Il concetto di supply chain 4.0 ha sancito l’ingresso, nelle varie unità logistiche e distributive, dei nuovi prodotti legati all’IoT e all’intelligenza artificiale, così come all’automazione industriale e alle tecnologie smart, integrando su più livelli – con servizi online e piattaforme customizzate –il concetto stesso di catena di distribuzione. Ciò, però, si traduce in un conseguente aumento della superficie aziendale virtuale esposta all’esterno e, come tale, sensibile ad attacchi e ingerenze a opera di una vasta pletora di malintenzionati.
Non solo: l’evidente iper-specializzazione nei servizi indispensabili richiesti proprio dalla supply chain 4.0 rende le aziende sempre più legate alla galassia dei propri fornitori, generando così una nuova vulnerabilità informatica – del tutto inattesa – in termini di outsourcing e digitalizzazione.
Indice degli argomenti
Supply chain 4.0, le nuove minacce cyber
I fronti su cui può svilupparsi una minaccia cibernetica per il mondo dell’approvvigionamento sono essenzialmente due: da un lato, lo scambio dati fra fornitori e clienti aziendali; dall’altro, l’eventualità che proprio la catena logistica sia minacciata da malware, come testimonia il recente caso dell’oleodotto statunitense Colonial Pipeline, la cui produzione giornaliera pari a 2,5 milioni di barili di greggio ha subito una brusca battuta d’arresto (quasi una settimana di operatività) in seguito all’attacco informatico perpetrato dal gruppo hacker DarkSide attraverso l’impiego di un ransomware d’ultima generazione.
Nel primo caso, quello dello scambio informativo fra fornitori e aziende, il rischio è presto evidente: la globalizzazione e il mondo inter-connesso hanno richiesto un considerevole aumento nella rapidità dei tempi di erogazione di servizi e funzioni rilevanti per le performance aziendali.
Infrastrutture server, sistemi di virtualizzazione, ERP as a service, software TMS e WMS in cloud: è questo l’esempio dei cosiddetti “fornitori critici”, partner senza i quali un’azienda avrebbe serie difficoltà a garantire la propria continuità operativa. Poniamo il caso che un’intrusione informatica comprometta i web server del nostro erogatore di servizi WMS (Warehouse management system): controllare in tempo reale i movimenti del magazzino potrebbe divenire assai difficoltoso ed è questo un rischio che un operatore della grande distribuzione organizzata, per esempio, non può certo ignorare. In questa circostanza, andrebbero allora individuate le catene di approvvigionamento delle tecnologie condivise, così da certificare la trasparenza della filiera stessa, dai dispositivi hardware (limitando pertanto la problematica legata a “fornitori di fornitori”, sensibili di accesso al patrimonio informativo aziendale) agli applicativi software.
Diviene allo stesso tempo necessario progettare l’armatura difensiva aziendale nei casi, neanche troppo fortuiti, di interruzioni di fornitura: la resilienza cyber non è certo un oggetto magico capace d’apparire dal cilindro come per incanto, ma richiede un’attenta lettura dei concetti di business continuity e disaster recovery. La cyber security, allora, deve mutare in una più vasta scienza di gestione del rischio: nel 2021, appare inutile quanto anacronistico tenere la dimensione virtuale separata, per concetto ed espressione, dalla gestione d’impresa giacché l’una compenetra l’altra, declinando la prima in una nuova sfumatura del controllo aziendale, elemento chiave per il successo economico dell’azienda.
Supply chain e ransomware
Un altro fronte, solo all’apparenza scollegato dal precedente, è quello legato a una vera e propria incursione malevola all’interno delle piattaforme informatiche aziendali di supply chain: secondo un report sviluppato da Verizon, gli attacchi informatici alle catene di approvvigionamento con minacce dette APT (advanced persistent threat, di cui i malware costituiscono la più celebre espressione) rappresentano circa il 92% degli incidenti di sicurezza informatica fra le piccole e medie imprese nel mondo. Due, fra i casi più emblematici della storia, hanno avuto luogo in questi ultimi sei mesi: parliamo del colpo sferrato contro SolarWinds, provider di servizi IT di rilevanza internazionale, e il già citato attacco all’oleodotto Colonial Pipeline.
Attacco a Colonial Pipeline, il prima e dopo che stanno cambiando lo scenario del cyber crime
Il 13 dicembre scorso, è apparso sui principali notiziari l’annuncio dell’hackeraggio di SolarWinds Orion, una piattaforma di gestione software impiegata da oltre 33.000 clienti in ogni angolo del globo (fra cui la stessa Difesa degli Stati Uniti e Microsoft) attraverso una backdoor denominata “Sunburst”.
Senza entrare nel dettaglio tecnico, l’attacco cyber è riuscito a evadere i principali sistemi di difesa informatica dell’azienda, arrivando a compromettere il sistema di aggiornamento automatico che proprio SolarWinds effettua su base periodica, per arrivare a colpire direttamente i database dei clienti.
Ancor più grave, invece, quanto accaduto con Colonial Pipeline dove l’infrastruttura informatica del più grande distributore di diesel e benzina dell’East Coast degli Stati Uniti è stata colpita da un ransomware, costringendo l’azienda a pagare un riscatto di oltre 5 milioni di dollari (75 bitcoin).
Allo stesso tempo, il gruppo DarkSide, responsabile dell’attacco, sembrerebbe aver sottratto a SolarWinds, in appena due ore, più di 100gb di dati aziendali, oltre a crittare una buona parte del contenuto del database informatico della stessa SolarWinds.
Le soluzioni
Le contromisure da adottare non sono aldilà della comprensione umana: si tratta di applicare principi organizzativi e gestionali tali da consolidare e perimetrare la principale leva strategica per l’accelerazione e la crescita economica di un’intera impresa. Non parliamo di strumenti informatici avanzati, ma di buona gestione d’impresa: come già enunciato, cyber security e supply chain devono iniziare a essere considerati come espressione della medesima disciplina, cioè la gestione del rischio e per farlo devono essere applicati i principi propri della gestione del rischio aziendale. In primo luogo, occorre riconoscere come una minaccia alla catena di approvvigionamento si traduca in una minaccia alla tenuta dell’impresa stessa; ne deriva come sia fondamentale la collaborazione aperta e trasparente con i propri fornitori critici, nell’ottica di una più armoniosa coordinazione delle politiche di risposta a un evento critico e disaster recovery.
In secondo luogo, è necessario fortificare lo scheletro aziendale con una “squadra di risposta” che possa facilitare il percorso di incident response e che coinvolga, pertanto, non solo il dipartimento informatico aziendale, ma anche la direzione generale, l’ufficio legale, il DPO incaricato, il responsabile di un eventuale sistema di qualità e del sistema di controllo della qualità del prodotto finale, affinché la cyber security non resti una dimensione oscura e accessibile unicamente agli addetti al settore, ma entri a pieno titolo nella vita dell’azienda.
Ultimo elemento è, infine, quello della programmazione, forse il più rilevante: immaginare un’interruzione di servizio, un attacco informatico alla propria catena distributiva e pianificare le modalità tramite le quali riaccendere i motori dell’impresa e far ripartire la produzione.
La migliore strategia, in questo caso, è proprio la preparazione, la valutazione dei rischi e la mitigazione degli stessi attraverso una serie di strumenti non solo tecnologici, quanto soprattutto culturali.
Questo è il nodo cruciale della questione: l’approccio finalizzato alla messa in sicurezza della catena di approvvigionamento è quello del risk management, non quello tecnologico: è lo strumento a essere informatico.
