Cosa sono gli attacchi alla catena di approvvigionamento?
Che la nostra attività principale sia la fornitura di servizi o l’industria, gli attacchi informatici da parte dei nostri fornitori stanno diventando sempre più comuni. Dal 2021 si è registrato un aumento del 300% di questi attacchi informatici e, di fatto, si prevede che entro il 2025 il 45% degli attacchi alle aziende sarà costituito da attacchi informatici ai loro fornitori.
Come vengono effettuati questi attacchi?
Come abbiamo spiegato, i criminali informatici utilizzano metodi diversi per attaccare aziende di ogni settore, dimensione e attività. Una volta ottenute le informazioni, soprattutto quelle relative ai clienti di quell’azienda, cercano di espandere il loro raggio d’azione e di attaccare anche quei clienti. Soprattutto se si tratta di altre aziende o entità che potrebbero essere di loro interesse.
A seconda del servizio o del prodotto fornito dal nostro fornitore, gli attacchi informatici derivanti dalla catena di fornitura possono colpirci nei seguenti modi:
- Se utilizziamo tecnologie o servizi condivisi con il nostro Fornitore: L’attacco in questo caso sarebbe quasi immediato con mezzi informatici e noi saremmo colpiti nello stesso momento del nostro Provider, semplicemente perché i sistemi sono interconnessi. Esempio: un cyber-attacco subito da Microsoft che colpisce la nostra posta elettronica aziendale o un cyber-attacco a un collaboratore esterno che accede alle nostre piattaforme per fornire servizi o assistenza tecnica remota nel caso in cui siamo un’azienda industriale.
- Se attaccano il nostro Provider dal punto di vista operativo: questo può portare a tagli nelle forniture di base essenziali per la nostra attività (elettricità, acqua, gas, elettricità e telecomunicazioni).
- Tramite comunicazioni fraudolente che impersonano l’identità del fornitore di fiducia: queste comunicazioni, come abbiamo spiegato in altre occasioni, possono essere ricevute tramite e-mail, telefonate o brevi messaggi (ad esempio SMS, Whatsapp, TEAMS, Skype, social network o qualsiasi altra piattaforma di chat).
Come possiamo individuarli e affrontarli nella nostra azienda o organizzazione?
Applicare la cultura della fiducia zero:
- A livello di azienda o di entità (pubblica o privata), scegliamo in modo appropriato i nostri fornitori, fornitori e fornitori di servizi, prodotti e tecnologie. È importante che abbiano lo stesso livello di impegno per la sicurezza richiesto internamente alla nostra organizzazione.
- Per quanto riguarda le forniture di base, dobbiamo valutare se è necessario avere più di un fornitore o sistemi alternativi o di back-up (ad esempio, un UPS – generatore di elettricità), soprattutto in quelle attività che non possono essere paralizzate da un taglio delle forniture. Esempio: enti considerati infrastrutture critiche e che forniscono servizi alla popolazione (ospedali, aeroporti, impianti di trattamento delle acque, ecc.) e qualsiasi azienda la cui attività, sia essa industriale o di servizio, non può essere interrotta, in quanto ciò causerebbe gravi perdite economiche e di prodotto o colpirebbe un gran numero di persone.
- A livello tecnico, prevede l’utilizzo di doppi fattori per la connessione degli utenti ai sistemi, l’impostazione di privilegi minimi di gestione per limitare i danni che possono essere arrecati e il monitoraggio dei sistemi informatici per rilevare in tempo eventuali anomalie. A volte queste anomalie possono essere rilevate dagli utenti diretti di questi sistemi. Come accade quando non riusciamo a utilizzare una tecnologia (posta, applicazione, web, ecc.) o nelle aziende con attività industriale per quanto riguarda le anomalie nelle linee di produzione.
- A livello di utente, diffida fin dall’inizio di qualsiasi comunicazione urgente, impegnativa o inusuale e soprattutto di quelle comunicazioni che cercano di modificare le modalità di pagamento delle fatture. Qualora un Fornitore richieda la modifica del numero di conto per i pagamenti futuri, dovremo omettere questa comunicazione, contattare il mittente con altri mezzi (posta, telefono o contatto ufficiale) e richiedere la prova della titolarità della banca.
NOTA IMPORTANTE: Se, nonostante l’osservanza di tutte queste misure, dovessi trovarti di fronte a situazioni non conformi al livello di sicurezza richiesto o a quello stabilito dalle politiche interne, non esitare a informare il tuo manager di linea, il responsabile della sicurezza del CISO e il dipartimento IT, in modo che possano consigliarti in modo appropriato. Inoltre, sebbene queste raccomandazioni siano rivolte a livello aziendale o di entità, dobbiamo essere consapevoli che potremmo anche essere vittime di un attacco informatico ai nostri fornitori a livello individuale o nazionale, e in questo caso dobbiamo denunciare l’incidente alle autorità di polizia.