La crescente interconnessione delle aziende attraverso la supply chain digitale sta esponendo il mondo a rischi sempre più complessi. Bitsight, leader globale nell’intelligence sulla sicurezza informatica, ha pubblicato il rapporto “Under the Surface: Uncovering Cyber Risk in the Global Supply Chain”, realizzato dal suo team di ricerca TRACE Security. Lo studio, basato sull’analisi di 500.000 organizzazioni, 40.000 prodotti e 12.000 fornitori, ha mappato oltre 61 milioni di relazioni digitali nella supply chain, evidenziando come anche una singola vulnerabilità possa avere effetti a cascata su scala globale.
La dipendenza della supply chain statunitense dalle aziende cinesi legate all’esercito
Nonostante le crescenti preoccupazioni per la sicurezza nazionale e le restrizioni governative, le aziende cinesi con legami militari continuano a essere profondamente integrate nella supply chain digitale degli Stati Uniti. Secondo il Dipartimento della Difesa degli Stati Uniti, molte di queste aziende sono state formalmente designate come “Chinese Military Companies”, ma forniscono comunque infrastrutture digitali essenziali. Questo fenomeno solleva allarmi su possibili minacce alla cybersicurezza, spionaggio e rischi sistemici.
Secondo i dati di Bitsight:
- Un terzo della supply chain statunitense utilizza software o servizi di aziende cinesi con legami militari ufficialmente riconosciuti.
- Due terzi delle aziende dipendono da fornitori con almeno connessioni sospette con enti statali cinesi.
- ByteDance, proprietaria di TikTok, è connessa al 35,4% del mercato USA, dimostrando come persino aziende sotto forte scrutinio rimangano ampiamente utilizzate.
Questa dipendenza evidenzia la difficoltà di proteggere la supply chain digitale dall’influenza di governi stranieri, nonostante gli sforzi normativi in corso. Il rischio principale non è solo quello della perdita di dati, ma anche della compromissione delle infrastrutture critiche.
Le conseguenze per l’Europa: rischi e strategie di difesa
L’Europa, pur avendo normative più stringenti rispetto agli Stati Uniti, non è immune ai rischi della supply chain digitale. Secondo l’Agenzia dell’Unione Europea per la Cybersecurity (ENISA), molte infrastrutture critiche europee dipendono da fornitori globali, tra cui aziende cinesi come Huawei, ZTE e ByteDance. Questo solleva preoccupazioni per la sicurezza dei dati e il potenziale spionaggio.
- Dipendenza da tecnologie extra-UE – Settori strategici come energia, trasporti e finanza utilizzano componenti software e hardware sviluppati fuori dall’Europa, aumentando il rischio di cyberattacchi.
- Regolamentazione più severa – Con l’entrata in vigore della Direttiva NIS2, le aziende europee critiche saranno obbligate a rafforzare la loro sicurezza informatica e monitorare più attentamente i fornitori.
- Aumento degli attacchi ransomware – Nel 2023, un attacco ransomware ha colpito l’ospedale di Düsseldorf, bloccando operazioni mediche e causando il primo caso documentato di morte indiretta legata a un attacco informatico.
Alcuni paesi europei, come Francia e Germania, stanno cercando di ridurre la dipendenza da fornitori extra-UE, promuovendo soluzioni cloud europee come OVHcloud e Deutsche Telekom. Tuttavia, la transizione sarà lunga e complessa.
Le “colonne nascoste” della supply chain globale
Mentre le grandi aziende tecnologiche dominano le discussioni sulla sicurezza della supply chain, lo studio di Bitsight mette in luce un aspetto meno noto: il ruolo di fornitori specializzati, spesso di piccole dimensioni, che supportano interi settori industriali.
- Piccoli fornitori, grande impatto – Alcune aziende di software servono solo un numero limitato di clienti, ma forniscono tecnologie essenziali per settori strategici come energia, finanza e logistica.
- Team ristretti, influenza enorme – Molte aziende con meno di 50 dipendenti sviluppano software utilizzati da colossi come le Fortune 500, aumentando il rischio di vulnerabilità informatiche.
- Concentrazione del rischio – Settori come aerospaziale, servizi finanziari e utilities dipendono fortemente da pochi fornitori altamente specializzati. Un singolo attacco a uno di questi provider potrebbe generare effetti a catena.
Un caso emblematico di vulnerabilità della supply chain digitale è stato l’attacco a SolarWinds nel 2020, che ha compromesso migliaia di aziende e agenzie governative attraverso un aggiornamento software infetto. La lezione appresa è che la sicurezza della supply chain non può essere trascurata.
I fornitori tecnologici affrontano sfide maggiori
Le aziende che forniscono prodotti e servizi digitali, ovvero i provider, sono spesso più esposte ai rischi informatici rispetto ai loro clienti. La loro infrastruttura più ampia e complessa, combinata con una maggiore superficie d’attacco, le rende obiettivi prioritari per i cybercriminali.
I dati di Bitsight rivelano che:
- I provider utilizzano in media 2,5 volte più prodotti rispetto ai consumatori e hanno 10 volte più asset connessi a Internet, aumentando così la loro esposizione alle minacce.
- La complessità della loro supply chain è maggiore, con più fornitori di secondo livello che amplificano il rischio.
- Pur avendo migliori controlli di sicurezza in alcune aree (DMARC, SPF, DKIM, DNSSEC), i provider presentano vulnerabilità in altre, come la gestione delle patch, l’uso di porte aperte e la presenza di sistemi insicuri.
Secondo il “Global Risks Report 2024” del World Economic Forum, la sicurezza informatica è oggi tra i principali rischi globali, con gli attacchi alla supply chain in crescita esponenziale. La cooperazione tra aziende e governi diventa essenziale per mitigare il problema.
Proteggere la supply chain digitale è una priorità globale
“Negli ultimi anni, abbiamo assistito a diversi incidenti di sicurezza che dimostrano quanto le vulnerabilità della supply chain possano avere impatti globali,” ha dichiarato Ben Edwards, Principal Research Scientist di Bitsight. Anche le aziende più attente alla cybersecurity non sono immuni ai rischi della supply chain. La chiave per proteggersi sta nel monitoraggio costante dei fornitori, nella diversificazione delle fonti e in un rafforzamento delle politiche di sicurezza.
