Garantire la resilienza della cybersecurity lungo tutta la supply chain

Wayne Dorris

Il panorama delle minacce alla sicurezza è in costante mutamento, poiché i criminali informatici lavorano continuamente per sviluppare tattiche in grado di superare i sistemi di difesa delle organizzazioni. Un modo comune per arrivare a una rete protetta è attraverso la catena di approvvigionamento e la storia ne è testimone dati i tantissimi attacchi informatici che hanno fatto breccia nel sistema proprio attraverso questo metodo. Ad esempio, la società di software SolarWinds è stata recentemente vittima di un attacco alla propria supply chain, che ha avuto poi ripercussioni a livello globale. Gli autori delle minacce in genere prendono di mira le aziende puntando alle loro catene di approvvigionamento che di solito hanno sistemi di difesa meno sofisticati ed efficaci.

Ma come possono le organizzazioni essere sicure di non esporsi inavvertitamente alle azioni criminali degli hacker, che potrebbero avere accesso al sistema in vari modi? Per far sì che le aziende instaurino relazioni di fiducia con i partner e i consulenti che garantiscono la loro sicurezza informatica, queste devono essere consapevoli che il fornitore di sistemi valuta e contrasta continuamente tutti i rischi, e non solo quelli all’interno dei propri sistemi, ma anche quelli dei propri subfornitori. È fondamentale conoscere il processo che i produttori di soluzioni mettono in atto per controllare e salvaguardare l’intera catena di approvvigionamento garantendo, per tutti i prodotti, sicurezza lungo tutto il processo, dall’assemblaggio dei singoli componenti alla realizzazione finale.

Valutare e scegliere il partner giusto

La sicurezza della supply chain inizia con la scelta dei partner dopo un rigoroso processo di valutazione che dovrebbe includere un’analisi delle aree critiche, le politiche di sicurezza delle informazioni di ciascuna azienda e i processi di gestione della qualità e della sostenibilità. Come minimo, l’azienda dovrebbe ottenere da terze parti le certificazioni ISO 9001 o IATF 16949 e ISO 27001 A.15 o NIST SP-800 161.

Ma questo non basta. Per gestire correttamente il rischio insieme agli impianti e ai processi di produzione, anche i processi dei subfornitori dovrebbero essere valutati. I sopralluoghi dovrebbero essere effettuati e seguiti da revisioni in loco per verificare che l’azienda soddisfi realmente i requisiti di sicurezza e gli standard stabiliti per approvare e qualificare il fornitore. Come parte della valutazione di un potenziale nuovo partner, i fornitori dovrebbero poi condurre un’analisi approfondita della posizione finanziaria e della struttura proprietaria dell’organizzazione.

Può essere utile, inoltre, scegliere alcune aziende da nominare come subfornitori strategici, soprattutto per componenti critici. Investire tempo nella costruzione di queste relazioni migliorerà la fiducia e assicurerà che tutte le parti si impegnino a raggiungere obiettivi a lungo termine, in particolar modo per ciò che riguarda il mantenimento dei processi di sicurezza.

Verifiche regolari da parte dei fornitori rassicurano il cliente e apportano valore aggiunto

Il modo migliore per un fornitore di garantire la conformità del proprio subfornitore ai requisiti specificati è quello di condurre regolari verifiche e controlli in loco, con cadenza annuale o biennale. Questi possono essere integrati da revisioni aziendali trimestrali, per monitorare le prestazioni rispetto alle aspettative e discutere in modo collaborativo sulle eventuali modifiche da apportare. Il processo di audit dovrebbe coinvolgere ogni componente e aspetto della supply chain, dal fornitore di componenti al centro di distribuzione.

Gli individui con intenti criminali possono introdurre fisicamente minacce all’interno di una rete o direttamente nei prodotti, pertanto il processo di controllo dovrebbe includere anche le valutazioni delle strutture fisiche e in particolar modo delle procedure di garanzia della qualità e dei macchinari associati. Ciò garantirà che i prodotti non vengano manomessi e che a persone non autorizzate sia negato l’accesso ad aree riservate. Ad esempio, le entrate e le uscite dovranno essere continuamente sorvegliate, gli accessi controllati e gli elenchi di tutti i visitatori dovranno essere registrati e archiviati. Alcune aree, inoltre, potrebbero richiedere una sorveglianza continua anche con l’ausilio di guardie addette alla protezione della struttura e dell’ambiente circostante.

Proteggere il trasferimento dei dati all’interno della supply chain

Il trasferimento dei dati nella rete della catena di approvvigionamento deve essere protetto da protocolli di sicurezza, utilizzando metodi di crittografia e autenticazione. I subfornitori e i partner devono mantenere un elevato livello di sicurezza delle informazioni, per mitigare i rischi di eventuali gap nella supply chain. Avere un approccio sistematico per identificare e gestire le informazioni aziendali sensibili è fondamentale e dovrebbe includere persone, processi, sistemi informatici e luoghi fisici, nonché essere conforme alla ISO 27001 e al Regolamento generale sulla protezione dei dati (GDPR). Ciò migliorerà la consapevolezza e consentirà un’efficace gestione del rischio.

Secondo il nostro punto di vista, i dipendenti possono spesso rappresentare un rischio significativo per la sicurezza informatica e sono spesso esposti in prima linea per quanto riguarda gli attacchi. Questo rischio può essere mitigato responsabilizzando ed educando i dipendenti per assicurarsi che siano consapevoli di come proteggere le informazioni e i dati. L’implementazione di un programma di formazione che aggiorni frequentemente i dipendenti su minacce e nuove modalità e strategie d’attacco è fondamentale per contribuire a tutelare le organizzazioni e dovrebbe essere attuato da ogni azienda coinvolta nella catena di approvvigionamento.

Mantenere l’integrità a livello di prodotto

Dai prodotti di sorveglianza ci si aspetta una operatività che ricalcale modalità con cui sono stati ideati e progettati, mantenendo l’integrità. Ciò è possibile se l’hardware e il firmware del prodotto sono stati protetti con successo da modifiche o manipolazioni non autorizzate durante tutto l’intero percorso attraverso la catena di approvvigionamento. A partire dai materiali dei componenti, la tracciabilità – che include il processo di movimentazione dei materiali – ne assicura la condizione, rivelando eventuali deviazioni che potrebbero comprometterne la qualità e segnalandone la manomissione.

I fornitori e i partner di produzione devono avere un sistema di tracciabilità dei lotti dei loro prodotti, dal materiale iniziale al prodotto finito. Durante la produzione, i componenti fisici saranno sottoposti a molteplici test per verificarne la conformità ed evidenziare eventuali difetti o problemi. Non bisogna, però, valutare soltanto la sicurezza dei dispositivi, ma anche quella che riguarda il ciclo di vita di sviluppo del software (SDLC – Systems Development Life Cycle), che deve essere progettato tenendo conto degli aspetti che riguardano la cybersecurity. Ciò aiuta a ridurre al minimo l’esposizione del cliente finale alle vulnerabilità e, se queste si verificano, è necessario stabilire un chiaro processo di identificazione, comunicazione e correzione dei punti deboli dei componenti.

Elevata protezione e sicurezza in ogni fase

Man mano che emergono nuove minacce alla sicurezza informatica, vale la pena investire tempo per valutare e comprendere in quali fasi del processo di produzione potrebbero esserci delle vulnerabilità. L’introduzione di una maggiore trasparenza all’interno della supply chain aiuterà a ridurre i timori, a creare fiducia e anche a instaurare un dialogo tra le organizzazioni e l’intera rete di fornitori. Questo aspetto, inoltre, assicurerà che i processi siano affidabili e replicabili, garantendo a tutte le parti uniformità e lo stesso standard di sicurezza informatica. Un regolare processo di valutazione e audit darà i suoi frutti, mantenendo alta la qualità dei prodotti ed evitando che i dati sensibili finiscano in mani sbagliate.

Scopri di più sull’approccio di Axis alla sicurezza informatica

Cybersecurity