Che si tratti di software, prodotti, servizi o servizi cloud, le organizzazioni dipendono dai fornitori e dalla loro sicurezza. Philipp Grabher, CISO del Canton Zurigo, e Oliver Jäschke, responsabile della sicurezza dei rapporti con i fornitori presso Swisscom, spiegano come le organizzazioni possono gestire i rischi legati alla catena di fornitura.
Luglio 2024, Testo Andreas Heer 4 Min.
È stata una libreria di software poco appariscente, con il nome altrettanto modesto di «xz», a scatenare ondate di shock nel mondo IT: una sofisticata backdoor avrebbe permesso agli aggressori – sconosciuti – di accedere a milioni di sistemi Linux. «Avrebbe» perché la falla è stata scoperta per tempo, impedendo l’incursione nelle versioni stabili dei più comuni prodotti distribuiti da Linux.
Che si tratti di xz o di vulnerabilità nei software commerciali, di pacchetti dannosi in repository software come il Python Package Index (PyPI) o il registry npm, le falle nella sicurezza della catena di fornitura del software rappresentano un rischio reale. Che non è in agguato soltanto lì. Anche i fornitori di altri prodotti possono essere usati come porta di accesso per attacchi informatici o causare un’interruzione del servizio a causa di un attacco informatico.
Non sorprende quindi che la catena di fornitura abbia una priorità elevata nella gestione dei rischi e nella cibersicurezza. «È uno dei nostri temi principali», afferma Philipp Grabher, CISO del Canton Zurigo. Anche per Oliver Jäschke, Product Owner Security Assurance di Swisscom e quindi responsabile della sicurezza delle relazioni con i fornitori, l’argomento sta tornando in auge.
Questo articolo mostra come le aziende possono proteggersi meglio dai rischi connessi con la catena di fornitura e quali sono le possibili leve da sfruttare.
Nella gestione dei rischi connessi con la catena di fornitura assumono un ruolo decisivo i processi di acquisto. Questo perché nell’acquisto dei prodotti sono coinvolti più reparti (ad es.: reparto tecnico, acquisti, divisione affari legali e reparto Security). «La protezione dai rischi legati alla catena di fornitura è un tema interdisciplinare che include tutte le parti coinvolte», sottolinea Grabher. Ciò presuppone una sensibilizzazione dei committenti sui possibili rischi, sottolinea Jäschke. La gestione del rischio inizia quindi con lo sviluppo della consapevolezza all’interno dell’azienda. «È importante che i processi di acquisto siano precisi», afferma Grabher. «E la sicurezza informatica è uno dei tasselli di questo mosaico.»
Altrettanto importante è chiarire le responsabilità tra fornitori e committenti, aggiunge Grabher: «C’è assolutamente bisogno di trasparenza su chi è responsabile di cosa. È una questione che va risolta, ma che resta spesso una sfida».
Contribuiscono a questa trasparenza i requisiti di sicurezza concordati contrattualmente, che stabiliscono le regole che i fornitori devono rispettare. L’entità dipende dal profilo di rischio e dal tipo di acquisto. Per i software valgono, ad esempio, disposizioni diverse da quelle applicate al lavoro di un integratore di sistemi. «I criteri in tal senso sono, ad esempio, l’accesso ai nostri sistemi e ai dati riservati», afferma Grabher. «O se un fornitore è rilevante nella gestione di processi aziendali critici.»
Ma gli accordi contrattuali sono una cosa, il rispetto è un’altra. Uno degli obiettivi del Supply Chain Management è quindi quello di verificare regolarmente i fornitori, controllando anche che osservino le misure tecniche e organizzative (TOM) per la protezione e la sicurezza dei dati. «Questo processo deve essere integrato e reiterato come elemento della strategia di gestione dei rischi», afferma Grabher. A tal proposito in Swisscom è coinvolta anche la ciberdifesa: «Verifichiamo i principali fornitori nell’ambito del processo di Cyber Threat Intelligence, grazie al quale riusciamo a valutare meglio la situazione di pericolo e a riconoscere eventuali attacchi informatici», afferma Jäschke.
Tornare alla catena di fornitura del software: occorre ridurre al minimo il rischio di vulnerabilità del software impiegato per evitare il più possibile casi come xz o «Log4shell» a novembre 2021. Grabher e Jäschke attribuiscono grande importanza allo sviluppo sicuro del software e sottolineano come, a tal fine, l’audit dovrebbe tenere conto dei seguenti aspetti:
Con un audit viene verificato se le aziende fornitrici e i loro prodotti soddisfano i requisiti di sicurezza e rispettano gli accordi contrattuali. In entrambe le organizzazioni ne è responsabile il reparto preposto alla sicurezza. «Verifichiamo diversi aspetti legati alla sicurezza», afferma Jäschke. «E qui parliamo, oltre che delle misure di cibersicurezza vere e proprie, anche per esempio della gestione degli attacchi ransomware, del Business Continuity Management (BCM) e delle disposizioni in materia di protezione dei dati.» Per Jäschke è importante che il fornitore comprenda i vantaggi di un audit: «L’obiettivo è avere la certezza che l’azienda sia in grado di reagire correttamente a un incidente di sicurezza».
A causa dell’elevato numero di fornitori, non è possibile effettuare una valutazione completa di ciascuno. «Il tipo di verifica dipende dalla criticità», spiega Jäschke. A questo proposito, il Canton Zurigo mira a una più stretta collaborazione sia tra le unità amministrative che con i comuni, spiega Grabher: «Cerchiamo di creare sinergie nella gestione dei fornitori, ad esempio valutando insieme i fornitori o facendo confluire le esperienze dei diversi reparti acquisti».
Ma non tutti i fornitori di software sono ugualmente aperti all’idea degli audit. «Come valutiamo un fornitore che non vuole creare trasparenza?», suggerisce Grabher. Inoltre, un audit può mettere in luce le misure esistenti, ma non può determinare che vengano poi effettivamente implementate. «In caso di incidente di sicurezza vogliamo essere informati rapidamente», afferma Jäschke. «Ecco perché, negli audit, l’atteggiamento del fornitore del software nei confronti della gestione degli incidenti si fa sempre più importante.»
Allo stesso tempo, i requisiti di sicurezza sono capaci di spostare l’ago della bilancia, come ammette Grabher: «I grandi fornitori spesso hanno misure di sicurezza migliori rispetto ai piccoli fornitori e ciò a volte rende per questi ultimi più difficile l’ottenimento delle commesse.»
Con tutti i vantaggi delle offerte cloud e SaaS, il rovescio della medaglia è che aumentano la dipendenza dal fornitore. Di qui l’importanza crescente della Supply Chain Security e della gestione dei rischi. «Da un lato, più si è dipendenti più aumentano i rischi», afferma Jäschke. «Al contempo è però anche cresciuta la consapevolezza sugli aspetti legati alle sicurezza. E le misure di protezione sono migliorate.»
Tutti beneficerebbero di una migliore protezione, sottolinea Grabher: «Migliorando insieme alla catena di fornitura, aumentiamo la sicurezza per tutti. Di conseguenza, tutti ne traggono vantaggio».