Per mitigare i rischi di sicurezza informatica lungo la catena di fornitura, le organizzazioni devono comprendere e valutare i propri rischi, definire i requisiti e le direttive per i propri fornitori, venditori e provider e verificarne la conformità. A tal fine, le aziende, le autorità e le organizzazioni dovrebbero adottare un approccio strategico relativamente ai rischi di sicurezza informatica nell’ambito IT/OT nella catena di fornitura, noto come gestione del rischio della catena di fornitura informatica (C-SCRM).
Idealmente, la strategia si dovrebbe basare su una revisione continua di tutte le dipendenze nella catena di fornitura IT/OT. Il National Institute of Standards and Technology (NIST) ha diffuso una pubblicazione e pratiche chiave (NISTIR 8276) al riguardo.
Progetto pilota insieme a Planzer Trasporti SA
Per consentire alle aziende, alle autorità e alle organizzazioni svizzere di implementare in modo pragmatico i requisiti in materia di cibersicurezza nella catena di fornitura, l’Ufficio federale della cibersicurezza (UFCS) ha condotto un progetto pilota insieme a Planzer Trasporti SA e ha sviluppato un ciclo semplice con strumenti concreti. Il feedback sul progetto pilota viene raccolto su base continuativa tramite un apposito modulo.
Protezione contro i ciberattacchi nella catena di fornitura
1. Conoscere la catena di fornitura e i ciber-rischi
Le catene di approvvigionamento spesso si estendono a molte aziende in tutto il mondo. Per poter gestire i rischi derivanti dal rapporto tra i fornitori diretti e i loro fornitori o da altre influenze tecniche e non, è necessario creare la migliore trasparenza possibile.
Una buona conoscenza della propria catena di fornitura IT/OT aiuta le organizzazioni a comprendere i potenziali rischi informatici per la propria organizzazione e per il cliente finale in relazione ai fornitori di servizi utilizzati.
2. Selezione e priorizzazione dei fornitori
La scelta corretta di fornitori e provider è un prerequisito importante per garantire il funzionamento sicuro della propria organizzazione. L’identificazione dell’impatto aziendale per ogni fornitore aiuta a stabilire le priorità. Il progetto pilota distingue fondamentalmente tre tipi di fornitori:
- Partner che hanno un accesso privilegiato ai sistemi interni dell’organizzazione e possono quindi avere un impatto negativo sull’ambiente IT/OT dell’organizzazione. Ad esempio, i partner che sono responsabili del funzionamento di un sistema nella rete dell’organizzazione.
- Partner che forniscono hardware o software all’organizzazione e che possono causare danni se compromessi. Si tratta, ad esempio, di Microsoft Office o di altre applicazioni o sistemi specializzati autogestiti.
- Partner che forniscono all’organizzazione servizi importanti. L’interruzione di questi servizi ha un impatto sulla riservatezza, la disponibilità e l’integrità dei dati. Si tratta, ad esempio, di partner SaaS, partner logistici, partner di outsourcing come service desk o fornitori di prodotti.
Per fissare le priorità relativamente ai fornitori, l’organizzazione deve essere consapevole dei potenziali rischi informatici del fornitore, del tipo di dipendenza esistente e delle informazioni condivise con il fornitore. Per consentire alle organizzazioni di porre le domande giuste e di attuare misure specifiche per la propria resilienza informatica, l’Ufficio federale della cibersicurezza (UFCS) ha collaborato con Planzer Trasporti SA per sviluppare domande chiave.
3. Punto della situazione
L’inventario dell’organizzazione viene effettuato e valutato dal responsabile IT/OT. Ove necessario, le misure di protezione dell’azienda vengono migliorate e portate allo stato attuale dell’arte.
4. Colloquio preliminare con il fornitore e discussione della verifica del fornitore
Le domande orientative vengono adattate dall’organizzazione per ciascun fornitore e servono ad approntare il primo incontro con i fornitori. In questo incontro, il fornitore viene sensibilizzato sul tema della sicurezza informatica nella catena di fornitura. Inoltre, se necessario, si esaminano insieme le domande orientative offrendo il supporto della propria organizzazione.
5. Verifica del fornitore
Le organizzazioni possono mitigare i rischi in materia di cibersicurezza lungo la propria catena di fornitura mantenendo uno stretto contatto con i fornitori e introducendo, se necessario, strutture di controllo adeguate. L’esperienza di Planzer Trasporti SA ha dimostrato che le condizioni della propria catena di fornitura possono essere migliorate solo se i fornitori riconoscono la necessità del cambiamento e i vantaggi per la loro azienda. Pertanto, la gestione della catena di fornitura dovrebbe concentrarsi sulla creazione di competenze da parte dei fornitori. In pratica, si distinguono due approcci all’audit dei fornitori: autovalutazione e ispezioni in loco.
L’autodivulgazione delle informazioni rappresenta una buona base per ulteriori strumenti di verifica, come visite in loco o audit. Gli audit si basano fondamentalmente sul presupposto che i fornitori non siano disposti a implementare i requisiti del cliente e che quindi sia necessario un approccio di controllo. L’esperienza pratica di Planzer Trasporti SA indica che i fornitori in genere desiderano implementare i requisiti ma non sono in grado di farlo o necessitano incentivi. Per aiutare le organizzazioni a porre le domande giuste ai propri fornitori, l’Ufficio federale della cibersicurezza (UFCS) ha collaborato con Planzer Trasporti SA per sviluppare domande orientative.
6. Valutazione della verifica del fornitore / definizione delle misure
L’autovalutazione del fornitore viene in seguito valutata dall’organizzazione. In caso di deviazioni dai requisiti, il fornitore è tenuto a migliorare le proprie prestazioni. L’obiettivo dell’audit dei fornitori è quello di migliorarne le prestazioni e la resilienza informatica.
7. Contratti con i fornitori
Se l’audit dei fornitori ha esito positivo, la fase successiva e finale del ciclo è la creazione o la revisione/adeguamento dei contratti. Il contratto con il fornitore è un accordo legalmente vincolante tra l’organizzazione e il fornitore e ha lo scopo di garantire la conformità alle normative sulla sicurezza delle informazioni e sulla protezione dei dati. Nel contratto con il fornitore, l’organizzazione regolamenta, tra l’altro, le questioni di responsabilità, i requisiti di qualità e le modalità di consegna.
Link per ulteriori informazioni:
- Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (nist.gov)
- NISTIR 8276 Key Practices in C-SCRM | CSRC
- Direttiva UE: L_2022333DE.01008001.xml (europa.eu)
- ISO - ISO 9001 and related standards — Quality management
- CCMv4.0 Auditing Guidelines | CSA (cloudsecurityalliance.org)
Ultima modifica 01.01.2024