Cyber security e supply chain: un problema aperto - Cyber Security 360

LA RICERCA

Cyber security e supply chain: un problema aperto

La supply chain è sempre più uno degli obiettivi degli attacchi informatici: affrontiamo il problema coi numeri e alcune considerazioni legali

05 Gen 2022
C
Anna Cataleta

Avvocato, Senior Partner P4I – Partners4Innovation

F
Gabriele Faggioli

Giurista - responsabile scientifico Osservatorio Cybersecurity & Data Protection Politecnico di Milano

Nel corso del 2020, il 24% di grandi imprese intervistate nell’ambito della ricerca dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano hanno dichiarato di aver subito un incidente di sicurezza informatica imputabile a un fornitore.

Vedremo i dati inerenti il 2021, che verranno presentati a inizio di febbraio, ma è evidente che il dato è molto preoccupante perché l’uso massiccio dei fornitori soprattutto in ambito informatico, e ad oggi soprattutto in relazione a servizi di cloud computing, è la regola in tutte le organizzazioni pubbliche e private e sia nelle grandi imprese che nelle PMI.

Ma cosa fanno le aziende e le pubbliche amministrazioni per limitare il rischio legato alla supply chain?

Secondo la ricerca dell’Osservatorio, sopra richiamata, le azioni più rilevanti che sono state poste in essere nel corso del 2020 sono state:

  • Monitoraggio della postura cyber delle terze parti (fondamentale per capire il livello di sicurezza garantito e da contrattualizzare)
  • Mappatura delle relazioni con i fornitori in tutta la catena di approvvigionamento (attività di grande rilevanza per esser certi di avere tutta la filiera in controllo)
  • Verifica del comportamento degli utenti lungo la supply chain e valutazione dei rischi informatici (la corretta valutazione dei rischi è uno dei temi più complessi da affrontare)
  • Utilizzo di strumenti di autenticazione multi fattore e di connessioni sicure.

Si tratta di una serie di azioni di grande rilevanza perché permettono di tenere sotto controllo la filiera con conseguente innalzamento del livello di sicurezza generale del cliente e al tempo stesso con maggiore responsabilizzazione dei fornitori.

Un tema prospetticamente di grande rilevanza è l’attuale impostazione normativa in rapporto alla valutazione del livello di sicurezza e compliance di ciascun fornitore.

E infatti, si deve riflettere sul fatto che oggi viene chiesto a tutte le aziende e a tutte le pubbliche amministrazioni di valutare il livello di sicurezza dei fornitori che, soprattutto nei servizi di cloud computing applicativo, offrono servizi standardizzati in larga parte non personalizzabili che quindi, di fatto, garantiscono il medesimo livello di sicurezza a tutti i clienti con la conseguenza che le valutazioni dei clienti, pubblici o privati che siano, si sostanziano nella medesima attività svolta (se tutti rispettano la normativa) migliaia e migliaia di volte.

L’evoluzione dei servizi di cloud computing

Le tecnologie di cloud computing rivestono un ruolo essenziale nel percorso di trasformazione digitale del Paese, rappresentando un imprescindibile strumento di semplificazione e di ottimizzazione delle risorse per soggetti pubblici e privati.

WHITEPAPER
Quali sono le minacce digitali che mettono in pericolo le vendite al dettaglio?
Retail
Sicurezza

Il ricorso a infrastrutture cloud – per loro natura scalabili ed espandibili – è destinato a divenire sempre più frequente, anche in considerazione del fisiologico incremento del volume di dati personali trattati in conseguenza del progressivo avanzamento del percorso di transizione digitale.

In questo contesto è di fondamentale importanza per le imprese orientarsi nel mercato del cloud, identificando i criteri più adeguati per selezionare fornitori che offrano adeguate garanzie – anche in considerazione della natura dei dati personali oggetto di trattamento e del volume di soggetti interessati – in modo da adempiere all’obbligo di accountability che il GDPR pone a carico dei titolari del trattamento.

L’Osservatorio Cybersecurity e Data Protection del Politecnico di Milano ha presentato lo scorso 15 settembre i risultati di una ricerca relativa alle valutazioni del livello di compliance e sicurezza dei Cloud Provider effettuate dalle imprese che si avvalgono di tali servizi.

I risultati sono interessanti e sorprendenti e devono fare riflettere in merito all’attuale panorama normativo.

Entriamo nel merito della ricerca.

Cloud e imprese: i risultati della ricerca

Dalla ricerca dell’Osservatorio Cybersecurity e Data Protection emerge con chiarezza come, nel corso dell’ultimo biennio, le aziende abbiano avuto la necessità di incrementare l’utilizzo di infrastrutture cloud con conseguente aumento dei contratti stipulati con i fornitori di tali servizi. Infatti – su un panel di 90 imprese – più della metà dei soggetti intervistati ha risposto di aver stipulato nel corso degli ultimi due anni da 1 a 5 contratti cloud e il 7% del campione di aver sottoscritto più di 10 contratti cloud nello stesso arco temporale.

Questi dati dimostrano come – anche a seguito del protrarsi della crisi sanitaria che ha determinato un’accelerazione del processo di digitalizzazione e il ricorso al lavoro agile – le infrastrutture cloud abbiano assunto un ruolo sempre più centrale nella gestione e nell’operatività delle attività aziendali.

Ebbene, dai dati raccolti risulta che le valutazioni della compliance e della sicurezza dei fornitori e dei subfornitori non viene effettuata da tutte le aziende ma invece, per quanto riguarda la compliance:

  • l’80% delle imprese intervistate analizza in sede precontrattuale tutti i fornitori mentre il 17% analizza i fornitori solo talvolta
  • con riferimento ai subfornitori solo il 49% delle imprese intervistate analizza tutti i fornitori mentre il 46% li analizza solo talvolta.

Con riferimento invece alla valutazione del livello di sicurezza in sede precontrattuale i dati sono peggiori ed infatti:

  • solo il 60% degli intervistati ha dichiarato di analizzare i fornitori sempre mentre il 32% ha dichiarato di analizzarli solo talvolta.
  • con riferimento invece ai subfornitori solo il 34% ha dichiarato di analizzarli sempre a fronte di un 57% che ha dichiarato di analizzarli solo talvolta.

La maggior parte delle imprese partecipanti al sondaggio ha indicato di impegnarsi nella valutazione della compliance delle infrastrutture di Public Cloud e che tale analisi viene effettuata – per il 48% del campione – sulla base di documentazione (e checklist) predisposta ad hoc e inviata ai provider e – per il 52% – sulla base delle informazioni rese disponibili dal fornitore (per il 52%).

Un altro aspetto di rilievo attiene al fatto che più della metà dei partecipanti al sondaggio ha affermato di non aver mai svolto audit nei confronti di fornitori di servizi cloud e solo il 33 % ha indicato di aver effettuato nello scorso biennio verifiche in corso di contratto su tali fornitori in relazione ad aspetti sia di compliance alla normativa data protection che di sicurezza informatica.

Si rileva, dunque, come la maggior parte delle aziende riconosca la necessità di effettuare valutazioni sulla compliance dei fornitori (impiegandovi un numero di giornate uomo variabile da un minimo di 1 giornata fino anche a superare le 8 giornate) ma che più della metà delle imprese intervistate dichiari di non aver svolto audit nei confronti di cloud provider negli ultimi due anni.

Questo mancato svolgimento di attività di controllo nei confronti dei fornitori di servizi cloud potrebbe essere dovuto anche all’evidente squilibrio di potere esistente tra le parti che renderebbe eccessivamente oneroso per le aziende compiere attività di verifica della compliance delle big tech che operano come oligopolisti del mercato del cloud. Per le imprese (e soprattutto per le PMI) risulta infatti essere difficile – se non impossibile – interfacciarsi con le big tech e negoziare termini di servizio diversi da quelle previsti dai contratti per adesione.

Resta comunque il dato di fatto che solo una parte delle imprese italiane svolge le attività di verifica del livello di sicurezza dei fornitori che invece andrebbero effettuate sempre.

I costi delle analisi

Ma quanto costa ai clienti dei servizi di cloud computing effettuare le analisi in sede precontrattuale e contrattuale?

Ebbene dai dati raccolti risulta che l’11% delle imprese intervistate impiega più di otto giorni uomo per analizzare il livello di compliance dei fornitori in sede precontrattuale ma la media si attesta intorno a quattro giorni/uomo.

I dati non cambiano di molto se si analizza l’effort necessario per analizzare il livello di sicurezza dei fornitori.

Anche con riferimento alla sicurezza, infatti, il numero di giorni/uomo necessari per analizzare ciascun fornitore si attesta intorno a quattro.

Ebbene, se consideriamo che le imprese sopra i 250 addetti sono circa 3.800 in Italia, e che secondo i dati degli Osservatori del Politecnico di Milano circa 3.300 hanno stipulato almeno un contratto di cloud computing nell’ultimo anno, ne deriva che in Italia ogni anno le suddette imprese utilizzano circa 34.000 giornate/uomo. Pari a 154 FTE per analizzare, molto spesso, gli stessi fornitori per gli stessi servizi ma. Se fossero state tutte adempienti, avrebbero speso 43.000 giorni/uomo di lavoro pari a 195 FTE.

Se tutte le 3.300 imprese di cui sopra avessero stipulato lo stesso contratto di cloud pubblico, avrebbero dovuto investire 20.000 giorni /uomo di lavoro pari a 90 FTE: 90 anni/uomo per analizzare tutti lo stesso contratto per lo stesso servizio. E stiamo parlando solo delle 3.300 imprese più grandi.

Poi ci sono tutte le altre che devono fare le stesse analisi e valutazioni per gli stessi servizi.

Ma occorre chiedersi: ha senso?

Ha senso chiedere a tutte le imprese e pubbliche amministrazioni di valutare gli stessi fornitori per gli stessi servizi, investendo migliaia e migliaia di giorni/uomo per studiare le stesse identiche cose, per sentirsi rispondere sempre allo stesso modo sulla base sempre della stessa documentazione?

Al di là di casi specifici, che ben si possono comprendere, non sarebbe più sensato avere valutazioni uniche da parte di autorità competenti o di portatori di interessi collettivi come le associazioni di categoria, alle quali i clienti possano rifarsi se rientrano in parametri prefissati?

Le certificazioni, in questo senso, potranno aiutare parecchio.

Scenari evolutivi

La selezione e la gestione dei rapporti con i fornitori assumono un ruolo centrale per la dimostrazione dell’accountability del titolare che, sulla base di quanto previsto dall’art. 28 del Regolamento 2016/679, è tenuto a ricorrere unicamente a responsabili del trattamento che garantiscano il rispetto degli accordi e delle istruzioni impartite attraverso la nomina a responsabile e, al contempo, offrano misure di sicurezza tecniche e organizzative adeguate rispetto alla natura ed alla mole dei dati personali oggetto di trattamento.

Non sfuggono a tali dinamiche anche i fornitori di servizi cloud, a cui i titolari del trattamento demandano l’elaborazione e la conservazione di un numero elevatissimo di dati personali. Sarà dunque fondamentale selezionare accuratamente i fornitori cloud cui trasmettere i dati personali trattati.

Nella selezione dei Cloud Provider un prezioso supporto può essere offerto dai codici di condotta di cui all’art. 40 del GDPR. Di recente, infatti, l’European Data Protection Board ha espresso il proprio parere positivo su due codici di condotta: l’EU Cloud Code of Conduct (EU CoC), esaminato dalla DPA del Belgio, e l’European Code of Conduct, presentato dal CISPE (Cloud Infrastructure Service Providers) ed esaminato dalla CNIL.

Prendendo come esempio l’EU Cloud CoC – il quale vanta anche il primato di primo codice di condotta transnazionale – vediamo come si tratti di un codice redatto con il coinvolgimento di alcuni tra i maggiori player del settore nonché con quello diretto della Commissione Europea. Tale codice si pone come principale finalità quella di fornire delle regole di condotta per gli operatori del mercato del cloud e, di conseguenza, supportare i titolari del trattamento nella fase di valutazione dell’adeguatezza dei fornitori di cui intendono avvalersi per i servizi di cloud computing.

L’adesione volontaria dei Cloud Provider all’EU Cloud CoC permetterebbe dunque ai titolari del trattamento di poter far affidamento sul fatto che tali fornitori siano dotati di misure tecniche e organizzative adeguate (v. artt. 28 e 32 GPDR) e che operino nel rispetto dei principi propri del GDPR. Avvalersi di fornitori di servizi cloud aderenti all’EU Cloud CoC offrirebbe dunque ai titolari del trattamento maggiori sicurezze sul piano dell’accountability, posto comunque che ciò non sempre possa considerarsi di per sé sufficiente ed esaustivo.

Conclusione

Negli ultimi decenni l’Italia ha accumulato un drammatico ritardo sia nell’adozione di tecnologie innovative applicate al sistema produttivo delle PMI che nell’erogazione di servizi pubblici da parte della PA.

La ricerca condotta dall’Osservatorio Cybersecurity e Data Protection rileva come, negli ultimi due anni – in concomitanza della crisi pandemica – le imprese si siano trovate nella condizione di dover accelerare il proprio percorso di digitalizzazione e abbiano fatto ampio ricorso ai servizi di cloud computing con tuttavia la necessità di porre in essere rilevantissime attività di studio del livello di compliance e di sicurezza dei fornitori e con conseguente investimento, in tale attività, di decine di migliaia di giorni/uomo di lavoro.

Si ritiene che l’evoluzione normativa debba andare in una logica di semplificazione, in una logica che non richieda ai clienti di dover studiare se un fornitore cloud è sicuro o a norma potendolo invece il mercato, salvo casi particolari, considerarlo scontato perché soggetto a verifica e a controlli di terzi. D’altronde, questa è la storia del mercato, per esempio, dei trasporti, dove nessuna azienda si chiede se il proprio collaboratore salirà su un treno sicuro se deve fare la tratta Milano/Napoli e nessuno si sogna di chiedere agli operatori ferroviari di dimostrare il livello di sicurezza del sistema frenante o di atterraggio.

Prima o poi anche il mercato dei servizi IT esternalizzati, soprattutto quando standardizzati come nel caso del cloud pubblico, dovrà potersi presentare “verificato” e “certificato” per permettere ai clienti di non dover investire risorse e impegno per migliaia di attività identiche.

WHITEPAPER
Dispositivi Apple: perché la distribuzione e gestione è più facile. Scarica la guida
Mobility
Networking
@RIPRODUZIONE RISERVATA

Articolo 1 di 5