Supply Chain Security
Gli attacchi informatici, per lo più mirati alle frodi informatiche, sono aumentati notevolmente negli ultimi anni. La pandemia COVID-19 è stata un catalizzatore per la crescita di tali fenomeni, attraverso i quali i criminali informatici hanno avuto a loro disposizione un terreno fertile e una maggiore superficie di attacco grazie all'implementazione del nuovo modo di lavorare - lo smartworking - da parte delle pubbliche amministrazioni e delle aziende private.
Gli attacchi informatici, per lo più mirati alle frodi informatiche, sono aumentati notevolmente negli ultimi anni. La pandemia COVID-19 è stata un catalizzatore per la crescita di tali fenomeni, attraverso i quali i criminali informatici hanno avuto a loro disposizione un terreno fertile e una maggiore superficie di attacco grazie all'implementazione del nuovo modo di lavorare - lo smartworking - da parte delle pubbliche amministrazioni e delle aziende private.
Infatti, negli ultimi anni, oltre alle classiche tipologie di attacchi tra cui malware e email di phishing, gli attacchi web-based (Cross Site Scripting, SQL Injection) o quelli che mirano a negare la disponibilità di un servizio come il Distributed Denial of Service (DDoS), c'è stato un aumento delle attività di spionaggio industriale e governativo favorito da un cambio di paradigma sviluppato dagli hacker che hanno cominciato a porsi la seguente domanda: perché attaccare il target finale quando è possibile attaccare facilmente i fornitori di quell'organizzazione? Questi ultimi, infatti, non dispongono del budget economico necessario per costruire un perimetro di sicurezza informatica efficace e quindi i pochi controlli attuati sono facilmente superabili per poter installare codice dannoso all'interno di un componente del prodotto finale. Basti pensare all'attacco nei primissimi giorni di luglio 2021 alla società di computer Kaseya, per rendersi conto che anche nazioni come gli Stati Uniti d'America sono vulnerabili nel dominio cyber. Questo tipo di attacco è chiamato attacco alla filiera o alla gestione dell'intera catena distributiva (supply chain attack), con particolare riferimento alla logistica e al rapporto con i fornitori.
Infatti, negli ultimi anni, oltre alle classiche tipologie di attacchi tra cui malware e email di phishing, gli attacchi web-based (Cross Site Scripting, SQL Injection) o quelli che mirano a negare la disponibilità di un servizio come il Distributed Denial of Service (DDoS), c'è stato un aumento delle attività di spionaggio industriale e governativo favorito da un cambio di paradigma sviluppato dagli hacker che hanno cominciato a porsi la seguente domanda: perché attaccare il target finale quando è possibile attaccare facilmente i fornitori di quell'organizzazione? Questi ultimi, infatti, non dispongono del budget economico necessario per costruire un perimetro di sicurezza informatica efficace e quindi i pochi controlli attuati sono facilmente superabili per poter installare codice dannoso all'interno di un componente del prodotto finale. Basti pensare all'attacco nei primissimi giorni di luglio 2021 alla società di computer Kaseya, per rendersi conto che anche nazioni come gli Stati Uniti d'America sono vulnerabili nel dominio cyber. Questo tipo di attacco è chiamato attacco alla filiera o alla gestione dell'intera catena distributiva (supply chain attack), con particolare riferimento alla logistica e al rapporto con i fornitori.
L'ingegneria del software è una disciplina nata con l'obiettivo di aumentare i profitti aziendali piuttosto che con un focus sulla sicurezza informatica, argomento che solo di recente è stato discusso con un certo grado di competenza.
L'ingegneria del software è una disciplina nata con l'obiettivo di aumentare i profitti aziendali piuttosto che con un focus sulla sicurezza informatica, argomento che solo di recente è stato discusso con un certo grado di competenza.
Pertanto, nella fase di acquisizione o sviluppo del software, le organizzazioni devono prestare la massima attenzione nel valutare le caratteristiche e le prestazioni dei programmi necessari al proprio business, attuando una pianificazione e un controllo impeccabili in tutte le fasi di implementazione. La maturità e la preparazione degli amministratori di rete e di sistema diventa ancora più importante se nell'organizzazione vengono utilizzati Internet of Things di tipo Commercial off-the-shelf, sistemi di controllo industriale (ICS), controllori logici programmabili (PLC) e sistemi di controllo di supervisione e acquisizione dati (SCADA), notoriamente anelli deboli in qualsiasi rete e infrastruttura di sicurezza.
Pertanto, nella fase di acquisizione o sviluppo del software, le organizzazioni devono prestare la massima attenzione nel valutare le caratteristiche e le prestazioni dei programmi necessari al proprio business, attuando una pianificazione e un controllo impeccabili in tutte le fasi di implementazione. La maturità e la preparazione degli amministratori di rete e di sistema diventa ancora più importante se nell'organizzazione vengono utilizzati Internet of Things di tipo Commercial off-the-shelf, sistemi di controllo industriale (ICS), controllori logici programmabili (PLC) e sistemi di controllo di supervisione e acquisizione dati (SCADA), notoriamente anelli deboli in qualsiasi rete e infrastruttura di sicurezza.
Esistono diverse best practices e framework internazionali che possono essere adottati per aumentare il livello di sicurezza dell'acquisizione di nuovo software e si possono sintetizzare con le seguenti indicazioni:
Esistono diverse best practices e framework internazionali che possono essere adottati per aumentare il livello di sicurezza dell'acquisizione di nuovo software e si possono sintetizzare con le seguenti indicazioni:
1) aggiornare regolarmente il software, valutando l'effettiva utilità delle sole funzionalità necessarie;
1) aggiornare regolarmente il software, valutando l'effettiva utilità delle sole funzionalità necessarie;
2) adottare un approccio SDLC e verificare il livello di Software Capability Maturity Model dei propri fornitori;
2) adottare un approccio SDLC e verificare il livello di Software Capability Maturity Model dei propri fornitori;
3) prevedere SLA dettagliati in linea con le proprie esigenze prestazionali e di sicurezza;
3) prevedere SLA dettagliati in linea con le proprie esigenze prestazionali e di sicurezza;
4) condurre verifiche periodiche dei sistemi OT;
4) condurre verifiche periodiche dei sistemi OT;
5) introdurre una Cyber Supply Chain Risk Management all'interno della propria organizzazione;
5) introdurre una Cyber Supply Chain Risk Management all'interno della propria organizzazione;
6) sfruttare algoritmi di Machine Learning per l'analisi del codice sorgente;
6) sfruttare algoritmi di Machine Learning per l'analisi del codice sorgente;
7) utilizzare soluzioni di sicurezza per endpoint e reti OT per tutti i sistemi industriali critici.
7) utilizzare soluzioni di sicurezza per endpoint e reti OT per tutti i sistemi industriali critici.
È fondamentale accrescere la cultura della sicurezza poiché l'anello più debole della catena, anche se il più importante, è sempre l'essere umano. Chi pensa che la tecnologia da sola possa risolvere il problema della cyber security non ne ha una visione completa, così come non comprende il valore puramente strumentale dei sistemi di protezione in questo settore.
È fondamentale accrescere la cultura della sicurezza poiché l'anello più debole della catena, anche se il più importante, è sempre l'essere umano. Chi pensa che la tecnologia da sola possa risolvere il problema della cyber security non ne ha una visione completa, così come non comprende il valore puramente strumentale dei sistemi di protezione in questo settore.
Tutti gli Enti e le organizzazioni che utilizzano piattaforme ICT devono acquisire questa flessibilità affinché la sicurezza possa diventare una forma mentale che governa tutti i processi e diventi parte integrante dell'atteggiamento di ogni dipendente dell'organizzazione.
Tutti gli Enti e le organizzazioni che utilizzano piattaforme ICT devono acquisire questa flessibilità affinché la sicurezza possa diventare una forma mentale che governa tutti i processi e diventi parte integrante dell'atteggiamento di ogni dipendente dell'organizzazione.