sicurezza

Cybersecurity, la supply chain anello debole: come difendersi

Gli attacchi verso organizzazioni ben protette comportano costi e complessità rilevanti. È invece più semplice attaccare la catena di approvvigionamento che offre un numero maggiore di target. È cruciale, dunque, che le aziende aumentino sempre più l’attenzione non solo verso l’interno, ma anche verso l’esterno

Pubblicato il 06 Set 2021

Marco Pinzaglia

IGT Italia

privacy protezione dati

La catena di approvvigionamento (supply chain) offre il fianco ad attacchi informatici sempre più frequenti, che vanno a impattare sulla sicurezza delle aziende clienti.

Le modalità utilizzate per attaccare la supply chain sono diverse e spesso purtroppo non note.

Il documento prodotto da Enisa “Threat Landscape For supply chain Attacks1” (luglio 2021) illustra con chiarezza una serie di metodologie e casi di attacco avvenuti tra gennaio 2020 e inizio luglio 2021 e propone delle conclusioni interessanti che possono portare ad accendere un interesse concreto rispetto allo sviluppo di modelli di sicurezza integrati “fornitori-clienti”.

La ricetta per la trasformazione digitale delle imprese manifatturiere: sei casi di studio

Le tecnologie emergenti nel settore della supply chain

La supply chain in generale ha visto grandi sforzi e sviluppo di tecnologie per ottimizzarla rispetto a tematiche di “Cost Efficency”, questo a scapito in alcuni casi anche degli aspetti di resilienza, sostenibilità, sicurezza.

Le tecnologie emergenti nel settore della supply chain hanno inoltre offerto moltissime opportunità di miglioramento dei processi e, al tempo stesso, ulteriori elementi di rischio e di complessità. Ad esempio, l’impiego delle tecnologie Internet of Things (IoT) nei settori della Logistica, dello stock management/Magazzino, gestione della flotta veicoli, blockchain impiegata nel tracking dei prodotti per assicurare la qualità e autenticità al cliente, piattaforme cloud per la gestione, centralizzazione, ottimizzazione della domanda in ambito logistica. Soluzioni di Robotica nei processi di movimentazione della merce nei magazzini.  Intelligenza artificiale e machine learning a supporto di processi di demand forecasting, price prediction, ottimizzazione flussi. Soluzioni di supporto ai tool tradizionali (ERP) di procurement in grado di migliorare ed efficientare i processi di approvvigionamento. I prossimi anni saranno ancora contraddistinti da una forte digitalizzazione e automazione dei processi di supply chain.

Rischi per la supply chain: i principali modelli di attacco

Il documento prodotto da Enisa “Threat Landscape For supply chain Attacks” riporta nella sua analisi una carrellata di 24 incidenti che hanno interessato la supply chain nel periodo tra gennaio 2020 ed inizio luglio 2021.

Numericamente la casistica dimostra facilmente come nel 2020, in un intero anno di osservazione sono stati presi in esame 8 casi di incidenti di cui sono emerse informazioni. Nel 2021, in soli 6 mesi, sono stati segnalati 16 incidenti.

ANNO 20202

  1. Unimax – Gennaio 2020
  2. NetBeans – Maggio 2020
  3. Able Desktop – Giugno 2020
  4. Aisino – Giugno 2020
  5. Wizvera – Novembre 2020
  6. Vietnam VGCA – Dicembre 2020
  7. SolarWinds – Dicembre 2020
  8. Accellion – Dicembre 2020

ANNO 20212

  1. Microsoft Windows HCP – Gennaio 2021
  2. Stock Investment Mess. – Gennaio 2021
  3. BigNox – Febbraio 2021
  4. MonPass – Febbraio 2021
  5. Ukraine SEI EB – Febbraio 2021
  6. Apple Xcode – Marzo 2021
  7. SITA – Marzo 2021
  8. Verkada – Marzo 2021
  9. ClickStudios – Aprile 2021
  10. Codecov – Aprile 2021
  11. Fujitsu ProjectWEB – Maggio 2021
  12. Myanmar Presidential webS. – Giugno 2021
  13. MWHCP – Giugno 2021
  14. Kaseya – Giugno 2021
  15. Ledger – Luglio 2021
  16. Synnex – Luglio 2021

I vettori di attacco

Vediamo tra i vari vettori di attacco l’utilizzo di: malware infection, social engineering (phishing), brute-force attack, exploiting software vulnerability… rispetto al campione esaminato il vettore di attacco (tecniche di attacco) per il 16% sono “exploiting software vulnerabilitie”, per il 66% purtroppo non conosciute (“unknown”).

Indipendentemente dalla tecnica di attacco utilizzata, l’obiettivo si è dimostrato essere l’ottenimento dell’accesso a: A – Customer Data (58%), B – Key People (16%) C – Financial Resources (8%). Tutti questi attacchi rilevano una grande capacità di analisi del contesto e capacità tecnica.

Un’altra tipologia di attacco che ha interessato la supply chain, e in particolare i processi di Procurement e di pagamento, è stata nota con il nome, dato dall’FBI, di Business Email Compromise/Email Account Compromise (BEC/EAC) 3, che definisce questa tipologia di attacco come “una sofisticata tecnica di truffa che prende di mira aziende/individui che eseguono richieste legittime di trasferimento fondi”. Questa tecnica ha anche preso il nome di “CFO Fraud” o “CFO Attack”. In particolare, tra maggio 2018 e il 2019 ha colpito in modo significativo organizzazioni in oltre 177 paesi. Nel 2019 secondo l’Internet Crime Report4 sono state segnalate 23.775 compromissioni per perdite per 1,7 miliardi di dollari. Nel 2020 sempre secondo l’Internet Crime Report5 sono state segnalate 19.369 mail di segnalazione di eventi BEC per una perdita di circa 1,8 miliardi di dollari.

Conclusioni

Gli attaccanti sembrano aver compreso che gli attacchi diretti verso organizzazioni ben protette comportano un costo e una complessità rilevante. Risulta invece essere più semplice attaccare la catena di approvvigionamento che offre un numero maggiore di possibili target dove può risultare più facile trovare un anello debole. In caso di successo in questo modo l’impatto potrebbe essere significativamente più esteso e non solo rivolto al target principale dell’attacco.

Del 66% degli incidenti segnalati rimangono sconosciute le cause. Ciò è anche indice di mancanza di trasparenza e/o di capacità di indagare. Elementi che pongono un rischio importante sulla fiducia delle catene di approvvigionamento. È fondamentale, dunque, che le aziende aumentino sempre più l’attenzione non solo verso l’interno dell’organizzazione, ma anche verso l’esterno, dove le maggiori interdipendenze, i servizi in cloud e i servizi gestiti dalle terze parti rappresentano un perimetro esteso di attacco. Molti standard di sicurezza pongono già da tempo l’attenzione sulle terze parti, in questo contesto l’impegno deve spostarsi sempre più da un modello (passivo) di monitoraggio/scoring/reporting etc. a un modello (attivo) di security e incident response integrato.

Fonti

Table 12: Summary of the supply chain attacks identified, analysed and validated from January 2020 to early July 2021- ENISA Threat Landscape For supply chain Attack– July 2021

– 2019 Internet Crime Report

– 2020 Internet Crime Report

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Social
Video
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati