Affrontare i cyber-rischi nella supply chain

Roland Heinesch, Senior Underwriter presso Liberty Specialty Markets, si addentra nella complessa trama della catena di approvvigionamento e dei cyber-rischi, offrendo preziose indicazioni sul panorama dei rischi e sulle best practice che le aziende dovrebbero adottare per tutelare le proprie attività operative.

Nel contesto digitale odierno, la complessità delle moderne catene di approvvigionamento (note anche come «supply chain») è un elemento che non può essere sottovalutato. Man mano che le aziende fanno affidamento su una platea sempre più ampia di fornitori, distributori e partner per servire la propria clientela su scala globale, l’interconnettività di queste catene raggiunge livelli senza precedenti.

Sebbene queste reti in costante espansione abbiano senz’altro facilitato il commercio mondiale e un’assoluta continuità delle attività operative, al contempo hanno anche reso le supply chain più esposte a possibili interruzioni, tanto da renderle allettanti bersagli per i cyber-criminali. Per comprendere la portata e la criticità di questo problema, basta sottolineare come lo scorso anno le discontinuità correlate alle catene di approvvigionamento abbiano causato in media perdite annuali di USD 82 milioni[1] per azienda nei settori economici di rilevanza primaria.

Oggi più che mai è quindi essenziale riconoscere che le vulnerabilità della supply chain sono ormai intimamente intrecciate nella trama delle cyber-minacce, tanto da produrre un cambiamento significativo nel modo in cui assicuratori e clienti affrontano il tema della sicurezza delle nostre reti operative interconnesse.

Comprendere il panorama digitale

I sistemi automatizzati di inventario, le piattaforme di collaborazione basate su cloud e i dispositivi IoT (Internet of Things), ad esempio, sono profondamente radicati nei portafogli aziendali. Per quanto da un lato abbiano ottimizzato le operazioni e creato nuovi livelli di efficienza, dall’altro hanno parimenti introdotto nuovi rischi e vulnerabilità. Ogni componente, per quanto all’apparenza insignificante, può diventare un potenziale punto debole che i cyber-criminali sono pronti a sfruttare. La natura distribuita delle supply chain complica ulteriormente un monitoraggio efficiente, rendendo difficile individuare prontamente le vulnerabilità e le minacce.

Alla luce di questo scenario, le cyber-minacce (che spaziano dagli attacchi di phishing allo spionaggio industriale) sono incombenti, con rischi concreti per la confidenzialità, la disponibilità e l’integrità dei dati. Sebbene la natura esatta delle cyber-minacce possa variare sull’arco della catena di approvvigionamento, gli episodi di violazione dei dati e di ransomware stanno divenendo sempre più comuni, tanto da impedire ai fornitori di soddisfare i requisiti posti nei loro confronti e da ostacolare le attività operative delle aziende. A loro volta, le violazioni della sicurezza presso i fornitori possono mettere in luce vulnerabilità all’interno dei sistemi dei clienti, con conseguenti opportunità di attacchi diretti ai loro stessi dati.

Anche per le grandi aziende, altrimenti ben attrezzate per tutelarsi contro le cyber-minacce, incombe la necessità di estendere la portata delle strategie di gestione del rischio attualmente più avanzate ben oltre i confini digitali di un’organizzazione. Spesso gli hacker riescono a colpire l’anello più debole della catena di approvvigionamento, prendendo di mira entità di piccole dimensioni con un accesso indiretto alle reti e facendo affidamento su strategie di backdoor che sfruttano la complessità intrinseca della rete di supply chain. Dai fornitori di servizi in outsourcing di buste paga fino ai consulenti aziendali e ad altri fornitori che hanno accesso ai dati più sensibili dei clienti, una singola violazione può creare un impressionante effetto domino, con ampie discontinuità delle attività operative. Un singolo fornitore può infatti fornire un prodotto o un servizio di rilevanza critica per un’azienda; in caso di indisponibilità, dunque, l’organizzazione che ne dipende può risultare completamente paralizzata.

Un esempio ampiamente noto di un attacco mirato a una supply chain di software da parte di un autore di minacce informatiche (c.d. «threat actor») con capacità avanzate è l’evento SolarWinds. Nel 2020 questo attore ha utilizzato un software compromesso per creare una backdoor nei sistemi bersaglio. Sebbene una vulnerabilità nel software Orion costituisse un singolo punto di vulnerabilità (Single point of failure – SPOF) tale da consentire all’attacco di tradursi in un evento sistemico di vasta portata ai danni di quasi 20 000 organizzazioni, l’evento non è sfociato in gravi perdite per il mercato assicurativo in quanto la motivazione di fondo era lo spionaggio e non la distruzione. Per il mercato, l’incidente è stato fonte di numerosi insegnamenti importanti, tra cui il profondo impatto prodotto dagli attacchi alle catene di approvvigionamento, la valutazione critica delle motivazioni di un threat actor nonché la persistenza e la mutevolezza delle minacce di attacchi sofisticati alla supply chain dei software.

L’evento SolarWinds fornisce preziose lezioni per il panorama della cybersicurezza, in quanto mette in evidenza le caratteristiche poliedriche e la natura in costante evoluzione delle minacce informatiche. Eventi come questi cambiano il modo in cui gli assicuratori modellizzano le perdite, integrando i dati sulla dipendenza tecnologica e le tecniche di scansione esterna delle reti per individuare le vulnerabilità nelle reti delle aziende e anticipare i potenziali obiettivi di exploit informatico nella supply chain.

Mitigazione dei rischi

Come evidenziato dal caso SolarWinds, il primo passo per la mitigazione dei cyber-rischi comprende sia un apparato di prevenzione, sia un’adeguata esperienza nell’individuazione delle lacune nell’attuale dispositivo di cybersicurezza. Sebbene una protezione completa sia difficile da garantire, esistono misure preventive di comprovata efficacia, quali una solida strategia di gestione dell’identità e degli accessi (Identity & Access Management) che può promuovere una maggiore resilienza e sicurezza. Allo stesso modo, la formalizzazione di un piano di Cyber Supply Chain Risk Management (C-SCRM) costituisce una strategia fondamentale, in quanto agevola la governance, le procedure, le direttive, i tool e i processi essenziali per la tutela della catena di approvvigionamento.

Un’adeguata preparazione in caso di evento avverso costituisce un fattore altrettanto critico. Le aziende devono partire dall’assunto che un incidente è destinato a verificarsi; la domanda non è «se», ma «quando». I piani di continuità operativa (c.d. «Business Continuity Plan») svolgono un ruolo centrale nelle attività di ripristino a seguito di incidenti; in particolare, mettono in evidenza quanto sia essenziale l’esigenza di condurre test frequenti e di allineare questi piani ai programmi assicurativi. Alcuni assicuratori offrono un certo grado di flessibilità nella scelta dei fornitori, sottolineando piuttosto l’importanza di una preparazione proattiva che quella di una risposta reattiva. La capacità di riconoscere la criticità del ruolo di fornitori e distributori è essenziale. Elementi quali un’adeguata comprensione dei rispettivi ruoli, la valutazione del loro accesso ai dati sensibili e un coinvolgimento attivo nel processo di cyber-resilienza, nonché una capacità di risposta incisiva e attività mirate di disaster recovery costituiscono le fondamenta di una strategia solida. Un’attività costante di monitoraggio e valutazione, abbinata a canali di comunicazione improntati alla trasparenza, garantiscono che i controlli utilizzati dai fornitori siano allineati ai requisiti di sicurezza dell’organizzazione. L’inclusione di elementi di cybersicurezza in ogni passaggio della supply chain (dalla selezione dei fornitori fino alla consegna finale del prodotto) consente di plasmare un approccio proattivo contro minacce potenziali.

Oltre queste misure proattive, le aziende devono mantenere alta la guardia e attuare una vigilanza a raggio molto ampio. La complessità delle interconnessioni, la globalizzazione e i fattori di pressione sul piano normativo impongono una valutazione costante delle prassi di sicurezza.

In ultima analisi, i cyber-rischi all’interno delle catene di approvvigionamenti impongono l’adozione di un approccio differenziato su molteplici livelli. Grazie al loro know-how globale e ai dati specifici sui sinistri, gli assicuratori svolgono un ruolo essenziale per aiutare i clienti a proteggere sé stessi. Attraverso la condivisione di preziosi elementi e il costante miglioramento dell’offerta di servizi, gli assicuratori consentono alle aziende di ottenere una migliore comprensione dei cyber-rischi e di mitigarli. La definizione di benchmark per rischi analoghi nei vari settori apporta elementi preziosi per i clienti, i quali sono così in grado di ottimizzare le proprie strategie di cybersicurezza.

In questo panorama in continua evoluzione, in cui i rischi possono essere nascosti dietro il firewall di un fornitore o in una singola riga di codice, fattori quali vigilanza proattiva, collaborazione e un impegno per miglioramenti costanti costituiscono dunque le pietre angolari della resilienza.

[1] https://www.interos.ai/press/interos-annual-supply-chain-report-unveils-37m-benefit-to-organizations-taking-swift-action-on-supply-chain-disruption/