Gestire i rischi legati alla catena di fornitura

Che si tratti di software, prodotti, servizi o servizi cloud, le organizzazioni dipendono dai fornitori e dalla loro sicurezza. Philipp Grabher, CISO del Canton Zurigo, e Oliver Jäschke, responsabile della sicurezza dei rapporti con i fornitori presso Swisscom, spiegano come le organizzazioni possono gestire i rischi legati alla catena di fornitura.

Luglio 2024, Testo Andreas Heer 4 Min.

È stata una libreria di software poco appariscente, con il nome altrettanto modesto di «xz», a scatenare ondate di shock nel mondo IT: una sofisticata backdoor avrebbe permesso agli aggressori – sconosciuti – di accedere a milioni di sistemi Linux. «Avrebbe» perché la falla è stata scoperta per tempo, impedendo l’incursione nelle versioni stabili dei più comuni prodotti distribuiti da Linux.

Che si tratti di xz o di vulnerabilità nei software commerciali, di pacchetti dannosi in repository software come il Python Package Index (PyPI) o il registry npm, le falle nella sicurezza della catena di fornitura del software rappresentano un rischio reale. Che non è in agguato soltanto lì. Anche i fornitori di altri prodotti possono essere usati come porta di accesso per attacchi informatici o causare un’interruzione del servizio a causa di un attacco informatico.

Non sorprende quindi che la catena di fornitura abbia una priorità elevata nella gestione dei rischi e nella cibersicurezza. «È uno dei nostri temi principali», afferma Philipp Grabher, CISO del Canton Zurigo. Anche per Oliver Jäschke, Product Owner Security Assurance di Swisscom e quindi responsabile della sicurezza delle relazioni con i fornitori, l’argomento sta tornando in auge.

Questo articolo mostra come le aziende possono proteggersi meglio dai rischi connessi con la catena di fornitura e quali sono le possibili leve da sfruttare.

Informatevi sugli ultimi sviluppi della cybersicurezza e scoprite quali sono le principali minacce.

«I rischi derivanti dalla catena di fornitura sono tra i nostri temi chiave.»

Philipp Grabher, CISO del Canton Zurigo

Creare consapevolezza sui rischi legati alla catena di fornitura

Nella gestione dei rischi connessi con la catena di fornitura assumono un ruolo decisivo i processi di acquisto. Questo perché nell’acquisto dei prodotti sono coinvolti più reparti (ad es.: reparto tecnico, acquisti, divisione affari legali e reparto Security). «La protezione dai rischi legati alla catena di fornitura è un tema interdisciplinare che include tutte le parti coinvolte», sottolinea Grabher. Ciò presuppone una sensibilizzazione dei committenti sui possibili rischi, sottolinea Jäschke. La gestione del rischio inizia quindi con lo sviluppo della consapevolezza all’interno dell’azienda. «È importante che i processi di acquisto siano precisi», afferma Grabher. «E la sicurezza informatica è uno dei tasselli di questo mosaico.»

Altrettanto importante è chiarire le responsabilità tra fornitori e committenti, aggiunge Grabher: «C’è assolutamente bisogno di trasparenza su chi è responsabile di cosa. È una questione che va risolta, ma che resta spesso una sfida».

Coinvolgere i fornitori nelle considerazioni sui rischi

Contribuiscono a questa trasparenza i requisiti di sicurezza concordati contrattualmente, che stabiliscono le regole che i fornitori devono rispettare. L’entità dipende dal profilo di rischio e dal tipo di acquisto. Per i software valgono, ad esempio, disposizioni diverse da quelle applicate al lavoro di un integratore di sistemi. «I criteri in tal senso sono, ad esempio, l’accesso ai nostri sistemi e ai dati riservati», afferma Grabher. «O se un fornitore è rilevante nella gestione di processi aziendali critici.»

Ma gli accordi contrattuali sono una cosa, il rispetto è un’altra. Uno degli obiettivi del Supply Chain Management è quindi quello di verificare regolarmente i fornitori, controllando anche che osservino le misure tecniche e organizzative (TOM) per la protezione e la sicurezza dei dati. «Questo processo deve essere integrato e reiterato come elemento della strategia di gestione dei rischi», afferma Grabher. A tal proposito in Swisscom è coinvolta anche la ciberdifesa: «Verifichiamo i principali fornitori nell’ambito del processo di Cyber Threat Intelligence, grazie al quale riusciamo a valutare meglio la situazione di pericolo e a riconoscere eventuali attacchi informatici», afferma Jäschke.

Sviluppo di software sicuri nella catena di fornitura

Tornare alla catena di fornitura del software: occorre ridurre al minimo il rischio di vulnerabilità del software impiegato per evitare il più possibile casi come xz o «Log4shell» a novembre 2021. Grabher e Jäschke attribuiscono grande importanza allo sviluppo sicuro del software e sottolineano come, a tal fine, l’audit dovrebbe tenere conto dei seguenti aspetti:

implementazione del NIST Secure Software Development Framework (SSDF(apre una nuova finestra))
Threat Modeling (riconoscimento delle lacune)
security testing statico, dinamico e interattivo di applicazioni
garanzia dell’integrità dei repository, ad esempio su GitHub
processo consolidato per eliminare le vulnerabilità e applicare patch
misure di sicurezza come un programma Bug Bounty o penetration test a cadenza regolare

SBOM: un inventario di software

In caso di vulnerabilità nelle librerie di software, le imprese devono procedere con una laboriosa verifica che determini se il software da loro utilizzato è interessato. Una SBOM (Software Bill of Materials), una sorta di inventario di tutti i componenti e le librerie utilizzati da un software, contribuirebbe a creare trasparenza in tal senso. Se viene individuata una vulnerabilità, SBOM indica se c’è un’applicazione interessata. Grabher e Jäschke accolgono quindi all’unisono questo approccio: «Con una SBOM potremmo reagire più rapidamente in caso di incidente». Ma SBOM è ancora «work in progress», ammette Jäschke. Da un lato, per diversi motivi non tutti i produttori di software sono disposti a rendere trasparenti i componenti utilizzati. Dall’altro, alcune biblioteche sono dipendenti da altre biblioteche e, di conseguenza, dovrebbero anche portare con sé a loro volta una SBOM. Una storia quasi infinita.

Audit regolare dei fornitori

Con un audit viene verificato se le aziende fornitrici e i loro prodotti soddisfano i requisiti di sicurezza e rispettano gli accordi contrattuali. In entrambe le organizzazioni ne è responsabile il reparto preposto alla sicurezza. «Verifichiamo diversi aspetti legati alla sicurezza», afferma Jäschke. «E qui parliamo, oltre che delle misure di cibersicurezza vere e proprie, anche per esempio della gestione degli attacchi ransomware, del Business Continuity Management (BCM) e delle disposizioni in materia di protezione dei dati.» Per Jäschke è importante che il fornitore comprenda i vantaggi di un audit: «L’obiettivo è avere la certezza che l’azienda sia in grado di reagire correttamente a un incidente di sicurezza».

A causa dell’elevato numero di fornitori, non è possibile effettuare una valutazione completa di ciascuno. «Il tipo di verifica dipende dalla criticità», spiega Jäschke. A questo proposito, il Canton Zurigo mira a una più stretta collaborazione sia tra le unità amministrative che con i comuni, spiega Grabher: «Cerchiamo di creare sinergie nella gestione dei fornitori, ad esempio valutando insieme i fornitori o facendo confluire le esperienze dei diversi reparti acquisti».

«Un audit deve anche garantire che un fornitore sia in grado di reagire correttamente a un incidente di sicurezza.»

Oliver Jäschke, Product Owner Security Assurance in Swisscom

Il Supply Chain Management come ago della bilancia

Ma non tutti i fornitori di software sono ugualmente aperti all’idea degli audit. «Come valutiamo un fornitore che non vuole creare trasparenza?», suggerisce Grabher. Inoltre, un audit può mettere in luce le misure esistenti, ma non può determinare che vengano poi effettivamente implementate. «In caso di incidente di sicurezza vogliamo essere informati rapidamente», afferma Jäschke. «Ecco perché, negli audit, l’atteggiamento del fornitore del software nei confronti della gestione degli incidenti si fa sempre più importante.»

Allo stesso tempo, i requisiti di sicurezza sono capaci di spostare l’ago della bilancia, come ammette Grabher: «I grandi fornitori spesso hanno misure di sicurezza migliori rispetto ai piccoli fornitori e ciò a volte rende per questi ultimi più difficile l’ottenimento delle commesse.»

La crescente importanza della catena di fornitura

Con tutti i vantaggi delle offerte cloud e SaaS, il rovescio della medaglia è che aumentano la dipendenza dal fornitore. Di qui l’importanza crescente della Supply Chain Security e della gestione dei rischi. «Da un lato, più si è dipendenti più aumentano i rischi», afferma Jäschke. «Al contempo è però anche cresciuta la consapevolezza sugli aspetti legati alle sicurezza. E le misure di protezione sono migliorate.»

Tutti beneficerebbero di una migliore protezione, sottolinea Grabher: «Migliorando insieme alla catena di fornitura, aumentiamo la sicurezza per tutti. Di conseguenza, tutti ne traggono vantaggio».