- Home
- Cybersecurity
- La Supply Chain: la nuova sfida della sicurezza informatica
La Supply Chain: la nuova sfida della sicurezza informatica
| Michele Petito, Massimiliano Rossi | cybersecurity
#CybersecurityCafé
di Michele Petito e Massimiliano Rossi, CERT-AgID
Gestire la sicurezza della supply chain, o delle terze parti, sta diventando sempre più un tema centrale e critico per una corretta transizione al digitale del Paese.
Rispetto alla gestione della sicurezza e resilienza dell’ICT tradizionale, la difficoltà maggiore che si incontra nel gestire la sicurezza del ICT Supply Chain risiede nella sua maggiore complessità dovuta anche ai cosiddetti Covert Channel, ovvero le filiere di approvvigionamento che rimangono nascoste. L’opportunità che deriva dall’aver identificato questa nuova minaccia risiede nella possibilità di mitigarne il rischio.
Come evidenziato dal rapporto AGID sulla spesa ICT 2021,l’utilizzo delle società in-house da parte delle Amministrazioni viene preferito, indipendentemente dal tipo di canale - centralizzato o decentralizzato - con cui viene effettuata la spesa ICT.
In proposito è possibile “segnalare alcune Regioni che veicolano la propria intera spesa ICT, sia tramite che fuori Consip e Centrali di Committenza, attraverso le società in-house”. In uno scenario di questo tipo, in cui sono presenti diversi livelli e gradi di utilizzo delle modalità di acquisizione si rende quindi necessario un attento monitoraggio delle filiere di approvvigionamento.
Come è possibile notare nella figura sottostante, governare il processo di Supply Chain nel caso di “Suppliers of Suppliers” potrebbe divenire molto complesso e dare luogo a canali non completamente visibili.
Possiamo notare anche con riguardo all’aspetto tecnologico che, come riportato dal Rapporto Clusit (Rapporto 2022 sulla Sicurezza ICT in Italia), nel corso di questi ultimi anni caratterizzati dall’emergenza pandemica globale, gli analisti hanno registrato un incremento di attacchi veicolati proprio attraverso un abuso della Supply Chain. Tra le tecniche più sofisticate è possibile evidenziare gli attacchi Island hopping, in cui gli hacker s’infiltrano nelle imprese che riforniscono le aziende più grandi (ad esempio quelle che si occupano di risorse umane, mense pensiamo alle scuole, servizi sanitari prodotti elettromedicali e ICT), al fine di accedere a un’organizzazione target più ampia. In questo modo gli attori delle minacce entrano nei sistemi dei partner per arrivare alle reti delle grandi aziende che costituiscono il reale obiettivo dell’attacco. Uno degli esempi più eclatanti è stato l’attacco a SolaWindods nel 2020 che ha consentito all’intelligence russa di poter accedere a un centinaio di reti scelte da un parco di 18.000 clienti, tra cui le aziende di Fortune 500, come Microsoft, il Dipartimento di Giustizia degli Stati Uniti, il Dipartimento di Stato e la NASA. Quel grave incidente ha evidenziato l’importanza di considerare la sicurezza come parte del processo di selezione dei fornitori e l’implementazione di una Cybersecurity Supply chain risk management (C-SCRM), ovvero di una strategia volta a gestire i rischi legati alla sicurezza informatica lungo tutta la catena di approvvigionamento, sulla base di una valutazione continua del rischio.
In proposito, una guida utile per la valutazione e la mitigazione dei rischi cyber su tutti i livelli della supply chain è la NIST SP 800-161 (2022). Rileva evidenziare come tale approccio andrebbe implementato all’interno dell’organizzazione come parte delle attività di risk management. Da citare anche, sul fronte europeo, il “Threat Landscape for Supply Chain Attacks” (2021) di ENISA: la pubblicazione fornisce una tassonomia degli attacchi sulla supply chain, strumento utile per classificare gli attacchi e migliorare l’analisi.
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.
Voto attuale:
Valutazione attuale: 5 / 5
-
il filo - estate 2022Editoriale
-
Firenze, al Museo Galileo va in scena la scienzacaffè scientifico
-
CREF: pura magia tra storia e ricercacaffè scientifico
-
Di fronte al mare, Trieste e la scienza si intrecciano e si raccontanocaffè scientifico
-
Immersione totale nella scienzacaffè scientifico
-
Una questione di fiduciaservizi alla comunità
-
La ricerca in diretta su GARR TVservizi alla comunità
-
ITS Volta di Trieste: istituto di eccellenza in nuove tecnologie per la vitala voce della comunità
-
Creative Commons: gli strumenti giuridici per la condivisione in open accessla voce della comunità
-
Didattica in rete e platform society: quali implicazioni per la formazione?la voce della comunità
-
PNRR: la ripresa parte (anche) dalla reteosservatorio della rete
-
IoT Internet of Threatscybersecurity
-
La Supply Chain: la nuova sfida della sicurezza informaticacybersecurity
-
Non ci sono più i DoS di una volta…cybersecurity
-
Computing on the edgela nuvola della ricerca e istruzione
-
Via libera al Piano Nazionale per la Scienza Apertala nuvola della ricerca e istruzione
-
Chi sono i Research Manager?internazionale
-
Horizon Europe: prime considerazioniinternazionale
-
Reti della ricerca e HPC: un connubio sempre più strettointernazionale
-
GÉANT Innovation Programme, mettiamo alla prova le ideeinternazionale
-
Curiosità e voglia di non tirarsi mai indietroieri, oggi, domani
-
Sagittarius A* Il buco nero al centro della nostra galassiala voce della comunità
-
Dai big data ai big code, in arrivo nuovi algoritmi ENEAla voce della comunità
-
ELEA 9003, l’alba dell’informatica italianala voce della comunità
-
GARR-T: ecco a che punto siamoosservatorio della rete
-
Se il calcolo scientifico va in periferiala nuvola della ricerca e istruzione
Articoli nella rubrica
-
di Simona Venuti
-
di Michele Petito, Massimiliano Rossi
-
di Paola Tentoni
Archivio GARR NEWS
- Numero 29 - anno 2023
- Numero 28 - anno 2023
- Numero 27 - anno 2022
- Numero 26 - anno 2022
- Numero 25 - anno 2021
- Numero 24 - anno 2021
- Numero 23 - anno 2020
- Numero 22 - anno 2020
- Numero 21 - anno 2019
- Numero 20 - anno 2019
- Numero 19 - anno 2018
- Numero 18 - anno 2018
- Numero 17 - anno 2017
- Numero 16 - anno 2017
- Numero 15 - anno 2016
- Numero 14 - anno 2016
- Numero 13 - anno 2015
- Numero 12 - anno 2015
- Numero 11 - anno 2014
- Numero 10 - anno 2014
- Numero 9 - anno 2013
- Numero 8 - anno 2013
- Numero 7 - anno 2012
- Numero 6 - anno 2012
- Numero 5 - anno 2011
- Numero 4 - anno 2011
- Numero 3 - anno 2010
- Numero 2 - anno 2010
- Numero 1 - anno 2009
- Numero 0 - anno 2009