per tarare uno strumento non deve avere accesso incondizionato alla macchina, anche se di propriet\u00e0 del fornitore, ma deve essere sempre autorizzato ogni volta.<\/p>\n – Un amministratore di sistema esterno per entrare nel desktop di un PC, anche per fare un intervento di manutenzione deve chiedere esplicitamente l’autorizzazione all’accesso.<\/p>\n – Un consulente esterno non deve conservare, pi\u00f9 del tempo necessario, dati personali e provvedere ad una minimizzazione e\/o pseudonimizzazione dei dati trattati.<\/p>\n – Non si pu\u00f2 permettere l’accesso illimitato senza conferma se non si possiede un sistema di controllo automatico che lo impedisca quando c’\u00e8 un utente davanti al sistema e che tracci tutti gli accessi e le motivazioni di accesso.<\/p>\n 1. Inclusione di Clausole di Sicurezza<\/strong>: Assicurarsi che i contratti includano clausole specifiche relative alla sicurezza delle informazioni.<\/p>\n 2. Definizione delle Responsabilit\u00e0<\/strong>: Definire chiaramente le responsabilit\u00e0 in materia di sicurezza per entrambe le parti.<\/p>\n 3. Piani di Risposta agli Incidenti<\/strong>: Includere nei contratti i piani di risposta agli incidenti e le procedure di comunicazione.<\/p>\n 1. Implementazione di Strumenti di Monitoraggio<\/strong>: Utilizzare strumenti di monitoraggio per rilevare anomalie e attivit\u00e0 sospette.<\/p>\n 2. Verifica delle Patch e degli Aggiornamenti<\/strong>: Assicurarsi che i fornitori applichino tempestivamente le patch e gli aggiornamenti di sicurezza.<\/p>\n 3. Revisione Periodica delle Valutazioni<\/strong>: Effettuare revisioni periodiche delle valutazioni dei rischi e delle politiche di sicurezza.<\/p>\n 1. Programmi di Formazione<\/strong>: Implementare programmi di formazione continua per il personale e i fornitori sulla cybersecurity.<\/p>\n 2. Simulazioni di Attacco<\/strong>: Condurre simulazioni di attacco per testare la prontezza e la reattivit\u00e0 della supply chain.<\/p>\n 3. Condivisione delle Best Practices<\/strong>: Promuovere la condivisione delle best practices tra i fornitori per migliorare la sicurezza complessiva.<\/p>\n Nel 2016 e nel 2017, UniCredit ha subito due violazioni dei dati che hanno compromesso le informazioni personali di circa 400.000 clienti. Gli attacchi sono stati attribuiti a una compromissione della catena dei fornitori attraverso un partner commerciale che gestiva i dati di accesso.<\/p>\n L’attacco ha esposto informazioni sensibili dei clienti, incluso l’accesso non autorizzato a dati relativi a prestiti e altre informazioni finanziarie.<\/p>\n A seguito di questi incidenti, UniCredit \u00e8 stata sanzionata dall’Autorit\u00e0 Garante per la Protezione dei Dati Personali. La multa \u00e8 stata imposta per non aver adottato misure adeguate a proteggere i dati personali dei clienti, in conformit\u00e0 con le norme GDPR.<\/p>\n Questo attacco ha messo in luce la necessit\u00e0 di:<\/p>\n – Rigorose Verifiche di Sicurezza<\/strong>: Anche per i fornitori di software di fiducia.<\/p>\n – Monitoraggio Continuo<\/strong>: Per rilevare attivit\u00e0 anomale il pi\u00f9 rapidamente possibile.<\/p>\n – Collaborazione tra Settori<\/strong>: La condivisione di informazioni tra enti governativi e privati \u00e8 cruciale per contrastare tali minacce.<\/p>\n La cybersecurity della supply chain \u00e8 una sfida complessa ma essenziale per la sicurezza complessiva di qualsiasi organizzazione. Attraverso una combinazione di valutazione dei rischi, due diligence sui fornitori, contratti di sicurezza, monitoraggio continuo e formazione, le scuole possono mitigare significativamente i rischi associati alla supply chain. \u00c8 imperativo che le organizzazioni riconoscano la supply chain non solo come un insieme di fornitori di beni e servizi, ma come un’estensione critica del loro ecosistema di sicurezza.<\/p>\n Implementando le best practices e utilizzando la checklist fornita, le scuole possono rafforzare la loro resilienza contro le minacce informatiche e proteggere meglio i loro dati, le loro operazioni e la loro reputazione.<\/p>\n ISO 28000:2007 – Sistema di gestione della sicurezza per la catena di fornitura: Questa norma specifica i requisiti per un sistema di gestione della sicurezza, compresi gli aspetti critici per garantire la sicurezza della catena di fornitura.<\/p>\n ISO 27001:2013 – Sistema di gestione della sicurezza delle informazioni: Questa norma pu\u00f2 essere utilizzata per proteggere le informazioni lungo tutta la catena di fornitura.<\/p>\n TAPA FSR (Freight Security Requirements) – Requisiti di sicurezza per il trasporto merci: Questo standard \u00e8 sviluppato dalla Transported Asset Protection Association (TAPA) e fornisce linee guida per la sicurezza del trasporto merci.<\/p>\n Regolamento (UE) 2019\/1020 – Sorveglianza del mercato e conformit\u00e0 dei prodotti: Questo regolamento stabilisce norme per garantire che i prodotti immessi sul mercato dell’UE siano sicuri e conformi ai requisiti normativi.<\/p>\n Regolamento (UE) 2017\/625 – Controlli ufficiali lungo la catena agroalimentare: Stabilisce un quadro armonizzato per i controlli ufficiali lungo la catena agroalimentare.<\/p>\n Direttiva NIS (EU 2016\/1148) – Direttiva sulla sicurezza delle reti e dei sistemi informativi: Questa direttiva mira a migliorare la sicurezza informatica nell’UE e comprende misure per la sicurezza della supply chain.<\/p>\n D.Lgs. 81\/2008 – Testo Unico sulla Salute e Sicurezza sul Lavoro: Questo decreto legislativo include disposizioni sulla sicurezza nei luoghi di lavoro, applicabili anche alla sicurezza della supply chain.<\/p>\n D.Lgs. 231\/2001 – Responsabilit\u00e0 amministrativa delle persone giuridiche: Include disposizioni relative alla gestione del rischio e alla conformit\u00e0 normativa, che possono essere applicate anche alla sicurezza della supply chain.<\/p>\n GMP (Good Manufacturing Practices) – Buone pratiche di fabbricazione: Questi standard sono fondamentali per la sicurezza nella supply chain del settore farmaceutico e alimentare.<\/p>\n C-TPAT (Customs-Trade Partnership Against Terrorism) – Partenariato doganale-commmerciale contro il terrorismo: Programma volontario di sicurezza delle supply chain sviluppato dalla U.S. Customs and Border Protection.<\/p>\n Framework NIST (National Institute of Standards and Technology): Fornisce un quadro per la gestione del rischio della supply chain nel contesto della sicurezza informatica.<\/p>\n Standard di settore specifici: Alcuni settori, come quello automobilistico (IATF 16949) o aerospaziale (AS9100), hanno standard specifici che includono requisiti per la sicurezza della supply chain.<\/p>\n","protected":false},"excerpt":{"rendered":" Nel contesto odierno, caratterizzato da una crescente interconnessione tra scuole […]<\/p>\n","protected":false},"author":4,"featured_media":2671,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[17],"tags":[19,39,40,41,42],"class_list":["post-2665","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-consigli-di-cybersecurity","tag-cybersecurity","tag-malware","tag-phishing","tag-ransomware","tag-supply-chain"],"yoast_head":"\nImpatto degli Attacchi sulla Supply Chain<\/h2>\n
Best Practices per la Sicurezza della Supply Chain<\/h2>\n
La Checklist per la Sicurezza della Supply Chain<\/h2>\n
Valutazione dei Rischi<\/h3>\n
Due Diligence sui Fornitori<\/h3>\n
Limitazioni di accesso ai dati<\/h3>\n
Contratti di Sicurezza<\/h2>\n
Monitoraggio e Gestione Continua<\/h2>\n
Formazione e Sensibilizzazione<\/h3>\n
Case Study: UniCredit (Data Breach)<\/h2>\n
Conclusione<\/h2>\n
Principali normative e standard per la sicurezza della supply chain<\/h2>\n
Normative Internazionali<\/h3>\n
Normative Europee<\/h3>\n
Normative Italiane<\/h3>\n
Standard Specifici per Settore<\/h3>\n
Altre Risorse<\/h3>\n