Come identificare e gestire i rischi per la sicurezza informatica nella propria catena di fornitura

26 Feb 2019
Articolo di Achilles

La sicurezza informatica è un fattore di vitale importanza per le imprese. Da un studio pubblicato nel 2018 dal Dipartimento per il digitale, la cultura, i media e lo sport del governo britannico, è emerso che il 43% delle aziende interpellate ha subìto un attacco informatico negli ultimi 12 mesi. Secondo Oz Alashe, fondatore e CEO di CybSafe e ambasciatore della sicurezza informatica di Achilles, la natura del rischio sta mutando e gli attacchi informatici stanno diventando un problema importante nella catena di fornitura.

“Normalmente si tende ad associare i crimini informatici all’idea di attacchi sofisticati, rivolti contro aziende FTSE 250, ma la realtà è ben diversa,” spiega Oz. “In generale, chi commette reati predilige i bersagli facili, ovvero chi è impreparato e non in grado di difendersi; evita invece i bersagli più difficili. Tradotto, significa, soprattutto per le aziende internazionali, che il punto debole nella loro strategia di sicurezza non sarà a livello delle loro reti, solide e affidabili, ma a livello dei piccoli fornitori con cui collaborano – o addirittura del fornitore del fornitore.”

La conferma viene dal settore delle utilities, colpito nel 2017 da un attacco condotto da hacker russi, capaci di accedere al sistema della rete elettrica statunitense attraverso fornitori chiave delle società elettriche. Il fatto che molti dei sistemi di controllo e analisi utilizzati in settori come la produzione e distribuzione dell’energia, l’aviazione, la gestione dell’acqua e l’industria manifatturiera non siano stati progettati tenendo conto della minaccia di attacchi informatici, espone tali settori, utilities e infrastrutture in primis, a gravi rischi. Le aziende devono oggi affrontare, in particolare, tre minacce principali, spiega Oz, tutte interconnesse.

Principali rischi per la sicurezza informatica

1 – Ingegneria sociale

Consiste nel manipolare le persone per estorcere loro informazioni o per introdurre una minaccia nei sistemi della loro azienda. Gli esempi più conosciuti di questo tipo di truffa sono il phishing e la truffa chiamata “419 scam” (dall’articolo del codice penale nigeriano che punisce questo genere di truffa); vi sono però anche metodi più sofisticati, come promesse di regali, prove gratuite, o tecniche di manipolazione tramite i social media. “Le tecniche variano da settore a settore, ma i tentativi di violazione dei dati sono sempre più diffusi,” spiega Oz. Quattro delle cinque principali cause di violazione dei dati sono imputabili a errori umani o di processo.”

2 – Malware / ransomware

“Perché sono così diffusi? In parte, perché sono di facile utilizzo. Sono relativamente facili sia da implementare sia da eseguire. Appositi kit di strumenti pronti all’uso permettono persino a un dilettante di creare e distribuire un pacchetto ransomware. E i rischi e i costi di esecuzione di un attacco come questo sono davvero minimi,” spiega Oz.

3 – Vulnerabilità dei dispositivi dell’Internet degli oggetti

“La diffusione dell’Internet degli oggetti ha introdotto negli ultimi anni cambiamenti radicali nel panorama della sicurezza informatica. Man mano che cresce, giorno dopo giorno, il numero di dispositivi connessi, aumentano anche le dimensioni dell’area esposta ad attacchi. È quasi inevitabile che vi siano punti vulnerabili in questi dispositivi. Una volta compromessa una mole critica di macchine, i criminali possono lanciare attacchi DDoS,” spiega Oz.

Come limitare i rischi per la sicurezza informatica

Per proteggersi meglio, le aziende devono valutare attentamente sia le questioni tecniche, sia il ruolo che il personale deve svolgere nella sicurezza informatica. Dal punto di vista tecnico, poter contare sulla giusta soluzione a livello aziendale è fondamentale. E per essere tale, questa soluzione deve coprire crittografia dei file, backup, dati finanziari, dati dei clienti, sistemi di pagamento online, sicurezza nel cloud, sistemi di controllo industriale e sicurezza degli endpoint, compresi i dispositivi dell’Internet degli oggetti. Non deve inoltre mancare l’adozione di best practice a livello di accesso alla rete, amministrazione del sistema, gestione efficiente delle patch e controlli delle applicazioni.

“Sul versante della formazione del personale, vanno introdotti programmi per consolidare le conoscenze, migliorare i comportamenti e incoraggiare il personale ad adottare pratiche virtuose in materia di sicurezza informatica. Le politiche introdotte devono essere ragionevoli, per non complicare inutilmente la vita al personale. Tali politiche devono essere incentrate sulle persone, e non ridursi a pure pratiche formali; inoltre devono essere scientificamente valide,” spiega Oz.

La sicurezza informatica come parte della politica di responsabilità sociale dell’azienda

Considerato che gli hacker prendono di mira i fornitori per infiltrarsi nelle grandi organizzazioni, è importante per le grandi e piccole aziende trattare la sicurezza informatica come un problema inerente alla supply chain; voci autorevoli vorrebbero persino inserire a pieno titolo la sicurezza informatica negli ambiti di competenza della responsabilità sociale d’impresa. Nel 2018, è entrato in vigore in tutta l’UE il Regolamento generale sulla protezione dei dati. Esso contiene rigorose misure per la tutela dei dati personali dei consumatori, e gli attacchi informatici sono una delle tante minacce all’integrità dei dati. Tuttavia, come evidenziato nel rapporto britannico sulle violazioni alla sicurezza informatica già citato, solo il 27% delle imprese mette effettivamente in atto politiche in materia di sicurezza informatica.

“Regolamenti a parte, vi è un beneficio intrinseco per l’azienda, che scaturisce da una corretta gestione del rischio per la sicurezza informatica nella catena di fornitura,” afferma Oz. “Tutti sanno che le supply chain poco efficienti intaccano i margini. Poche ore di inattività possono avere conseguenze catastrofiche. Una linea di produzione ferma può causare enormi perdite. In sostanza, una sicurezza informatica solida è una scelta di buon senso anche dal punto di vista commerciale.”

Ridurre il rischio nella propria supply chain

Dato che gli attacchi informatici rappresentano una minaccia crescente per le catene di fornitura, è importante che le aziende, siano esse acquirenti o fornitori, siano preparate per fronteggiarli. Lo studio britannico ha dimostrato che il 74% delle imprese considera la sicurezza informatica una questione altamente prioritaria, eppure il 73% di queste non ha attuato alcuna politica in materia. Con il nostro programma Rewards, i fornitori britannici beneficiano di sconti esclusivi del 20% sulle soluzioni di CybSafe e CyberSmart per la formazione in materia di sicurezza informatica e la conformità. Evita di rientrare in quel 43% di aziende che nel 2019 potrebbero subìre violazioni della sicurezza informatica.



Ricevi ogni mese preziosi approfondimenti direttamente nella tua casella di posta

Iscriviti