La trasformazione digitale è uno dei temi più discussi e sentiti di questo momento storico, una rivoluzione che sta cambiando e ha già cambiato la nostra vita quotidiana connettendo le persone in reti online. Se da un lato il progresso tecnologico presenta numerosi aspetti positivi, dall’altro fa emergere il problema della sicurezza informatica e la necessità di prendere seriamente il tema della cybersecurity e, in questo contesto, anche la sua commistione con il mondo della supply chain. In questo primo speciale del 2023 cercheremo di fare chiarezza sulla rilevanza dell’argomento per la funzione procurement, andando a indagare quali sono i settori più sensibili alle minacce, chi e perché ha interesse nel colpire le infrastrutture e quali sono le nuove tecnologie e best practice per prevenire – e limitare – i rischi.
La correlazione tra cybersecurity e supply chain
La supply chain può essere interpretata come un’interconnessione multipla di reti, regolate da accordi volti al trasferimento di valore, i cui nodi esprimono da un lato i fabbisogni e dall’altro il loro soddisfacimento. Quando si parla di sicurezza informatica, questa interconnessione include hardware e software, cloud o meccanismi di archiviazione e distribuzione locali. Tutta una serie di parametri che hanno impatto indiretto sui processi di supporto dell’organizzazione e sui processi primari di produzione e distribuzione/erogazione e gli asset tecnologici ad essi legati, coinvolgendo anche le risorse umane.
Sul triangolo persone-processi-tecnologie si va ad innestare quella che viene chiamata Cybersecurity, ovvero la preservazione della riservatezza, dell’integrità e della disponibilità delle informazioni nel cyberspace – a sua volta definibile come un ambiente di interazione di persone, software e servizi su internet, per mezzo di dispositivi tecnologici e reti. Il cyberspace della supply chain è composto dal data center (in house e/o in cloud) grazie al quale sono erogati i sistemi di ERP (Enterprise Resource Planning) e di office automation, dai dispositivi utente (terminali fissi e mobili), da eventuali dispositivi della classe Internet of Things e Operations Technology e da tutti gli altri cyberspace interconnessi con quello dell’organizzazione stessa (come ambienti di smart working e altre aziende ed enti). Ognuna di queste componenti può rappresentare il target o il veicolo intermedio di un attacco cyber alla supply chain, che necessita sempre più di una visione dell’intera catena di fornitura, secondo un approccio end-to-end.
L’aumento dei crimini informatici
Secondo le stime del Cybersecurity Outlook di Statista, il costo globale del crimine informatico dovrebbe aumentare nei prossimi cinque anni, passando da 8,44 trilioni di dollari nel 2022 a 23,84 trilioni di dollari entro il 2027 (Figura 1). Il crimine informatico è definito dal Cyber Crime Magazine come “danno e distruzione di dati, denaro rubato, perdita di produttività, furto di proprietà intellettuale, furto di dati personali e finanziari, appropriazione indebita, frode, interruzione post-attacco al normale corso degli affari, indagini forensi, ripristino e cancellazione di dati e sistemi compromessi e danni alla reputazione”.
Figura 1. Stime del costo per crimini informatici per anno con previsioni al 2027. Dati a novembre 2022. Fonte: Statista Technology Market Outlook, National Cybersecurity Organizations, FBI, IMF.
Secondo il Sole 24Ore al 27 dicembre 2022, gli attacchi rilevati in Italia sono stati pari a 12.947: più del doppio dei 5.334 dell’anno prima. Le persone indagate ammontano a 334 rispetto alle 187 del 2021. Gli alert diramati nel 2022 sono stati 113.226: più di 300 al giorno.
Quali sono i rischi di esposizione alle minacce
Se la supply chain della cybersecurity è sempre più solida e ben rodata nell’ultimo periodo, lo stesso non si può dire della cybersecurity della supply chain, oggetto di questo speciale. Secondo Gartner, il 56% dei clienti (B2B e B2C) sta esprimendo “frequente interesse e preoccupazione” per la sicurezza informatica delle organizzazioni con cui fanno affari. Le organizzazioni di tutto il mondo stanno valutando il rischio all’interno della loro supply chain di terze parti – dagli studi legali ai produttori ai fornitori di hardware e software – e valutando le misure per ridurre o porre rimedio al rischio.
Analogamente agli attacchi Advanced Persistence Threat (APT), gli attacchi alla supply chain sono solitamente mirati, piuttosto complessi e costosi. Poiché il bersaglio finale dell’attacco è spesso raggiunto attraverso altri intermediari – fornitori o clienti – gli attacchi alla supply chain possono richiedere mesi per avere successo e inizialmente passare inosservati. Un’organizzazione potrebbe essere vulnerabile a un attacco alla supply chain anche quando le sue difese sono abbastanza buone, sempre a causa dell’interconnessione degli elementi che la compongono in una “catena”.
Al fine di compromettere i clienti mirati, gli aggressori si sono concentrati sul codice dei fornitori in circa il 66% degli incidenti segnalati, secondo l’Agenzia dell’Unione europea per la sicurezza informatica. Ciò dimostra che le organizzazioni dovrebbero concentrare i loro sforzi sulla convalida di codice e software di terze parti prima di utilizzarli per garantire che non siano stati manomessi o manipolati. Per circa il 58% degli incidenti della supply chain analizzati, le risorse dei clienti prese di mira erano prevalentemente dati, come informazioni personali identificabili e proprietà intellettuale. Per il 66% degli attacchi alla supply chain analizzati, i fornitori non sapevano o non hanno riferito su come sono stati compromessi. Inoltre, meno del 9% dei clienti compromessi attraverso attacchi alla supply chain non sapeva come si sono verificati gli attacchi. Il che sottolinea il divario in termini di maturità nella segnalazione degli incidenti di sicurezza informatica tra fornitori e utenti finali.
La fragilità delle Pmi italiane
Il mercato italiano della sicurezza informatica ammontava a 1,55 miliardi di euro nel 2021, con un +13% rispetto al 2020. Mentre il 60% delle grandi imprese ha aumentato il suo budget in questa voce nel 2021, a conferma di un trend di crescita del settore.
Tuttavia, secondo l’International Trade Organization oltre il 50% delle piccole e medie imprese (Pmi) italiane non è preparato ad affrontare minacce crescenti. Un’azienda su cinque non ha un piano di investimento specifico per la sicurezza IT o alloca risorse solo in base ad esigenze specifiche. I manager delle piccole imprese percepiscono la sicurezza come un costo piuttosto che un investimento e tendono a mostrare resistenza nell’approvare le spese per la sicurezza IT. Poiché questa mentalità cambia lentamente, gli analisti di settore prevedono un aumento degli investimenti delle Pmi. Le medie imprese e (in misura minore) le piccole imprese scelgono sempre più spesso di investire nella sicurezza informatica, spesso optando per soluzioni avanzate di sicurezza cloud.
Le difese informatiche vanno contestualizzate con le dimensioni dell’impresa, la tipologia produttiva, le risorse umane, la formazione. Nel prossimo episodio di questo speciale parleremo di quali sono i settori più vulnerabili rispetto a questo tipo di minacce e perché.
- Parte 2 – I settori più vulnerabili alle minacce
- Parte 3 – I principali attacchi alla supply chain
- Parte 4 – Prevenire gli attacchi
Fonti:
Boom del mercato cybersecurity in Italia: 1,55 mld €, +13%, Osservatori.net, 2021.
Cyber Security in Supply Chain. Is it that important?, Alcott Global, July 21, 2017.
Fortifying Supply Chain Cybersecurity, Gartner, August 16, 2018.
How security leaders can stay ahead of growing supply chain risk, Accenture, September 7, 2022.
Italy – Country Commercial Guide, International Trade Administration, November 26, 2022.
M. Ludovico, Cybersecurity, 2022 annus horribilis: 13mila attacchi, +138%, Il Sole 24Ore, 3 gennaio 2023.
Understanding the increase in Supply Chain Security Attacks, European Union Agency for Cybersecurity, July 29, 2021.
Worldwide supply chains vulnerable as businesses lack visibility into suppliers, Help Net Security, October 13, 2021.