La trasformazione digitale è uno dei temi più discussi e sentiti di questo momento storico, una rivoluzione che sta cambiando e ha già cambiato la nostra vita quotidiana connettendo le persone in reti online. Se da un lato il progresso tecnologico presenta numerosi aspetti positivi, dall’altro fa emergere il problema della sicurezza informatica e la necessità di prendere seriamente il tema della cybersecurity e, in questo contesto, anche la sua commistione con il mondo della supply chain. In questo primo speciale del 2023 cercheremo di fare chiarezza sulla rilevanza dell’argomento per la funzione procurement, andando a indagare quali sono i settori più sensibili alle minacce, chi e perché ha interesse nel colpire le infrastrutture e quali sono le nuove tecnologie e best practice per prevenire – e limitare – i rischi.

I settori più vulnerabili 

Come ha affermato Enrico Maresca, Chief Information Security Officer di Italo, in un’intervista nell’ultimo numero del nostro magazine, “le tipologie di minacce sono diverse da settore a settore. Quella che può essere una minaccia per un’azienda può non destare preoccupazioni per un’altra. Le attività fondamentali in ambito di sicurezza variano quindi a seconda del business, ma prima di prendere qualsiasi decisione è fondamentale stilare una lista delle priorità, condurre un’analisi approfondita dei rischi che si corrono e di conseguenza definire una linea strategica di azione”.

Secondo una ricerca di IBM il settore manifatturiero è diventato il più attaccato nel 2021 (23%), superando i settori dei servizi finanziari e assicurativi che sono stati al vertice per diversi anni. Sulla base della classificazione stilata dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, i settori di infrastrutture critiche presenti nello studio hanno incluso servizi finanziari, industria, tecnologia, settore energetico, trasporti, comunicazioni, assistenza sanitaria, istruzione e settore pubblico. Secondo la definizione del ministero dell’interno italiano le infrastrutture critiche sono considerate come “le risorse materiali, i servizi, i sistemi di tecnologia dell’informazione, le reti e i beni infrastrutturali che, se danneggiati o distrutti, causerebbero gravi ripercussioni alle funzioni cruciali della società, tra cui la catena di approvvigionamenti, la salute, la sicurezza e il benessere economico o sociale dello Stato e della popolazione”. 

 

Figura 1. Costo medio di una violazione dei dati per infrastrutture critiche rispetto ad altri settori. Fonte: Cost of Data Breach Report, IBM 2022.

Il costo medio di una violazione di dati per infrastrutture critiche è più alto rispetto ad altri settori ma gli approcci alla sicurezza di tipo Zero Trust (autenticazione e convalida di accesso alla rete per tutti i dipendenti di un’azienda) sono molto meno diffusi rispetto alla media mondiale. Questa assenza di strategie Zero Trust ha comportato costi di violazione dei dati più alti della media. 

Infrastrutture critiche

Vista l’eterogeneità delle classifiche sulle infrastrutture critiche a seconda degli studi presi in esame, verranno qui analizzate quelle più ricorrenti: servizi finanziari, settore tecnologico (ICT), settore energetico e servizi pubblici, settore manifatturiero, settore sanitario, difesa e governo:

  • Servizi finanziari: i problemi di sicurezza informatica nei servizi finanziari possono includere violazioni dei dati, furto di informazioni finanziarie e attacchi ai sistemi bancari online. Le istituzioni finanziarie sono un obiettivo comune per i criminali informatici a causa delle grandi quantità di informazioni sensibili che gestiscono. I rischi della catena di approvvigionamento in questo caso sono legati all’uso di sistemi finanziari non sicuri e all’incapacità di proteggere adeguatamente i dati lungo tutta la supply chain. Anche il settore legale è particolarmente vulnerabile ed è colpito per motivazioni simili detenendo grandi quantità di dati sensibili, soprattutto se riguardano il diritto societario o immobiliare.
  • Settore tecnologico: nel settore tecnologico, i problemi possono includere il furto di proprietà intellettuale e di segreti commerciali ma anche l’interruzione di infrastrutture critiche. Le aziende IT possono archiviare grandi quantità di dati sensibili dei clienti, mentre i fornitori di servizi di cloud storage e computing, gli sviluppatori di software di sicurezza o i fornitori di soluzioni di condivisione dei file, sono spesso gli obiettivi dei tentativi di compromissione della supply chain.  Gli attacchi diretti cercano di accedere alle operazioni e ai dati di rete dell’organizzazione, mentre gli attacchi indiretti prendono di mira gli abbonati nel settore delle telecomunicazioni. I fornitori di Pmi possono essere un gateway nella rete: una volta dentro, i criminali informatici possono facilmente accedere ai dati e intercettare le chiamate, nonché controllare e impersonare gli abbonati.
  • Settore energetico e servizi pubblici: gli attacchi a sistemi come il controllo del traffico aereo e le reti logistiche possono rappresentare una minaccia importante. Nelle comunicazioni, le minacce possono includere l’interruzione delle reti di comunicazione e il furto di informazioni riservate. Nel settore sanitario, i problemi possono includere il furto di informazioni sanitarie personali e gli attacchi ai dispositivi medici. Nel settore dell’istruzione, le minacce possono includere il furto di informazioni personali e attacchi ai sistemi di apprendimento online. Nel settore pubblico, le minacce possono includere attacchi alle reti governative e il furto di informazioni sensibili. i criminali informatici possono prendere di mira la catena di approvvigionamento nel settore dell’energia e dei servizi pubblici per accedere a informazioni sensibili, interrompere le operazioni e causare danni fisici. Nel settore energetico, le minacce possono includere attacchi ai sistemi di rete elettrica, agli oleodotti e ai gasdotti, capaci di causare perdite e interrompere gli approvvigionamenti.
  • Settore sanitario: gli operatori sanitari, specie del settore pubblico, sono particolarmente suscettibili agli attacchi alla catena di approvvigionamento che sfruttano la fiducia, prendendo di mira i dati personali archiviati ed elaborati. Gli ospedali memorizzano una grande quantità di dati riservati dei pazienti che gli hacker possono vendere facilmente, rendendo qualsiasi fornitore del settore un bersaglio. Il settore sanitario è un obiettivo primario per i criminali informatici anche a causa del valore dei dati medici sul mercato nero. I rischi possono derivare anche dall’uso di dispositivi medici non sicuri.
  • Settore manifatturiero: il settore manifatturiero, che comprende aziende automobilistiche, elettroniche e farmaceutiche, è un altro settore altamente vulnerabile quando si tratta di criminalità informatica e violazioni della sicurezza. Questo perché la proprietà intellettuale è preziosa e spesso le aziende manifatturiere si affidano a pacchetti software altamente specifici che sono difficili da correggere, il che li rende vulnerabili agli attacchi. Inoltre, gli hacker possono interrompere la produzione prendendo di mira i sistemi che controllano i processi.
  • Difesa e governo: i criminali informatici possono prendere di mira la catena di approvvigionamento nella difesa e nel governo per ottenere l’accesso a informazioni sensibili come i segreti di sicurezza nazionale o per interrompere le infrastrutture critiche governative e nazionali.

 

Gli attacchi in Italia

Secondo il rapporto dell’Associazione italiana per la sicurezza informatica (Clusit), rispetto al primo semestre 2021, nel 2022 la crescita maggiore nel numero di attacchi gravi in Italia si osserva verso le categorie “Multiple targets”, “telecommunications”, financial / Insurance”, “News / Multimedia”, “Manufacturing”, e “ICT” (+11,5%), seguite da “Energy / Utilities” e “Healthcare”. La categoria “Multiple targets” riguarda attacchi gravi compiuti in parallelo contro organizzazioni appartenenti a categorie differenti. La variazione in percentuale tra il 2018 e il primo quarto del 2022 è stata più sensibile negli obiettivi multipli, nella sanità, governo e difesa, ICT e settore finanziario/assicurativo.

Figura 2. Variazioni percentuali dal 2018 al 2022 dei settori più colpiti. Fonte: rapporto sulla Sicurezza Informatica Clusit, 2022.

Secondo Gartner entro il 2025 il 45% delle organizzazioni di tutto il mondo subirà attacchi alla propria catena di fornitura del software. Un aumento del 300% rispetto al 2021. Nel 93% dei casi, un utente malintenzionato esterno può violare il perimetro di rete di un’organizzazione e ottenere l’accesso alle risorse di rete locali. Questo è uno dei risultati di un nuovo studio di Positive Technologies, condotto tra organizzazioni finanziarie, organizzazioni di carburante ed energia, enti governativi, imprese industriali, aziende IT e altri settori.


PARTE 1 – I legami tra Cybersecurity e supply chain

PARTE 3 – I principali attacchi alla supply chain

PARTE 4 – Prevenire gli attacchi

Fonti:

IBM, Cost of a Data Breach Report, 2022.

Clusit, Rapporto sulla Sicurezza Informatica, ottobre 2022.

Ministero dell’Interno, Approfondimento: infrastrutture critiche, archivio storico.

Manifatturiero nel mirino dei cyber attacchi, a rischio la Supply Chain, Digital4Biz, 2022.

Positive Technology, Cybersecurity threatscape: Q3 2022, December 23, 2022