In un articolo pubblicato originariamente su Supply Management, Ben Ludford di Efficio ha condiviso con i CPO sei consigli fondamentali per prevenire gli attacchi cibernetici nei confronti della supply chain. 

Secondo il National Cyber Security Centre (NCSC) e la National Crime Agency (NCA), le organizzazioni criminali stanno intensificando i propri attacchi on-line contro le aziende britanniche, sfruttando la vulnerabilità delle loro supply chain.

Secondo il rapporto congiunto dell’NCSC e dell’NSA intitolato, Cyber Threat to UK Business Industry 2017-2018, i compromessi fatti a livello di supply chain dai fornitori di servizi condivisi e software, ad esempio MeDoc e CCleaner, hanno fornito ai cyber-criminali un potenziale punto di accesso alle reti di migliaia di clienti.

Secondo lo studio, i gruppi criminali “sfruttano sempre di più le brecce create dagli accessi privilegiati e dai rapporti tra clienti e fornitori”. Inoltre, “gli attacchi si concentrano sull’anello più debole della supply chain per raggiungere l’obiettivo designato”.

“È chiaro che anche se un’azienda è dotata di un eccellente sistema di sicurezza cibernetica, non è possibile garantire che gli stessi standard vengano applicati anche da fornitori e terzi lungo l’intera supply chain,” sostiene lo studio.

Secondo l’istituto SANS, circa l’80% di tutti gli attacchi cibernetici è rivolto contro la supply chain.

Ben Ludford, consulente di Efficio, società globale di consulenza specializzata negli acquisti, ha raccontato a SM che, se in passato gli hacker si concentravano su aziende ricche di dati e proprietà intellettuali, oggi a causa dell’ascesa dei ransomware ogni computer è diventato una vittima potenziale.

Secondo Ludford, recenti casi eclatanti, ad esempio quello di WannaCry con 230.000 computer coinvolti in tutto il mondo, hanno sottolineato quanto sia importante che i CPO introducano delle misure in grado di proteggere le proprie aziende e le relative supply chain. 

Per questo ha stilato sei regole fondamentali che i CPO possono utilizzare per prevenire attacchi cibernetici contro la supply chain. 

1. Condurre una valutazione della supply chain relativamente al rischio cibernetico

“Bisogna prevedere l’imprevedibile. Che cosa succederebbe se i sistemi informatici e i canali di comunicazione di tutti i propri fornitori andassero in tilt? E se il fornitore che gestisce i dati dei clienti subisse un attacco? Porsi questo tipo di domande aiuta a capire i potenziali rischi e il loro eventuale impatto sull’azienda. Sulla base di queste valutazioni è possibile definire le misure prioritarie”.

2. Mitigare l’impatto di un attacco riuscito

“Subire un attacco cibernetico riuscito è un’eventualità inevitabile. Questo tipo di mentalità sposta l’attenzione verso lo sviluppo di piani e di prassi per minimizzare i danni qualora si verifichi un tale attacco”.

3. Includere la sicurezza cibernetica nella valutazione delle capacità di un fornitore

“I fornitori dovrebbero essere operativi, efficaci e sicuri. È bene fare loro delle domande per mettere alla prova i loro sistemi di sicurezza, verificare la consapevolezza cibernetica del personale e richiedere di visionare i piani di gestione nel caso di un eventuale incidente. Con l’aumento del rischio cibernetico, tutto questo diventerà un requisito standard”.

4. Richiedere ai fornitori di ottenere un accreditamento o sottoporsi a test indipendenti

“Non dare per scontato che la propria interpretazione del termine “sicuro” corrisponda a quella dei propri fornitori. Esistono strumenti di accreditamento come il Cyber Essentials Certificate dell’ente governativo britannico NCSC. Se i propri fornitori si prestano malvolentieri a test indipendenti, si tratta già di un primo campanello d’allarme”.

5. Prevedere eventuali conseguenze a livello contrattuale

“In aggiunta ai requisiti contrattuali relativi al salvataggio dei dati, è possibile prevedere clausole che definiscano le conseguenze in caso di perdita degli stessi, stabilendo, ad esempio, la possibilità di visitare un fornitore per saper esattamente che cosa è stato sottratto e le modalità del furto. In tal modo è possibile gestire ogni situazione con la consapevolezza di aver preso le decisioni corrette”.

6. Formazione del personale dei fornitori

“L’errore umano è la prima causa della violazione dei dati. La formazione, erogata direttamente o tramite terzi, permette di aiutare i propri fornitori e il personale responsabile del trattamento dei dati. La formazione e l'aggiornamento costante aiutano il personale a identificare potenziali attacchi e a fungere da prima linea di difesa”.


L’intero articolo pubblicato sul sito web di Supply Management è disponibile qui.