La minaccia degli “attacchi di filiera” che colpiscono le supply chain oggi non è certamente una novità. Ignorarlo, o fingere che non esista, nuoce gravemente alla tenuta della propria (e altrui) postura di sicurezza.
Scenari di rischio che devono essere valutati puntualmente, come peraltro espressamente previsto dalla NIS 2 che introduce l’obbligo di gestire la sicurezza della catena di approvvigionamento.
Questa estensione deve però essere sostanziale e non rimanere solo su carta, alimentando il fenomeno tristemente noto e fatale della paper security.
Monitorare, analizzare e risolvere le vulnerabilità dell’intera filiera dei fornitori contribuisce a compiere scelte consapevoli ed efficaci a vantaggio di quella resilienza e operatività necessarie per tutte le entità e non solo per i soggetti che rientrano nell’ambito della NIS 2.
L’impatto della supply chain sulla postura di sicurezza dev’essere pertanto valutato correttamente nel tempo, tenendo conto delle variazioni di rischio derivanti, ad esempio, da mutamenti di contesto e minacce emergenti.
Anche perché è evidente che ogni organizzazione può essere destinataria di attacchi per mezzo dei propri fornitori o in quanto fornitore di altri soggetti. Eventi che, beninteso, non sono mutualmente esclusivi. Tutt’altro.
Sicurezza della supply chain: non c’è scusa che tenga
La minaccia è attuale, come dimostra l’attacco di filiera in cui è stata coinvolta Radix.
La fondazione è stata infatti vittima di un attacco ransomware probabilmente in quanto fornitore e questo ha coinvolto i dati personali dei dati degli altri soggetti che risiedevano all’interno dei suoi sistemi consentendo ai cyber criminali di ottenere un cospicuo bottino e una leva estorsiva molto forte.
Gli attacchi di questo tipo non possono in alcun modo essere considerati un evento assolutamente imprevedibile e richiedono anzi una particolare attenzione nel predisporre tutte le misure adeguate ai rischi e rispondenti allo stato dell’arte. Senza la possibilità di alcuna scusa a riguardo, men che meno un budget limitato.
Una corretta postura di sicurezza richiede analisi e non scusanti. Nessuno all’interno della filiera può elevarsi ad eccezione sul punto. Altrimenti, ne segue un inevitabile effetto domino di incertezza e perdita di controllo. Che non può essere attribuibile a malasorte alcuna, bensì alla carenza di responsabilità.
